Win32/Zbot – это семейство троянов для кражи паролей, которые содержат функции бэкдора, которые позволяют злоумышленникам удаленно контролировать зараженные компьютеры через незаконные сети, называемые ботнетами. Это семейство ботнетов впервые привлекло внимание прессы и СМИ, когда в середине 2007 года был обнаружен Win32/Zbot, атакующий министерство транспорта США.
Мир ботнетов разделен между семействами ботов, которые находятся под строгим контролем независимых групп злоумышленников, и сообществами, созданными с помощью наборов вредоносных программ.
Эти наборы представляют собой наборы инструментов, продаваемых и распространяемых в подполье вредоносных программ, которые позволяют начинающим операторам ботнетов или бот-пастухам собирать свои собственные бот-сети, создавая и распространяя варианты вредоносных программ. Для получения более подробной информации о ботнетах см. Статью «Featured Intelligence» в томе 9 отчета Microsoft Security Intelligence.
Win32/Zbot – семейство, основанное на наборе; его варианты создаются с использованием вредоносного набора Zeus. Хотя профессионалы в области безопасности и новостные аккаунты часто ссылаются на «ботнет Zeus», важно понимать, что компьютеры, зараженные Win32/Zbot, не все принадлежат одному большому ботнету, а вместо этого – множество небольших независимо управляемых ботнетов, которые контролируются многими ботами. -herders.
Некоторые из функций, которые могут быть запрошены компьютерами, зараженными Win32/Zbot, включают:
Украсть данные браузера следующими способами:
- Сделайте скриншоты банковских сайтов
- Изменить веб-страницы, чтобы расширить формы, чтобы требовать дополнительной информации
- Получить данные формы HTML
- Прозрачное перенаправление пользователей на поддельные сайты, которые кажутся законными
Информация о системе кражи, в том числе:
- Учетные данные защищенного хранилища
- Учетные данные из FTP, электронной почты и пользовательских приложений, таких как WinSCP
- Файлы, загруженные из системы
Измените настройки системы, чтобы выполнить следующее:
- Сделать систему не загружаемой, чтобы скрыть ее треки
- Скачивайте и запускайте другие двоичные файлы, что фактически означает, что в системе может быть что-либо зараженное Win32/Zbot
В этом документе, посвященном борьбе с угрозой Zbot, выпущенном Microsoft, представлен обзор троянских программ для кражи паролей семейства Win32/Zbot. В этом документе рассматривается фон Win32/Zbot, его функциональные возможности, как он работает, а также данные телеметрии и анализ календарного 2010 года о том, как эта угроза обнаруживается и удаляется.