Hjemmeside » Sikkerhet » Hva du trenger å vite om Win32 / Zbot-familien av passord-stjele trojanere

    Hva du trenger å vite om Win32 / Zbot-familien av passord-stjele trojanere

    Win32 / Zbot er en familie av passord-stjele trojaner som inneholder bakdør-funksjonalitet som tillater angripere å kontrollere infiserte datamaskiner eksternt gjennom ulovlige nettverk som kalles botnets. Denne familien av botnets oppdaget først og fremst press og media når Win32 / Zbot ble oppdaget i midten av 2007 og angrepet US Department of Transportation.

    Botnet-verdenen er delt mellom botfamilier som er tett kontrollert av uavhengige grupper av angripere og de som er opprettet gjennom malware-sett.

    Disse settene er samlinger av verktøy, som selges og deles i malware underjordiske, som gjør det mulig for aspirerende botnetoperatører, eller bot-herders, å samle sine egne botnetter ved å skape og spre malwarevarianter. For mer detaljert informasjon om botnett, se Utvalgte etterretningshistorie i volum 9 i Microsoft Security Intelligence Report.

    Win32 / Zbot er en kit-basert familie; dets varianter er bygget ved hjelp av et malware kit kalt zeus. Selv om sikkerhetsprofessorer og nyhetskontoer ofte refererer til "Zeus botnet", er det viktig å innse at datamaskiner infisert med Win32 / Zbot ikke alle tilhører en enkelt stor botnet, men i stedet mange mindre uavhengig kontrollerte botneter som styres av mange bot -herders.

    Noen av funksjonene som Win32 / Zbot-infiserte datamaskiner kan bli beordret å utføre, inkluderer:

    Stjør nettleserdata på følgende måter:

    • Ta skjermbilder av banknettsteder
    • Endre nettsider for å utvide skjemaer for å kreve ekstra informasjon
    • Hent HTML skjema data
    • Gjør omdirigere brukere til falske nettsteder som synes å være legitime

    Stjel systeminformasjon, inkludert:

    • Beskyttet lagring legitimasjon
    • Referanser fra FTP, e-post og tilpassede applikasjoner som WinSCP
    • Filer lastet opp fra systemet

    Endre systeminnstillingene for å oppnå følgende:

    • Gi systemet uopprettelig å dekke sporene sine
    • Last ned og kjør andre binarier, noe som effektivt betyr at alt kan være på et system infisert av Win32 / Zbot

    Dette dokumentet som bekjemper Zbot Threat utgitt av Microsoft, gir en oversikt over Win32 / Zbot-familien av passordstjålende trojanere. Dokumentet undersøker bakgrunnen til Win32 / Zbot, dens funksjonalitet, hvordan den fungerer, og gir telemetri data og analyse fra kalenderåret 2010 om hvordan denne trusselen blir oppdaget og fjernet.