Ce trebuie să știți despre familia Win32 / Zbot de parole de furt trojan
Win32 / Zbot este o familie de troieni care fură cu parolă, care conțin funcționalități backdoor, care permit atacatorilor să controleze calculatoarele infectate de la distanță prin intermediul rețelelor ilicite numite botnets. Această familie de botneturi a atras atenția în primul rând în presă și mass-media când Win32 / Zbot a fost detectat la mijlocul lui 2007, atacând Departamentul de Transport al SUA.
Lumea botnet este împărțită între familiile bot care sunt controlate îndeaproape de grupuri independente de atacatori și cele create prin kituri malware.
Aceste kituri sunt colecții de unelte, vândute și distribuite în subteranul malware, care permit operatorilor aspiranți botnet sau bot-herders să-și asambleze propriile botneturi prin crearea și răspândirea de variante malware. Pentru informații mai detaliate despre botnet, consultați povestea Inteligență recomandată din volumul 9 al raportului Microsoft Security Intelligence.
Win32 / Zbot este o familie bazată pe kit-uri; variantele sale sunt construite folosind un kit malware numit Zeus. Deși profesioniștii din domeniul securității și conturile de știri se referă adesea la "botnetul Zeus", este important să constatăm că computerele infectate cu Win32 / Zbot nu aparțin tuturor unui singur botnet mare, ci mai mult numeroase botneturi controlate de mai multe persoane controlate de mai mulți bot -herders.Unele dintre funcțiile pe care computerele infectate Win32 / Zbot pot fi comandate să le efectueze includ:
Furați datele browserului în următoarele moduri:
- Faceți capturi de ecran ale site-urilor bancare
- Modificați paginile web pentru a extinde formularele pentru a solicita informații suplimentare
- Obțineți date de formular HTML
- Transparent redirecționați utilizatorii către site-uri false care par a fi legitime
Informații despre furt, inclusiv:
- Acreditări de stocare protejate
- Autentificări din FTP, email și aplicații personalizate, cum ar fi WinSCP
- Fișiere încărcate din sistem
Modificați setările de sistem pentru a realiza următoarele:
- Răsturnați sistemul să nu pornească pentru a-și acoperi traseele
- Descărcați și executați alte binare, ceea ce înseamnă că orice ar putea fi pe un sistem infectat de Win32 / Zbot
Acest document Battle the Zbot Threat lansat de Microsoft, oferă o imagine de ansamblu a familiei Win32 / Zbot de trojan de furt de parole. Documentul examinează fundalul Win32 / Zbot, funcționalitatea acestuia, modul în care funcționează și furnizează date și analize de telemetrie din anul calendaristic 2010 despre modul în care această amenințare este detectată și eliminată.