Wat u moet weten over de Win32 / Zbot-familie van Trojaanse paarden die een wachtwoord stelen
Win32 / Zbot is een familie van wachtwoordstelende Trojaanse paarden die backdoor-functionaliteit bevatten waarmee aanvallers geïnfecteerde computers op afstand kunnen besturen via ongeoorloofde netwerken die botnets worden genoemd. Deze familie van botnets vestigde eerst de aandacht in pers en media toen Win32 / Zbot medio 2007 werd ontdekt, waarbij het Amerikaanse ministerie van Transport werd aangevallen.
De botnet-wereld is verdeeld tussen botfamilies die nauw worden gecontroleerd door onafhankelijke groepen aanvallers en die families die zijn gemaakt met malware-kits.
Deze kits zijn verzamelingen gereedschappen, verkocht en gedeeld binnen de malware underground, waarmee aspirant botnet operators, of bot-herders, hun eigen botnets kunnen samenstellen door malwarevarianten te maken en verspreiden. Zie het onderwerp Uitgelichte intelligentie in deel 9 van het Microsoft Security Intelligence-rapport voor meer informatie over botnets.
Win32 / Zbot is een op kits gebaseerde familie; zijn varianten worden gebouwd met behulp van een malwarekit genaamd Zeus. Hoewel beveiligingsprofessionals en nieuwsaccounts vaak verwijzen naar "het Zeus-botnet", is het belangrijk om te beseffen dat computers die zijn geïnfecteerd met Win32 / Zbot niet allemaal tot één groot botnet behoren, maar in plaats daarvan veel kleinere onafhankelijk beheerde botnets die worden bestuurd door veel bot -herders.Enkele van de functies die Win32 / Zbot-geïnfecteerde computers kunnen worden opgedragen om uit te voeren zijn:
Steel browsergegevens op de volgende manieren:
- Maak screenshots van banksites
- Wijzig webpagina's om formulieren uit te breiden om extra informatie te vereisen
- Verkrijgen van HTML-formuliergegevens
- Leid gebruikers op transparante wijze om naar nep-sites die legitiem lijken
Steel systeeminformatie, inclusief:
- Beschermde opslagreferenties
- Inloggegevens van FTP, e-mail en aangepaste toepassingen zoals WinSCP
- Bestanden geüpload van het systeem
Pas systeeminstellingen aan om het volgende te bereiken:
- Render het systeem niet-opstartbaar om zijn sporen te dekken
- Download en voer andere binaries uit, wat in feite betekent dat alles op een systeem kan zijn dat is geïnfecteerd met Win32 / Zbot
Dit document Battling the Zbot Threat uitgebracht door Microsoft, biedt een overzicht van de Win32 / Zbot-familie van wachtwoordstelende Trojaanse paarden. Het document onderzoekt de achtergrond van Win32 / Zbot, de functionaliteit ervan, hoe het werkt en biedt telemetriegegevens en -analyses vanaf kalenderjaar 2010 over hoe deze bedreiging wordt gedetecteerd en verwijderd.