Trojan-Banker.Win32.Neverquest2

Diese Malware-Familie besteht aus Trojanern, die gegen Online-Banking-Dienste gerichtet sind. Die Malware wird von Cyberkriminellen dazu verwendet, Geld oder Kontoausweise von Nutzern von E-Banking-Diensten zu stehlen.

Informationen, die für die Verbindung mit dem Server der Cyberkriminellen benötigt werden, sind in der ausführbaren Datei der Malware verschlüsselt. Trojan-Banker.Win32.Neverquest2 wird unter dem MAAS (Malware As A Service) -Modell vertrieben. Dies bedeutet, dass Cyberkriminelle die Malware von ihren Erstellern ausleihen und ein vollständig vorbereitetes Software-Kit für kriminelle Zwecke erhalten.

Die Malware sammelt Informationen über den infizierten Computer und sendet sie an den Server der Cyberkriminellen. Die gesammelten Informationen umfassen:
• Benutzerrechte im Betriebssystem
• Antivirensoftware auf dem Computer installiert
• Ob Rapport (von Trusteer) installiert ist
• CPU-Architektur
• Betriebssystemversion (einschließlich Service Pack-Nummer)
• Adresse und Port des Proxyservers (wenn in den Betriebssystemeinstellungen ein Proxyserver angegeben ist)
• NETBIOS-Name des infizierten Computers
• Domänenname (wenn sich der Computer in einer Domäne befindet)

Malware dieser Familie führt die folgenden Aktionen aus:
• Herunterladen und Ausführen von ausführbaren Dateien
• Diebstahl von Cookie-Dateien
• Diebstahl von Zertifikaten aus dem Betriebssystemspeicher
• Abrufen der Liste der laufenden Prozesse
• Löschen des Browser-Cache-Ordners und Löschen von Cookie-Dateien
• Entfernen von Kopien von Malware-Dateien
• Starten und Stoppen eines SOCKS-Proxy-Servers
• Starten und Stoppen eines VNC-RAS-Servers
• Herunterladen und Ausführen von Updates der Malware (mit oder ohne Neustart des Computers)
• Ausführen von Befehlen über ShellExecute ()
• Löschen von Registrierungseinträgen
• Diebstahl von Passwörtern, die in FTP-Clients gespeichert sind
• Löschen von Informationen über Kopien der Malware aus der Registrierung
• Kopieren von Dateien (angegeben über die Mustermaske) von einem infizierten Computer
• Anzeigen des Webverlaufs des Benutzers
• Heimliches Aufzeichnen von Videos und Senden von aufgezeichneten Videos an den Server des Cyberkriminellen
• Videodateien nach ihrer Nummer abrufen
• Löschen von Videodateien nach ihrer Nummer

Darüber hinaus kann die Malware den Inhalt von Webseiten, die im Browser des Benutzers angezeigt werden, durch gefälschte Inhalte und Konfigurationsdateien ersetzen, die von der Malware von einem von Cyberkriminellen kontrollierten Server heruntergeladen werden.

Geografische Verteilung der Angriffe durch die Trojan-Banker.Win32.Nequest2 Familie

Geografische Verteilung der Angriffe in der Zeit vom 03. Juni 2015 bis 03. Juni 2016

Top 10 Länder mit den meisten angegriffenen Nutzern (% aller Angriffe)

* Prozentsatz aller einzigartigen Kaspersky-Lab-Benutzer weltweit, die von dieser Malware angegriffen werden