Trojan-Banker.Win32.Chthonic

Дата обнаружения 03/06/2016
Класс Trojan-Banker
Платформа Win32
Описание

Как показывают исследования, вредоносные программы этого семейства являются развитием программ семейства ZeusVM. В то же время, программы семейства Trojan-Banker.Win32.Chthonic содержат значительные изменения, отличающие их от программ, на основе которых они созданы.

В программах нового типа злоумышленники используют методы обфускации (от лат. obfuscare, затенять) кода, встречающиеся в семействе ботов (бот – сокр. от робот) Andromeda. Чтобы усложнить анализ программ и данных, передаваемых такими программами по сети, злоумышленники шифруют компоненты этих программ, например, их конфигурационные файлы, с помощью алгоритмов и методов, применяемых в троянских программх Zeus AES и Zeus V2. Как и вредоносные программы семейства ZeusVM (также известного под названием KINS), программы семейства Trojan-Banker.Win32.Chthonic шифруют свои файлы с помощью виртуальной машины.

Троянские программы этого семейства распространяются злоумышленниками в спам-сообщениях, в которых используются уязвимости, или с помощью бота Andromeda, который сам загружает эти программы на зараженный компьютер.

Программа загрузки бота Trojan-Banker.Win32.Chthonic скачивает расширенный загрузчик, который, в свою очередь, скачивает основной модуль троянской программы.

Троянская программа семейства построена на модульной архитектуре и помимо главного компонента может загружать следующие модули:
• info — собирает информацию о зараженном компьютере.
• pony — крадет сохраненные пароли.
• klog — перехватывает нажатия клавиш на клавиатуре.
• http — внедряет вредоносный скрипт в веб-страницы и перехватывает данные форм в браузерах.
• vnc — позволяет злоумышленникам удаленно подключаться к зараженному компьютеру и совершать банковские транзакции.
• socks — отдельный прокси-сервер, использующий протокол SOCKS.
• cam_recorder — позволяет злоумышленникам записывать видео и звук, если на компьютере есть веб-камера и микрофон.

География атак семейства Trojan-Banker.Win32.Chthonic


География атак в период 03.06.2015 — 03.06.2016

TOP 10 стран по количеству атакованных пользователей (%)

Страна % атакованных пользователей*
1 Российская Федерация 51,23
2 Украина 22,50
3 Австралия 9,64
4 Казахстан 4,73
5 Китай 2,08
6 Германия 0,95
7 Корея 0,95
8 Индия 0,76
9 Италия 0,57
10 Таиланд 0,57

*Процент от всех уникальных пользователей продуктов «Лаборатории Касперского», атакованных зловредом