Что нужно знать о троянах, использующих пароли для Win32/Zbot

Безопасность

Win32/Zbot — это семейство троянов для кражи паролей, которые содержат функции бэкдора, которые позволяют злоумышленникам удаленно контролировать зараженные компьютеры через незаконные сети, называемые ботнетами. Это семейство ботнетов впервые привлекло внимание прессы и СМИ, когда в середине 2007 года был обнаружен Win32/Zbot, атакующий министерство транспорта США.

Мир ботнетов разделен между семействами ботов, которые находятся под строгим контролем независимых групп злоумышленников, и сообществами, созданными с помощью наборов вредоносных программ.

Эти наборы представляют собой наборы инструментов, продаваемых и распространяемых в подполье вредоносных программ, которые позволяют начинающим операторам ботнетов или бот-пастухам собирать свои собственные бот-сети, создавая и распространяя варианты вредоносных программ. Для получения более подробной информации о ботнетах см. Статью «Featured Intelligence» в томе 9 отчета Microsoft Security Intelligence.

Win32/Zbot — семейство, основанное на наборе; его варианты создаются с использованием вредоносного набора Zeus. Хотя профессионалы в области безопасности и новостные аккаунты часто ссылаются на «ботнет Zeus», важно понимать, что компьютеры, зараженные Win32/Zbot, не все принадлежат одному большому ботнету, а вместо этого — множество небольших независимо управляемых ботнетов, которые контролируются многими ботами. -herders.

Некоторые из функций, которые могут быть запрошены компьютерами, зараженными Win32/Zbot, включают:

Украсть данные браузера следующими способами:

  • Сделайте скриншоты банковских сайтов
  • Изменить веб-страницы, чтобы расширить формы, чтобы требовать дополнительной информации
  • Получить данные формы HTML
  • Прозрачное перенаправление пользователей на поддельные сайты, которые кажутся законными

Информация о системе кражи, в том числе:

  • Учетные данные защищенного хранилища
  • Учетные данные из FTP, электронной почты и пользовательских приложений, таких как WinSCP
  • Файлы, загруженные из системы

Измените настройки системы, чтобы выполнить следующее:

  • Сделать систему не загружаемой, чтобы скрыть ее треки
  • Скачивайте и запускайте другие двоичные файлы, что фактически означает, что в системе может быть что-либо зараженное Win32/Zbot

В этом документе, посвященном борьбе с угрозой Zbot, выпущенном Microsoft, представлен обзор троянских программ для кражи паролей семейства Win32/Zbot. В этом документе рассматривается фон Win32/Zbot, его функциональные возможности, как он работает, а также данные телеметрии и анализ календарного 2010 года о том, как эта угроза обнаруживается и удаляется.

Оцените статью
TechArks.Ru
Добавить комментарий