加載器
經法院許可, 微軟奪取了控制權 65 用於控制 Zloader 殭屍網路的域. 通過工作組的共同努力,有可能識別出它們, 其中還包括來自 ESET 的專家, 黑蓮花實驗室 (作為流明的一部分), 阿瓦斯特, 和單位 42 帕洛阿爾托網絡安全公司的部門.
現在, 在縫入代碼的地址處搜索 C2 時, 來自常駐機器人的請求被重定向到虛擬的 Microsoft 服務器 (天坑). 法院命令還可以使另一項無效 319 機器人種植者註冊的域名. 這些名稱由 DGA 生成 (惡意軟件使用此機製作為後備), 並且工作組已經在採取行動阻止未來類似的註冊.
ESET 關於此事的聲明提到了三個 Zloader 殭屍網絡: 專家通過他們使用的惡意軟件版本來區分它們. 全球範圍內已記錄感染情況, with the highest concentration in North America, 日本, 和西歐.
調查期間, it was also possible to identify the creator of the malware component used to upload ransomware to the botnet; the craftsman turned out to be Denis Malikov from Simferopol.
聚氨酯酸:win32/rdpwrap – 該怎麼辦?
如果您曾經遇到過警報:Windows PC上的Win32/rdpwrap, 你可能想知道: *我的系統感染了嗎? 我應該驚慌嗎??* 雖然此警告可能令人震驚, 這很重要…
據微軟稱, the effort’s goal was to deactivate Zloader’s C2 infrastructure. The enemy, 當然, will try to restore contact with the lost bots, but law enforcement agencies have already been notified and will be on the alert. Information security experts will continue to monitor developments on this front.
The modular Zloader Trojan first appeared on the Internet scene in 2007 and was initially used only to steal financial information from owners of Windows machines. 然而, he also learned to steal other data (來自瀏覽器, Microsoft Outlook), log keyboard input, take screenshots, evade detection, 並下載其他惡意軟件, including ransomware.
Zloader 所有者開始出租他們的殭屍網絡, 使用 MaaS 對訪問受感染計算機進行收費 (Malware-as-a-Service) 模型. 很遺憾, according to Microsoft, Ryuk背後的犯罪集團, DarkSide, BlackMatter 利用了這種便利. MaaS 惡意軟件以多種方式傳播, 最常見的是通過搜索結果中的垃圾郵件或惡意廣告.
從去年開始, Zloader 作為下載器的受歡迎程度有所下降, 現在只有兩個網絡組織使用它, according to ESET. 然而, 現在放鬆還為時過早: 專家發現該木馬的新版本, 2.0, in the wild (去年7月編寫的測試樣本).