Trojan-Banker.Win32.Neverquest

Родительский класс: TrojWare

Вредоносные программы, которые осуществляют несанкционированные пользователем действия: уничтожают, блокируют, модифицируют или копируют информацию, нарушают работу компьютеров или компьютерных сетей. В отличие от вирусов и червей, представители этой категории не умеют создавать свои копии, не способны к самовоспроизведению.

Класс: Trojan-Banker

Предназначены для кражи пользовательской информации, относящейся к банковским системам, системам электронных денег и пластиковых карт. Найденная информация передается злоумышленнику. Для передачи данных могут быть использованы электронная почта, ftp, web (посредством указания данных в запросе) и другие способы.

Подробнее

Платформа: Win32

Win32 - платформа, управляемая операционной системой на базе Windows NT (Windows XP, Windows 7 и т.д.), позволяющей исполнять 32-битные приложения. В настоящее время данная платформа является одной из наиболее распространенных.

Описание

Вредоносные программы этого семейства представляют собой троянские программы для онлайн-банков. Такие программы используются злоумышленниками для хищения денежных средств или учетных данных пользователей систем дистанционного банковского обслуживания. Внутри исполняемого файла таких программ содержатся зашифрованные параметры соединения с серверами злоумышленников. Программы семейства Trojan-Banker.Win32.Neverquest распространяются по принципу MAAS (Malware As A Service, вредоносная программа как услуга). Благодаря такой схеме распространения злоумышленники арендуют у создателей вредоносной программы полностью настроенный комплект программных средств, необходимый для выполнения преступных целей. Вредоносные программы семейства собирают информацию о зараженном компьютере и отправляют ее на сервер злоумышленников. Программы собирают данные о: • правах пользователя в операционной системе; • установленных на компьютере антивирусных программах; • наличии установленной программы Rapport (by Trusteer); • архитектуре процессора; • версии операционной системы (включая версию установленного пакета обновления); • адресе и порте прокси-сервера (если в параметрах операционной системы установлен прокси-сервер); • имени NETBIOS зараженного компьютера; • имени домена (если компьютер входит в домен). Вредоносные программы этого семейства выполняют следующие действия: • загрузка и запуск исполняемых файлов; • кража файлов cookie; • кража сертификатов, установленных в операционной системе; • получение списка запущенных процессов; • очистка папки временных файлов браузера и удаление файлов cookie; • удаление копий своих файлов; • запуск и остановка прокси-сервера с поддержкой протокола SOCKS; • запуск и остановка сервера удаленного доступа по протоколу VNC; • загрузка и запуск своих обновлений с перезагрузкой компьютера или без нее; • выполнение команд при помощи системной функции ShellExecute(); • удаление ключей реестра операционной системы; • кража паролей, сохраненных в FTP-клиентах; • удаление служебных данных своих копий из реестра операционной системы; • получение по маске копий файлов с зараженного компьютера; • получение списка веб-страниц, открывавшихся пользователем (журнал браузера); • скрытая запись видео и отправка записанных видеофайлов на сервер злоумышленников; • получение видеофайлов по их номеру; • удаление видеофайлов по их номеру. Кроме этого, вредоносные программы этого семейства подменяют содержимое веб-страниц в браузере пользователя, используя данные для замены и конфигурационные файлы, получаемые такими программами с сервера управления, контролируемого злоумышленниками.

TOP 10 стран по количеству атакованных пользователей (%)

Смотрите также

Узнай статистику распространения уязвимостей в своем регионе statistics.securelist.com