加載器
經法院許可, 微軟奪取了控制權 65 用於控制 Zloader 殭屍網路的域. 通過工作組的共同努力,有可能識別出它們, 其中還包括來自 ESET 的專家, 黑蓮花實驗室 (作為流明的一部分), 阿瓦斯特, 和單位 42 帕洛阿爾托網絡安全公司的部門.
現在, 在縫入代碼的地址處搜索 C2 時, 來自常駐機器人的請求被重定向到虛擬的 Microsoft 服務器 (天坑). 法院命令還可以使另一項無效 319 機器人種植者註冊的域名. 這些名稱由 DGA 生成 (惡意軟件使用此機製作為後備), 並且工作組已經在採取行動阻止未來類似的註冊.
ESET 關於此事的聲明提到了三個 Zloader 殭屍網絡: 專家通過他們使用的惡意軟件版本來區分它們. 全球範圍內已記錄感染情況, 北美濃度最高, 日本, 和西歐.
調查期間, 還可以識別用於將勒索軟體上傳到殭屍網路的惡意軟體元件的創建者; 這位工匠原來是來自辛菲羅波爾的丹尼斯馬利科夫.
聚氨酯酸:win32/rdpwrap – 該怎麼辦?
如果您曾經遇到過警報:Windows PC上的Win32/rdpwrap, 你可能想知道: *我的系統感染了嗎? 我應該驚慌嗎??* 雖然此警告可能令人震驚, 這很重要…
據微軟稱, 該行動的目標是停用 Zloader 的 C2 基礎設施. 敵人, 當然, 將嘗試恢復與丟失的機器人的聯繫, 但執法機構已經收到通知並將保持警惕. 資訊安全專家將繼續關注這方面的進展.
模組化的 Zloader 木馬首次出現在網路場景中 2007 最初僅用於竊取 Windows 電腦所有者的財務信息. 然而, 他也學會了竊取其他數據 (來自瀏覽器, 微軟Outlook), 記錄鍵盤輸入, 截圖, 逃避偵測, 並下載其他惡意軟件, 包括勒索軟體.
Zloader 所有者開始出租他們的殭屍網絡, 使用 MaaS 對訪問受感染計算機進行收費 (惡意軟體即服務) 模型. 很遺憾, 據微軟稱, Ryuk背後的犯罪集團, 黑暗面, BlackMatter 利用了這種便利. MaaS 惡意軟件以多種方式傳播, 最常見的是通過搜索結果中的垃圾郵件或惡意廣告.
從去年開始, Zloader 作為下載器的受歡迎程度有所下降, 現在只有兩個網絡組織使用它, 根據 ESET. 然而, 現在放鬆還為時過早: 專家發現該木馬的新版本, 2.0, 在野外 (去年7月編寫的測試樣本).