Terdot. A/z 로더는 잘 알려진 제우스 은행 트로이 목마에 연결 된 기원을 가진 악의적 인 다운로더 이지만 최신 반복에는 간첩 지향 데이터 가로채기 기능의 호스트가 포함 됩니다. 그것은 Zbot을 다운로드 하기로 결정 되었습니다, 악성 뱅킹 트로이 목마/봇, 윈도우 프로세스에 Zbot을 주입, msiexec, 파이어 폭스와 같은 웹 브라우저. 다운로드의 링크 다운/오프 라인, 누구 든 지이 파일을 다시 업로드 할 수 있습니까? 분석 된 샘플의 대부분이 SundownEK에서 삭제 되었습니다 – 일부 캠페인은 여기에 자세히 설명 되어 있습니다: 12 월 28 일, 2016 2017 및 2017. 그러나 악성 전자 메일 첨부 파일에 의해 Terdot. A/z 로더가 삭제 된 경우도 발생 했습니다. Explorer 프로세스에 디버거를 연결 하면 새 PE 파일 (페이로드 .dll)과 함께 삽입 된 셸 코드를 볼 수 있습니다. 이 Zloader에 대 한 일반적인 재미 있고 특이 한 것은 DLL이 메모리 페이지의 시작 부분에서 시작 되지 않지만 셸 코드 후: 인터넷에 연결 되어 있으면 Zloader가 두 번째 단계 (기본 봇)를 로드 하 고 msiexec. 페이로드는이 문서에서 설명 하는 악성 프로그램과 매우 비슷하며 스핑크스 이름 아래에서 참조 됩니다. 그러나, 다른 연구자와 상담 후 (매튜 메사에 특별 감사), 우리는 스핑크스로 판매 되는 봇은 매우 다르다 입증 있어 (샘플).

명명에 대 한 많은 혼란 있기 때문에, 우리는 이름 Terdot Zloader/Zloader에 충실 하기로 결정 했다. 다운로더: Terdot는 그림 4와 그림 5와 같이 오프셋 10039FD 및 10039FD에서 발견 될 수 있는 인터넷을 통해 명령 및 제어 (C2) 서버 로부터 프록시 연결 및 다운로드 페이로드 (Zbot)를 구성 합니다. 2017 년 11 월 28 일의 위협 지침 팀은 내부 동작을 이해 하기 위해 Terdot. A/z 로더 라고 하는 악의적 인 다운로더를 분석 하 라는 요청을 받았습니다. 이 보고서에는 심층 분석 기술 분석과 Ioc (침해 지표)를 포함 한 기타 세부 정보가 포함 됩니다. 우리가 알 수 있듯이, 파일은 악성 코드의 암호화 된 코드를 포함. 제시 된 PHP 스크립트를 사용 하 여 그것은 Zloader 실행 파일에 다시 해독 됩니다: Terdot. A/Zloader, 파일 이름 페이로드. dll 2aadd8786a069427ff0d086daaec73e562b8f6931559630fe5bf239cc13a72b0 70a3c2d1ce0b4c1392ae9ad9e85af5289dc1cfc8dac2c0b91f2a4820ac36e762 19658d5653189d35bdaa49dc0541eec90a5f1b5156f1895f07484aa 759a422c2 a2aa23d21102e0986ad32e7d8364d336a2745b7fec105fc741650a73b6e0481c bd44645d62f634c5ca65b110b2516bdd22462f8b2f3957dbcd821fa5bdeb38a2. z 로더는 손상 된 시스템에 잠재적으로 악성 파일을 다운로드 트로이 목마입니다.