Win32 / Zbot on perhe salasanan varastamisesta troijalaisia, jotka sisältävät takaportin toiminnallisuutta, jonka avulla hyökkääjät voivat kontrolloida tartunnan saaneita tietokoneita etäyhteyden kautta laittomiin verkkoihin, joita kutsutaan botnetiksi. Tämä botnet-verkko kiinnitti huomiota lehdistössä ja tiedotusvälineissä, kun Win32 / Zbot havaittiin vuoden 2007 puolivälissä hyökkäämällä Yhdysvaltain liikenneministeriöön.
Nämä sarjat ovat työkalujen kokoelmia, jotka myydään ja jaetaan haittaohjelmien maan alla, jotka mahdollistavat hakevien botnet-operaattoreiden tai bot-herdersin koota omia botnet-verkkojaan luomalla ja levittämällä haittaohjelmamuunnelmia. Lisätietoja botnetistä on Microsoft Security Intelligence -raportin Volume 9: ssa.
Win32 / Zbot on pakettiperustainen perhe; sen muunnokset on rakennettu käyttämällä haittaohjelmistoa nimeltä Zeus. Vaikka tietoturva-alan ammattilaiset ja uutistilit usein viittaavat "Zeus botnet" -tiedostoon, on tärkeää ymmärtää, että Win32 / Zbotilla tarttuneet tietokoneet eivät kuulu kaikkiin yhteen ainoaan suuriin botnet-verkkoon, vaan useita pienempiä, itsenäisesti ohjattuja botnet-verkkoja, joita monet bot -herders.
Joitakin toimintoja, joita Win32 / Zbot-tartunnan saaneita tietokoneita voidaan komentaa suorittaa, ovat:
Estää selaimen tiedot seuraavilla tavoilla:
- Ota kuvakaappauksia pankkisivuilta
- Muokkaa verkkosivuja lomakkeiden laajentamiseksi lisätietojen saamiseksi
- Hanki HTML-lomaketiedot
- Ohjaa käyttäjiä läpinäkyvästi väärennettyihin sivustoihin, jotka näyttävät olevan oikeutettuja
Varastaa järjestelmän tietoja, mukaan lukien:
- Suojatut tallennustiedot
- FTP: stä, sähköpostista ja mukautetuista sovelluksista, kuten WinSCP: stä
- Järjestelmästä ladatut tiedostot
Muuta järjestelmän asetuksia seuraavasti:
- Järjestelmän antaminen käynnistymätöntä sen raitojen peittämiseksi
- Lataa ja suorita muita binäärejä, mikä tarkoittaa tehokkaasti, että kaikki voi olla Win32 / Zbotin tartunnan saaneessa järjestelmässä
Tämä dokumentti Microsoftin julkaiseman Zbot Threatin taistelu antaa yleiskatsauksen salasanan varastamisen troijalaisista Win32 / Zbot-perheestä. Asiakirja tutkii Win32 / Zbotin taustaa, sen toimivuutta, sen toimivuutta ja tarjoaa telemetritietoja ja analyysejä kalenterivuodesta 2010 siitä, miten tämä uhka tunnistetaan ja poistetaan.
Aiheeseen liittyvät julkaisut:
- Ero Windows 8: n, Windows 8 Pro: n ja Windows 8 RT: n välillä
- Täydellinen luettelo Windows Live Writer -pikavalinnoista
- Mikä on Botnet-hyökkäys ja miten se toimii tietokoneella
- Freeware Botnetin poistotyökalut Windowsille
- Botnet Tracker avulla voit seurata live-Botnet-verkkotoimintojen toimintaa ympäri maailmaa