ZYükleyici
Mahkeme izniyle, Microsoft kontrolü ele geçirdi 65 Zloader botnet'ini kontrol etmek için kullanılan alanlar. Bir çalışma grubunun ortak çabaları sayesinde bunları tespit etmek mümkün oldu., Bunların arasında ESET uzmanları da vardı, Siyah Lotus Laboratuvarları (Lumen'in bir parçası olarak), dur, ve Birim 42 Palo Alto Networks güvenlik şirketinin bölümü.
Şimdi, koda dikilen adreste C2'yi ararken, Yerleşik botlardan gelen istekler sahte bir Microsoft sunucusuna yönlendiriliyor (düden). Mahkeme kararı aynı zamanda bir başkasının etkisiz hale getirilmesini de mümkün kılıyor 319 Bot yetiştiricileri tarafından kaydedilen alan adları. Bu adlar DGA tarafından oluşturulmuştur. (kötü amaçlı yazılım bu mekanizmayı bir geri dönüş olarak kullanır), ve çalışma grubu gelecekte benzer kayıtları engellemek için şimdiden harekete geçiyor.
ESET'in konuyla ilgili açıklamasında üç Zloader botnetinden bahsediliyor: uzmanlar bunları kullandıkları kötü amaçlı yazılımın sürümüne göre ayırıyor. Enfeksiyonlar dünya çapında kaydedildi, Kuzey Amerika'da en yüksek konsantrasyona sahip, Japonya, ve Batı Avrupa.
Soruşturma sırasında, botnet'e fidye yazılımı yüklemek için kullanılan kötü amaçlı yazılım bileşeninin yaratıcısını belirlemek de mümkündü; zanaatkarın Simferopol'den Denis Malikov olduğu ortaya çıktı.
BGZQ Virüsü (.bgzq Dosyası) Fidye yazılımı
Bgzq virüsü STOP/Djvu fidye yazılımı grubuna aittir ve Windows bilgisayarlarını hedefler. Bu bilgisayarlardaki dosyaları şifreleyerek çalışır, bunları dosyalara dönüştürerek “.Bgzq” eklenti,…
BGJS Virüsü (.bgjs Dosyası) Fidye yazılımı
Bgjs virüsü STOP/Djvu fidye yazılımı grubuna aittir ve Windows bilgisayarlarını hedefler. Bu bilgisayarlardaki dosyaları şifreleyerek çalışır, bunları dosyalara dönüştürerek “.bgjs” eklenti,…
Microsoft'a göre, çabanın amacı Zloader'ın C2 altyapısını devre dışı bırakmaktı. Düşman, Elbette, kayıp botlarla teması yeniden kurmaya çalışacak, ancak kolluk kuvvetlerine zaten bilgi verildi ve tetikte olacaklar. Bilgi güvenliği uzmanları bu cephedeki gelişmeleri izlemeye devam edecek.
Modüler Zloader Truva Atı ilk kez İnternet sahnesinde ortaya çıktı 2007 ve başlangıçta yalnızca Windows makinelerinin sahiplerinden mali bilgileri çalmak için kullanıldı. Fakat, ayrıca diğer verileri çalmayı da öğrendi (tarayıcılardan, Microsoft Outlook), klavye girişini kaydet, ekran görüntüsü al, tespitten kaçınmak, ve ek kötü amaçlı yazılım indirin, fidye yazılımı dahil.
Zloader sahipleri botnet'lerini kiralamaya başladı, MaaS kullanarak virüslü bilgisayarlara erişim için ücretlendirme (Hizmet Olarak Kötü Amaçlı Yazılım) modeli. Maalesef, Microsoft'a göre, Ryuk'un arkasındaki suç grupları, Karanlık taraf, ve BlackMatter bu kolaylıktan yararlandı. MaaS kötü amaçlı yazılımı çeşitli şekillerde dağıtılır, çoğunlukla arama sonuçlarındaki spam veya kötü amaçlı reklamlar yoluyla.
Geçen yıldan beri, Zloader'ın indirici olarak popülaritesi azaldı, ve şimdi bunu yalnızca iki siber grup kullanıyor, ESET'e göre. Fakat, rahatlamak için henüz çok erken: uzmanlar Truva Atı'nın yeni bir versiyonunu keşfetti, 2.0, vahşi doğada (Geçen yılın temmuz ayında derlenen test örnekleri).