Win32 / Zbot er en familie av passord-stjele trojaner som inneholder bakdør-funksjonalitet som tillater angripere å kontrollere infiserte datamaskiner eksternt gjennom illegale nettverk som kalles botnets. Denne familien av botnetter opplyste først oppmerksomheten i press og media da Win32 / Zbot ble oppdaget i midten av 2007 og angrepet US Department of Transportation.
Disse settene er samlinger av verktøy, som selges og deles i malware underjordiske, som gjør det mulig for aspirerende botnetoperatører eller bondehemmere å samle sine egne botnetter ved å skape og spre malwarevarianter. For mer detaljert informasjon om botnets, se Utvalgte etterretningshistorie i volum 9 i Microsoft Security Intelligence Report.
Win32 / Zbot er en kit-basert familie; dets varianter er bygget ved hjelp av et malware kit kalt zeus. Selv om sikkerhetsprofessorer og nyhetskontoer ofte refererer til "Zeus botnet", er det viktig å innse at datamaskiner infisert med Win32 / Zbot ikke alle tilhører en enkelt stor botnet, men i stedet mange mindre uavhengig kontrollerte botneter som er kontrollert av mange bot -herders.
Noen av funksjonene som Win32 / Zbot-infiserte datamaskiner kan bli befalt å utføre, inkluderer:
Stjør nettleserdata på følgende måter:
- Ta skjermbilder av banknettsteder
- Endre nettsider for å utvide skjemaer for å kreve ekstra informasjon
- Hent HTML skjema data
- Gjør omdirigere brukere til falske nettsteder som synes å være legitime
Stjel systeminformasjon, inkludert:
- Beskyttet lagring legitimasjon
- Referanser fra FTP, e-post og tilpassede applikasjoner som WinSCP
- Filer lastet opp fra systemet
Endre systeminnstillingene for å oppnå følgende:
- Gi systemet ustabilt for å dekke sporene
- Last ned og kjør andre binarier, noe som effektivt betyr at alt kan være på et system infisert av Win32 / Zbot
Dette dokumentet som bekjemper Zbot Threat utgitt av Microsoft, gir en oversikt over Win32 / Zbot-familien av passordstjålende trojanere. Dokumentet undersøker bakgrunnen til Win32 / Zbot, dens funksjonalitet, hvordan den fungerer, og gir telemetri data og analyse fra kalenderåret 2010 om hvordan denne trusselen blir oppdaget og fjernet.
Relaterte innlegg:
- Forskjellen mellom Windows 8, Windows 8 Pro og Windows 8 RT
- Komplett liste over hurtigtaster for Windows Live Writer
- Hva er et Botnet-angrep, og hvordan fungerer det på en datamaskin
- Freeware Botnet Removal Tools for Windows
- Botnet Tracker lar deg spore aktivitet av levende Botnets over hele verden
