Win32 / Zbot è una famiglia di trojan che bloccano le password che contengono funzionalità di backdoor che consente agli aggressori di controllare i computer infetti da remoto attraverso reti illecite chiamate botnet. Questa famiglia di botnet ha attirato l'attenzione della stampa e dei media quando Win32 / Zbot è stato individuato a metà del 2007 contro il dipartimento dei trasporti degli Stati Uniti.
Questi kit sono raccolte di strumenti, venduti e condivisi all'interno del malware, che consentono agli aspiranti operatori di botnet, o bot-herders, di assemblare le proprie botnet creando e diffondendo varianti di malware. Per informazioni più dettagliate sulle botnet, vedere la storia di Intelligenza in primo piano nel Volume 9 del report di Microsoft Security Intelligence.
Win32 / Zbot è una famiglia basata su kit; le sue varianti sono costruite usando un kit di malware chiamato Zeus. Sebbene i professionisti della sicurezza e gli account di notizie facciano spesso riferimento alla "botnet Zeus", è importante rendersi conto che i computer infettati da Win32 / Zbot non appartengono tutti a una singola grande botnet, ma piuttosto a botnet controllati in modo indipendente da molti bot -herders.
Alcune delle funzioni che possono essere comandate dai computer infettati da Win32 / Zbot includono:
Ruba i dati del browser nei seguenti modi:
- Fai screenshot di siti bancari
- Modifica le pagine Web per estendere i moduli per richiedere informazioni aggiuntive
- Ottenere dati del modulo HTML
- Reindirizza in modo trasparente gli utenti a siti falsi che sembrano legittimi
Rubare informazioni sul sistema, tra cui:
- Credenziali di archiviazione protette
- Credenziali da FTP, e-mail e applicazioni personalizzate come WinSCP
- File caricati dal sistema
Modificare le impostazioni di sistema per ottenere quanto segue:
- Rendi il sistema non avviabile per coprire le sue tracce
- Scarica ed esegui altri binari, il che significa che qualsiasi cosa potrebbe essere su un sistema infettato da Win32 / Zbot
In questo documento Battling the Zbot Threat rilasciato da Microsoft, viene fornita una panoramica della famiglia Win32 / Zbot di trojan che bloccano le password. Il documento esamina lo sfondo di Win32 / Zbot, le sue funzionalità, come funziona e fornisce dati di telemetria e analisi a partire dall'anno solare 2010 su come questa minaccia viene rilevata e rimossa.
Articoli correlati:
- Differenza tra Windows 8, Windows 8 Pro e Windows 8 RT
- Elenco completo delle scorciatoie da tastiera di Windows Live Writer
- Che cos'è un attacco Botnet e come funziona su un computer
- Strumenti di rimozione di botnet freeware per Windows
- Botnet Tracker ti consente di monitorare l'attività delle Botnet dal vivo in tutto il mondo