Trojan-Banker.Win32.Neverquest

Hlavní třída: TrojWare

Trojské koně jsou škodlivé programy, které provádějí akce, které nejsou uživateli povoleny: odstraňují, blokují, upravují nebo kopírují data a narušují výkon počítačů nebo počítačových sítí. Na rozdíl od virů a červů, hrozby, které spadají do této kategorie, nejsou schopné vytvářet kopie nebo se samy replikovat.

Trojice jsou klasifikována podle typu akce, kterou provádějí na infikovaném počítači.

Třída: Trojan-Banker

Programy Trojan-Banker jsou navrženy tak, aby ukradly údaje o uživatelských účtech týkajících se systémů online bankovnictví, elektronických platebních systémů a systémů plastových karet. Data jsou pak předána uživateli se zlými úmysly, který kontroluje Trojan. E-mail, FTP, web (včetně dat v žádosti) nebo jiné metody mohou být použity k přepravě ukradených dat.

Platfoma: Win32

Win32 je rozhraní API v operačních systémech Windows NT (Windows XP, Windows 7 atd.), Které podporují provádění 32bitových aplikací. Jedna z nejrozšířenějších programovacích platforem na světě.

Popis

Tato malwarová rodina se skládá z trojských koní zaměřených proti službám on-line bankovnictví. Malware je používán kybernetickými kriminálníky k ukradnutí peněz nebo pověření účtu od uživatelů služeb elektronického bankovnictví.

Informace potřebné pro připojení k serveru cybercriminals jsou zašifrovány uvnitř spustitelného souboru malware. Trojan-Banker.Win32.Neverquest je distribuován pod modelem MAAS (Malware As A Service). To znamená, že kyberzálci pronajali malware od svých tvůrců a dostali plně připravený softwarový kit pro kriminální účely.

Malware shromažďuje informace o infikovaném počítači a pošle je na server počítačových zločinců. Shromažďované informace zahrnují:
• Uživatelská práva v operačním systému
• Antivirový software nainstalovaný v počítači
• Zda je Rapport (od Trusteer) nainstalován
• architektura procesoru
• verze operačního systému (včetně čísla servisního balíčku)
• Adresa a port proxy serveru (pokud je v nastavení operačního systému zadán server proxy)
• Jméno napadeného počítače NETBIOS
• Název domény (pokud je počítač v doméně)

Malware této rodiny provádí následující akce:
• Stažení a spuštění spustitelných souborů
• Ukrást soubory cookie
• Krádež certifikátů z úložiště operačního systému
• Získání seznamu běžících procesů
• Vymazání složky mezipaměti prohlížeče a odstranění souborů cookie
• Odstranění kopií škodlivých souborů
• Spuštění a zastavení serveru proxy serveru SOCKS
• Spuštění a zastavení serveru vzdáleného přístupu VNC
• Stahování a spuštění aktualizací škodlivého softwaru (s restartováním počítače nebo bez něj)
• Spouštění příkazů prostřednictvím ShellExecute ()
• Smazání položek registru
• Krádežná hesla uložená v klientských serverech FTP
• Smazání informací o kopiích škodlivého softwaru z registru
• Kopírování souborů (určených pomocí masky vzorů) z infikovaného počítače
• Prohlížení historie webu uživatele
• Tajemné nahrávání videa a nahrávání zaznamenaného videa na server počítačoví zločinci
• Získání video souborů podle jejich čísla
• Mazání souborů videa podle jejich čísla

Malware navíc může nahradit obsah webových stránek zobrazovaných v prohlížeči uživatele pomocí spoofedového obsahu a konfiguračních souborů, které jsou stahovány škodlivým softwarem ze serveru řízeného počítačovými zločiny.

Top 10 zemí s nejvíce napadenými uživateli (% z celkového počtu útoků)

Zobrazit více

Zjistěte statistiky zranitelností šířících se ve vaší oblasti statistics.securelist.com