Trojan-Banker.Win32.Neverquest2

Classe principal: TrojWare

Os cavalos de Tróia são programas mal-intencionados que executam ações que não são autorizadas pelo usuário: eles excluem, bloqueiam, modificam ou copiam dados e interrompem o desempenho de computadores ou redes de computadores. Ao contrário dos vírus e worms, as ameaças que se enquadram nessa categoria não conseguem fazer cópias de si mesmas ou se auto-replicar. Os cavalos de Tróia são classificados de acordo com o tipo de ação que executam em um computador infectado.

Classe: Trojan-Banker

Os programas do Trojan-Banker são projetados para roubar dados de contas de usuários relacionados a sistemas bancários on-line, sistemas de pagamento eletrônico e sistemas de cartões plásticos. Os dados são então transmitidos ao usuário mal-intencionado que controla o Trojan. E-mail, FTP, a web (incluindo dados em uma solicitação) ou outros métodos podem ser usados ​​para transitar os dados roubados.

Plataforma: Win32

O Win32 é uma API em sistemas operacionais baseados no Windows NT (Windows XP, Windows 7, etc.) que oferece suporte à execução de aplicativos de 32 bits. Uma das plataformas de programação mais difundidas do mundo.

Descrição

Esta família de malware consiste em cavalos de Tróia direcionados contra serviços bancários on-line. O malware é usado por cibercriminosos para roubar dinheiro ou credenciais de contas de usuários de serviços de e-banking. As informações necessárias para se conectar ao servidor dos cibercriminosos são criptografadas dentro do arquivo executável do malware. O Trojan-Banker.Win32.Neverquest2 é distribuído sob o modelo MAAS (Malware As A Service). Isso significa que os cibercriminosos alugam o malware de seus criadores, recebendo um kit de software totalmente pronto para fins criminosos. O malware coleta informações sobre o computador infectado e as envia para o servidor dos cibercriminosos. As informações coletadas incluem: • Direitos do usuário no sistema operacional • Software antivírus instalado no computador • Se o Rapport (pela Trusteer) estiver instalado • Arquitetura da CPU • Versão do sistema operacional (incluindo o número do service pack) • Endereço e porta do servidor proxy um servidor proxy é especificado nas configurações do sistema operacional) • Nome NETBIOS do computador infectado • Nome de domínio (se o computador estiver em um domínio) O malware dessa família executa as seguintes ações: • Download e execução de arquivos executáveis ​​• Roubo de arquivos de cookies Roubando certificados do armazenamento do sistema operacional • Obtendo a lista de processos em execução • Limpando a pasta de cache do navegador e excluindo arquivos de cookie • Removendo cópias de arquivos de malware • Iniciando e parando um servidor proxy SOCKS • Iniciando e parando um servidor de acesso remoto VNC executando atualizações do malware (com ou sem reiniciar o computador) • Executando comandos via ShellExecute ( ) • Excluindo entradas do Registro • Roubando senhas armazenadas em clientes FTP • Excluindo informações sobre cópias do malware do Registro • Copiando arquivos (especificados através da máscara padrão) de um computador infectado • Visualizando o histórico da web do usuário • Gravando vídeo e gravando vídeo ao servidor dos cibercriminosos • Obtenção de arquivos de vídeo pelo número deles • Exclusão de arquivos de vídeo pelo número Além disso, o malware pode substituir o conteúdo de páginas da Web exibidas no navegador do usuário usando arquivos falsos de configuração e conteúdo, que são baixados pelo malware de um servidor controlado por cibercriminosos.

Os 10 principais países com a maioria dos usuários atacados (% do total de ataques)

Saiba mais

Descubra as estatísticas das vulnerabilidades que se espalham em sua região statistics.securelist.com