Trojan-Banker.Win32.Neverquest

Вредоносные программы этого семейства представляют собой троянские программы для онлайн-банков. Такие программы используются злоумышленниками для хищения денежных средств или учетных данных пользователей систем дистанционного банковского обслуживания.

Внутри исполняемого файла таких программ содержатся зашифрованные параметры соединения с серверами злоумышленников. Программы семейства Trojan-Banker.Win32.Neverquest распространяются по принципу MAAS (Malware As A Service, вредоносная программа как услуга). Благодаря такой схеме распространения злоумышленники арендуют у создателей вредоносной программы полностью настроенный комплект программных средств, необходимый для выполнения преступных целей.

Вредоносные программы семейства собирают информацию о зараженном компьютере и отправляют ее на сервер злоумышленников. Программы собирают данные о:
• правах пользователя в операционной системе;
• установленных на компьютере антивирусных программах;
• наличии установленной программы Rapport (by Trusteer);
• архитектуре процессора;
• версии операционной системы (включая версию установленного пакета обновления);
• адресе и порте прокси-сервера (если в параметрах операционной системы установлен прокси-сервер);
• имени NETBIOS зараженного компьютера;
• имени домена (если компьютер входит в домен).

Вредоносные программы этого семейства выполняют следующие действия:
• загрузка и запуск исполняемых файлов;
• кража файлов cookie;
• кража сертификатов, установленных в операционной системе;
• получение списка запущенных процессов;
• очистка папки временных файлов браузера и удаление файлов cookie;
• удаление копий своих файлов;
• запуск и остановка прокси-сервера с поддержкой протокола SOCKS;
• запуск и остановка сервера удаленного доступа по протоколу VNC;
• загрузка и запуск своих обновлений с перезагрузкой компьютера или без нее;
• выполнение команд при помощи системной функции ShellExecute();
• удаление ключей реестра операционной системы;
• кража паролей, сохраненных в FTP-клиентах;
• удаление служебных данных своих копий из реестра операционной системы;
• получение по маске копий файлов с зараженного компьютера;
• получение списка веб-страниц, открывавшихся пользователем (журнал браузера);
• скрытая запись видео и отправка записанных видеофайлов на сервер злоумышленников;
• получение видеофайлов по их номеру;
• удаление видеофайлов по их номеру.

Кроме этого, вредоносные программы этого семейства подменяют содержимое веб-страниц в браузере пользователя, используя данные для замены и конфигурационные файлы, получаемые такими программами с сервера управления, контролируемого злоумышленниками.

География атак семейства Trojan-Banker.Win32.Neverquest

География атак в период 03.06.2015 — 03.06.2016

TOP 10 стран по количеству атакованных пользователей (%)

*Процент от всех уникальных пользователей продуктов «Лаборатории Касперского», атакованных зловредом