Startseite » Sicherheit » Was Sie über die Win32 / Zbot-Familie von Trojanern wissen müssen, die ein Passwort stehlen

    Was Sie über die Win32 / Zbot-Familie von Trojanern wissen müssen, die ein Passwort stehlen

    Win32 / Zbot ist eine Familie von Passwort stehlenden Trojanern, die Backdoor-Funktionen enthalten, mit denen Angreifer infizierte Computer über illegale Netzwerke, so genannte Botnets, fernsteuern können. Diese Botnet-Familie erregte erstmals in der Presse und in den Medien Aufmerksamkeit, als Mitte 2007 Win32 / Zbot entdeckt wurde, als sie das US-Verkehrsministerium angegriffen hatten.

    Die Botnet-Welt ist zwischen Bot-Familien aufgeteilt, die eng von unabhängigen Angreifergruppen kontrolliert werden, und solchen, die durch Malware-Kits erstellt werden.

    Bei diesen Kits handelt es sich um eine Sammlung von Tools, die innerhalb des Malware-Undergrounds verkauft und zur Verfügung gestellt werden und die es angehenden Botnetzbetreibern oder Bot-Herden ermöglichen, ihre eigenen Botnets zusammenzustellen, indem sie Malware-Varianten erstellen und verbreiten. Ausführlichere Informationen zu Botnetzen finden Sie in der Geschichte von Featured Intelligence in Band 9 des Microsoft Security Intelligence-Berichts.

    Win32 / Zbot ist eine Kit-basierte Familie. Seine Varianten werden mit einem Malware-Kit namens Zeus erstellt. Obwohl sich Sicherheitsexperten und Newskonten häufig auf „das Zeus-Botnetz“ beziehen, ist es wichtig zu wissen, dass Computer, die mit Win32 / Zbot infiziert sind, nicht alle zu einem großen Botnet gehören, sondern viele kleinere, unabhängig gesteuerte Botnets, die von vielen Bot kontrolliert werden -Hirten.

    Zu den Funktionen, die von mit Win32 / Zbot infizierten Computern ausgeführt werden können, gehören:

    Stehlen Sie Browserdaten auf folgende Weise:

    • Machen Sie Screenshots von Bankstandorten
    • Ändern Sie Webseiten, um Formulare zu erweitern, um zusätzliche Informationen zu erhalten
    • Beziehen Sie HTML-Formulardaten
    • Umleiten Sie Benutzer transparent zu gefälschten Websites, die rechtmäßig erscheinen

    Systeminformationen stehlen, einschließlich:

    • Geschützte Speicheranmeldeinformationen
    • Zugangsdaten von FTP, E-Mail und benutzerdefinierten Anwendungen wie WinSCP
    • Vom System hochgeladene Dateien

    Ändern Sie die Systemeinstellungen, um Folgendes zu erreichen:

    • Machen Sie das System nicht mehr startfähig, um seine Spuren zu überdecken
    • Laden Sie andere Binärdateien herunter und führen Sie sie aus. Dies bedeutet, dass sich alles auf einem mit Win32 / Zbot infizierten System befinden kann

    Dieses von Microsoft herausgegebene Dokument "Kampf gegen die Zbot-Bedrohung" bietet einen Überblick über die Win32 / Zbot-Familie von Passwort stehlenden Trojanern. Das Dokument untersucht den Hintergrund von Win32 / Zbot, seine Funktionalität und Funktionsweise und stellt aus dem Kalenderjahr 2010 Telemetriedaten und Analysen dazu bereit, wie diese Bedrohung erkannt und entfernt wird.