Vad du behöver veta om Win32 / Zbot-familjen av lösenordsstalande trojaner
Win32 / Zbot är en familj av lösenordsstalande trojaner som innehåller funktionen bakdörr som tillåter angripare att styra infekterade datorer på distans via olagliga nätverk som kallas botnät. Denna familj av botnät uppmärksammades först i press och media när Win32 / Zbot upptäcktes i mitten av 2007 som attackerade US Department of Transportation.
Botnetvärlden är uppdelad mellan botfamiljer som är nära kontrollerade av oberoende grupper av angripare och de som skapas genom malware-kit.
Dessa kit är samlingar av verktyg som säljs och delas inom malware underjordiska, vilket gör det möjligt för blivande botnetoperatörer eller bothagare att montera sina egna botnät genom att skapa och sprida malwarevarianter. För mer detaljerad information om botnät, se Utökad intelligenshistoria i volym 9 i Microsoft Security Intelligence Report.
Win32 / Zbot är en kitbaserad familj; dess varianter är byggda med hjälp av ett skadligt program som heter Zeus. Även om säkerhetspersonal och nyhetsredovisning ofta refererar till "Zeus botnet", är det viktigt att inse att datorer infekterade med Win32 / Zbot inte alla hör till en enda stor botnet, men i stället många mindre oberoende kontrollerade botnät som styrs av många bot -herders.Några av de funktioner som Win32 / Zbot-infekterade datorer kan beordras att utföra är:
Stela webbläsardata på följande sätt:
- Ta skärmdumpar av bankwebbplatser
- Ändra webbsidor för att utöka formulär för att behöva extra information
- Hämta HTML-formulärdata
- Omdirigera omvänd användare till falska webbplatser som verkar vara legitima
Stela systeminformation, inklusive:
- Skyddade lagringsuppgifter
- Referenser från FTP, e-post och anpassade applikationer som WinSCP
- Filer laddade upp från systemet
Ändra systeminställningar för att uppnå följande:
- Lämna systemet ostartbart för att täcka dess spår
- Ladda ner och kör andra binärer, vilket innebär att allting kan vara på ett system infekterat av Win32 / Zbot
Detta dokument som bekämpar Zbot Threat som släpptes av Microsoft ger en översikt över Win32 / Zbot-familjen av lösenordsstalande trojaner. Dokumentet granskar bakgrunden till Win32 / Zbot, dess funktionalitet, hur den fungerar och tillhandahåller telemetri data och analys från kalenderåret 2010 om hur detta hot upptäcks och tas bort.