DIESER SERVICE KANN ÜBERSETZUNGEN VON GOOGLE ENTHALTEN. GOOGLE ÜBERNIMMT KEINERLEI VERANTWORTUNG FÜR DIE ÜBERSETZUNGEN. DARUNTER FÄLLT JEGLICHE VERANTWORTUNG IN BEZUG AUF RICHTIGKEIT UND ZUVERLÄSSIGKEIT SOWIE JEGLICHE STILLSCHWEIGENDEN GEWÄHRLEISTUNGEN DER MARKTGÄNGIGKEIT, NICHT-VERLETZUNG VON RECHTEN DRITTER ODER DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK.

Die Website von Kaspersky Lab wurde für Ihre Bequemlichkeit mithilfe einer Übersetzungssoftware von Google Translate übersetzt. Es wurden angemessene Bemühungen für die Bereitstellung einer akkuraten Übersetzung unternommen. Bitte beachten Sie, dass automatisierte Übersetzungen nicht perfekt sind und menschliche Übersetzer in keinem Fall ersetzen sollen. Übersetzungen werden den Nutzern der Kaspersky-Lab-Website als Service und "wie sie sind" zur Verfügung gestellt. Die Richtigkeit, Zuverlässigkeit oder Korrektheit jeglicher Übersetzungen aus dem Englischen in eine andere Sprache wird weder ausdrücklich noch stillschweigend garantiert. Einige Inhalte (z. B. Bilder, Videos, Flash, usw.) können aufgrund der Einschränkungen der Übersetzungssoftware möglicherweise nicht inhaltsgetreu übersetzt werden.

Trojan-Banker.Win32.Chthonic

Erkennungsdatum 06/03/2016
Kategorie Trojan-Banker
Plattform Win32
Beschreibung

Untersuchungen zeigen, dass diese Malware-Familie ein Ableger von ZeusVM-Malware ist. Die Trojan-Banker.Win32.Chthonic-Familie unterscheidet sich jedoch erheblich von ihren Vorgängern.
In dieser neueren Malware verwenden Cyberkriminelle Code-Verschleierungstechniken, die zuvor in der Andromeda-Bot-Familie beobachtet wurden. Um die Analyse der Malware und des Netzwerkverkehrs zu erschweren, verschlüsseln Cyberkriminelle Malware-Komponenten (z. B. Konfigurationsdateien) mit den gleichen Algorithmen und Methoden wie die Zeus AES- und Zeus V2-Trojaner. Wie bei der ZeusVM-Malware-Familie (auch bekannt als KINS) verschlüsselt Trojan-Banker.Win32.Chthonic seine Dateien mit Hilfe einer virtuellen Maschine.

Trojaner dieser Familie werden von Cyberkriminellen in Spam-Nachrichten verbreitet, die Schwachstellen ausnutzen sollen, oder vom Andromeda-Bot, der die Malware auf einen infizierten Computer herunterlädt.

Der anfängliche Trojan-Banker.Win32.Chthonic Loader lädt einen fortgeschritteneren Loader herunter, der dann das Hauptmodul des Trojaners herunterlädt.

Trojaner in dieser Familie haben eine modulare Architektur mit einer Hauptkomponente, die die folgenden herunterladbaren Module unterstützt:
• info, sammelt Informationen über den infizierten Computer.
• Pony, stiehlt gespeicherte Passwörter.
• klog, fängt Tastenanschläge ab.
• http, fügt ein schädliches Skript in Webseiten ein und fängt Daten ab, die in Online-Formularen in Webbrowsern eingegeben wurden.
• vnc ermöglicht Cyberkriminellen, sich remote mit dem infizierten Computer zu verbinden und Banktransaktionen durchzuführen.
• Socken, ein separater SOCKS-Proxy-Server.
• cam_recorder ermöglicht Cyberkriminellen die Aufzeichnung von Video- und Audiodaten von der Webcam und dem Mikrofon eines Computers.

Geografische Verteilung der Angriffe von der Trojan-Banker.Win32.Chthonic Familie


Geografische Verteilung der Angriffe in der Zeit vom 03. Juni 2015 bis 03. Juni 2016

Top 10 Länder mit den meisten angegriffenen Nutzern (% aller Angriffe)

Land % der Nutzer weltweit angegriffen *
1 Russische Föderation 51.23
2 Ukraine 22.50
3 Australien 9.64
4 Kasachstan 4.73
5 China 2.08
6 Deutschland 0,95
7 Südkorea 0,95
8 Indien 0.76
9 Italien 0,57
10 Thailand 0,57

* Prozentsatz aller einzigartigen Kaspersky-Lab-Benutzer weltweit, die von dieser Malware angegriffen werden


Link zum Original