Lo que necesita saber sobre la familia Win32 / Zbot de troyanos que roban contraseñas
Win32 / Zbot es una familia de troyanos que roban contraseñas que contienen una funcionalidad de puerta trasera que permite a los atacantes controlar las computadoras infectadas de forma remota a través de redes ilícitas llamadas botnets. Esta familia de redes de bots atrajo la atención por primera vez en la prensa y los medios de comunicación cuando se detectó Win32 / Zbot a mediados de 2007 atacando el Departamento de Transporte de los Estados Unidos..
El mundo de las redes de bots se divide entre familias de bot que están controladas de cerca por grupos independientes de atacantes y aquellas que se crean a través de kits de malware..
Estos kits son colecciones de herramientas, vendidas y compartidas dentro del malware subterráneo, que permiten a los aspirantes a operadores de redes de bots, o asesores de bots, ensamblar sus propias redes de bots creando y difundiendo variantes de malware. Para obtener información más detallada sobre las botnets, consulte la historia de Featured Intelligence en el Volumen 9 del Informe de Microsoft Security Intelligence.
Win32 / Zbot es una familia basada en kit; sus variantes se construyen utilizando un kit de malware llamado Zeus. Si bien los profesionales de la seguridad y las cuentas de noticias a menudo hacen referencia a "la red de bots de Zeus", es importante darse cuenta de que las computadoras infectadas con Win32 / Zbot no pertenecen a una sola red de bots grande, sino a muchas redes de bots controladas de forma independiente y más pequeñas controladas por muchos bots. -derros.Algunas de las funciones que se puede ordenar a las computadoras infectadas con Win32 / Zbot que realicen incluyen:
Roba los datos del navegador de las siguientes maneras:
- Toma capturas de pantalla de sitios bancarios.
- Modifique páginas web para ampliar formularios y requerir información adicional.
- Obtener datos de formulario HTML
- Redirige de forma transparente a los usuarios a sitios falsos que parecen ser legítimos.
Robar información del sistema, incluyendo:
- Credenciales de almacenamiento protegido
- Credenciales de FTP, correo electrónico y aplicaciones personalizadas como WinSCP
- Archivos cargados desde el sistema
Modifique la configuración del sistema para lograr lo siguiente:
- Haga que el sistema no arranque para cubrir sus pistas.
- Descargue y ejecute otros binarios, lo que efectivamente significa que cualquier cosa podría estar en un sistema infectado por Win32 / Zbot
Este documento Battling the Zbot Threat, publicado por Microsoft, proporciona una descripción general de la familia Win32 / Zbot de troyanos que roban contraseñas. El documento examina los antecedentes de Win32 / Zbot, su funcionalidad, cómo funciona, y proporciona datos y análisis de telemetría del año calendario 2010 sobre cómo se detecta y elimina esta amenaza..