Описание |
Вредоносные программы этого семейства представляют собой троянские программы для онлайн-банков. Такие программы используются злоумышленниками для хищения денежных средств или учетных данных пользователей систем дистанционного банковского обслуживания.
Внутри исполняемого файла таких программ содержатся зашифрованные параметры соединения с серверами злоумышленников. Программы семейства Trojan-Banker.Win32.Neverquest распространяются по принципу MAAS (Malware As A Service, вредоносная программа как услуга). Благодаря такой схеме распространения злоумышленники арендуют у создателей вредоносной программы полностью настроенный комплект программных средств, необходимый для выполнения преступных целей.
Вредоносные программы семейства собирают информацию о зараженном компьютере и отправляют ее на сервер злоумышленников. Программы собирают данные о:
• правах пользователя в операционной системе;
• установленных на компьютере антивирусных программах;
• наличии установленной программы Rapport (by Trusteer);
• архитектуре процессора;
• версии операционной системы (включая версию установленного пакета обновления);
• адресе и порте прокси-сервера (если в параметрах операционной системы установлен прокси-сервер);
• имени NETBIOS зараженного компьютера;
• имени домена (если компьютер входит в домен).
Вредоносные программы этого семейства выполняют следующие действия:
• загрузка и запуск исполняемых файлов;
• кража файлов cookie;
• кража сертификатов, установленных в операционной системе;
• получение списка запущенных процессов;
• очистка папки временных файлов браузера и удаление файлов cookie;
• удаление копий своих файлов;
• запуск и остановка прокси-сервера с поддержкой протокола SOCKS;
• запуск и остановка сервера удаленного доступа по протоколу VNC;
• загрузка и запуск своих обновлений с перезагрузкой компьютера или без нее;
• выполнение команд при помощи системной функции ShellExecute();
• удаление ключей реестра операционной системы;
• кража паролей, сохраненных в FTP-клиентах;
• удаление служебных данных своих копий из реестра операционной системы;
• получение по маске копий файлов с зараженного компьютера;
• получение списка веб-страниц, открывавшихся пользователем (журнал браузера);
• скрытая запись видео и отправка записанных видеофайлов на сервер злоумышленников;
• получение видеофайлов по их номеру;
• удаление видеофайлов по их номеру.
Кроме этого, вредоносные программы этого семейства подменяют содержимое веб-страниц в браузере пользователя, используя данные для замены и конфигурационные файлы, получаемые такими программами с сервера управления, контролируемого злоумышленниками.
География атак семейства Trojan-Banker.Win32.Neverquest

География атак в период 03.06.2015 — 03.06.2016
TOP 10 стран по количеству атакованных пользователей (%)
|
Страна |
% атакованных пользователей* |
1 |
Германия |
15,37 |
2 |
Япония |
7,47 |
3 |
США |
7,05 |
4 |
Испания |
5,35 |
5 |
Франция |
5,18 |
6 |
Италия |
3,57 |
7 |
Польша |
3,23 |
8 |
Канада |
2,63 |
9 |
Индия |
2,46 |
10 |
Великобритания |
2,46 |
*Процент от всех уникальных пользователей продуктов «Лаборатории Касперского», атакованных зловредом
|