Trojan-Banker.Win32.Neverquest

Hauptgruppierung: TrojWare

Trojaner sind schädliche Programme, die Aktionen ausführen, die vom Benutzer nicht autorisiert sind: Sie löschen, blockieren, ändern oder kopieren Daten und stören die Leistung von Computern oder Computernetzwerken. Im Gegensatz zu Viren und Würmern können die Bedrohungen, die in diese Kategorie fallen, keine Kopien von sich selbst erstellen oder sich selbst replizieren.

Trojaner werden nach ihrer Aktion auf einem infizierten Computer klassifiziert.

Kategorie: Trojan-Banker

Trojan-Banker-Programme dienen dazu, Daten von Benutzerkonten in Bezug auf Online-Banking-Systeme, E-Payment-Systeme und Plastikkartensysteme zu stehlen. Die Daten werden dann an den böswilligen Benutzer übermittelt, der den Trojaner kontrolliert. E-Mail, FTP, das Internet (einschließlich Daten in einer Anfrage) oder andere Methoden können verwendet werden, um die gestohlenen Daten zu übertragen.


Mehr Informationen

Plattform: Win32

Win32 ist eine API auf Windows NT-basierten Betriebssystemen (Windows XP, Windows 7 usw.), die die Ausführung von 32-Bit-Anwendungen unterstützt. Eine der am weitesten verbreiteten Programmierplattformen der Welt.

Beschreibung

Diese Malware-Familie besteht aus Trojanern, die gegen Online-Banking-Dienste gerichtet sind. Die Malware wird von Cyberkriminellen dazu verwendet, Geld oder Kontoausweise von Nutzern von E-Banking-Diensten zu stehlen.

Informationen, die für die Verbindung mit dem Server der Cyberkriminellen benötigt werden, sind in der ausführbaren Datei der Malware verschlüsselt. Trojan-Banker.Win32.Neverquest wird unter dem MAAS (Malware As A Service) -Modell vertrieben. Dies bedeutet, dass Cyberkriminelle die Malware von ihren Erstellern ausleihen und ein vollständig vorbereitetes Software-Kit für kriminelle Zwecke erhalten.

Die Malware sammelt Informationen über den infizierten Computer und sendet sie an den Server der Cyberkriminellen. Die gesammelten Informationen umfassen:
• Benutzerrechte im Betriebssystem
• Antivirensoftware auf dem Computer installiert
• Ob Rapport (von Trusteer) installiert ist
• CPU-Architektur
• Betriebssystemversion (einschließlich Service Pack-Nummer)
• Adresse und Port des Proxyservers (wenn in den Betriebssystemeinstellungen ein Proxyserver angegeben ist)
• NETBIOS-Name des infizierten Computers
• Domänenname (wenn sich der Computer in einer Domäne befindet)

Malware dieser Familie führt die folgenden Aktionen aus:
• Herunterladen und Ausführen von ausführbaren Dateien
• Diebstahl von Cookie-Dateien
• Diebstahl von Zertifikaten aus dem Betriebssystemspeicher
• Abrufen der Liste der laufenden Prozesse
• Löschen des Browser-Cache-Ordners und Löschen von Cookie-Dateien
• Entfernen von Kopien von Malware-Dateien
• Starten und Stoppen eines SOCKS-Proxy-Servers
• Starten und Stoppen eines VNC-RAS-Servers
• Herunterladen und Ausführen von Updates der Malware (mit oder ohne Neustart des Computers)
• Ausführen von Befehlen über ShellExecute ()
• Löschen von Registrierungseinträgen
• Diebstahl von Passwörtern, die in FTP-Clients gespeichert sind
• Löschen von Informationen über Kopien der Malware aus der Registrierung
• Kopieren von Dateien (angegeben über die Mustermaske) von einem infizierten Computer
• Anzeigen des Webverlaufs des Benutzers
• Heimliches Aufzeichnen von Videos und Senden von aufgezeichneten Videos an den Server des Cyberkriminellen
• Videodateien nach ihrer Nummer abrufen
• Löschen von Videodateien nach ihrer Nummer

Darüber hinaus kann die Malware den Inhalt von Webseiten, die im Browser des Benutzers angezeigt werden, durch gefälschte Inhalte und Konfigurationsdateien ersetzen, die von der Malware von einem von Cyberkriminellen kontrollierten Server heruntergeladen werden.

Top 10 Länder mit den meisten angegriffenen Nutzern (% aller Angriffe)

Mehr erfahren

Informieren Sie sich über die Statistiken der in Ihrer Region verbreiteten Sicherheitslücken statistics.securelist.com