Trojan-Banker.Win32.Neverquest2

Дата обнаружения 03/06/2016
Класс Trojan-Banker
Платформа Win32
Описание

Вредоносные программы этого семейства представляют собой троянские программы для онлайн-банков. Такие программы используются злоумышленниками для хищения денежных средств или учетных данных пользователей систем дистанционного банковского обслуживания.

Внутри исполняемого файла таких программ содержатся зашифрованные параметры соединения с серверами злоумышленников. Программы семейства Trojan-Banker.Win32.Neverquest2 распространяются по принципу MAAS (Malware As A Service, вредоносная программа как услуга). Благодаря такой схеме распространения злоумышленники арендуют у создателей вредоносной программы полностью настроенный комплект программных средств, необходимый для выполнения преступных целей.

Вредоносные программы семейства собирают информацию о зараженном компьютере и отправляют ее на сервер злоумышленников. Программы собирают данные о:
• правах пользователя в операционной системе;
• установленных на компьютере антивирусных программах;
• наличии установленной программы Rapport (by Trusteer);
• архитектуре процессора;
• версии операционной системы (включая версию установленного пакета обновления);
• адресе и порте прокси-сервера (если в параметрах операционной системы установлен прокси-сервер);
• имени NETBIOS зараженного компьютера;
• имени домена (если компьютер входит в домен).

Вредоносные программы этого семейства выполняют следующие действия:
• загрузка и запуск исполняемых файлов;
• кража файлов cookie;
• кража сертификатов, установленных в операционной системе;
• получение списка запущенных процессов;
• очистка папки временных файлов браузера и удаление файлов cookie;
• удаление копий своих файлов;
• запуск и остановка прокси-сервера с поддержкой протокола SOCKS;
• запуск и остановка сервера удаленного доступа по протоколу VNC;
• загрузка и запуск своих обновлений с перезагрузкой компьютера или без нее;
• выполнение команд при помощи системной функции ShellExecute();
• удаление ключей реестра операционной системы;
• кража паролей, сохраненных в FTP-клиентах;
• удаление служебных данных своих копий из реестра операционной системы;
• получение по маске копий файлов с зараженного компьютера;
• получение списка веб-страниц, открывавшихся пользователем (журнал браузера);
• скрытая запись видео и отправка записанных видеофайлов на сервер злоумышленников;
• получение видеофайлов по их номеру;
• удаление видеофайлов по их номеру.

Кроме этого, вредоносные программы этого семейства подменяют содержимое веб-страниц в браузере пользователя, используя данные для замены и конфигурационные файлы, получаемые такими программами с сервера управления, контролируемого злоумышленниками.

География атак семейства Trojan-Banker.Win32.Neverquest2


География атак в период 03.06.2015 — 03.06.2016

TOP 10 стран по количеству атакованных пользователей (%)

Страна % атакованных пользователей*
1 Российская Федерация 42,77
2 Япония 15,74
3 США 8,46
4 Вьетнам 5,54
5 Великобритания 4,33
6 Румыния 4,09
7 Индия 2,76
8 Германия 1,83
9 Канада 1,24
10 Китай 1,21

*Процент от всех уникальных пользователей продуктов «Лаборатории Касперского», атакованных зловредом