Семейство троянов Zbot инфицирует только некоторые системы

[Kontik]

Семейство троянов Zbot инфицирует только некоторые системы​

Вредоносные программы нацелены на системы с идентификатором CLSID, который аналогичен их идентификатору.


Специалисты компании AVG проанализировали один из образцов семейства троянов Zbot. Эксперты установили, что вредоносная программа использует идентификатор CLSID в качестве проверки защиты для того, чтобы не позволить себя анализировать.
Исследователям удалось запустить образец семейства Zbot на реальном компьютере и выяснить, что перед тем, как начинать свою деятельность, вредоносная программа дважды загружает данные, а затем расшифровывает их и сравнивает определенные байты с другими данными, полученными с локальной машины.

В результате анализа эксперты установили, что выбранный ими образец Zbot заражает системы с идентификатором CLSID, который аналогичен идентификатору вредоносной программы.

Если идентификаторы CLSID совпадают, вредоносная программа начинает свою работу. В настоящее время точно неизвестно, каким образом троян получает идентификатор CLSID целевой системы. Возможно, это происходит во время первой инициализации образца вредоносной программы и его последующей модификации, или во время соединения зараженной машины с командным сервером.​