Trojan-Banker.Win32.Qadars

Вредоносные программы этого семейства распространяются злоумышленниками с использованием набора уязвимостей Nuclear Exploit Kit, а также в спам-сообщениях. Наборы уязвимостей (exploit kit) используются для поиска уязвимостей в программах, установленных на клиентских компьютерах.

При выполнении программы этого семейства на зараженном компьютере запускается программа-загрузчик. Эта программа определяет разрядность операционной системы, после чего загружает и запускает основной модуль вредоносной программы. Загруженный основной модуль запрашивает с сервера управления, контролируемого злоумышленниками, дополнительные модули, расширяющие возможности вредоносных программ семейства.

Программы семейства поддерживают следующие дополнительные модули:
• browser injector
• keylogger
• tor
• vnc
• backconnect
Кроме того, основной модуль загружает файлы конфигурации каждого дополнительного модуля. Например, для браузера такая программа загружает программный код, используемый для внедрения в веб-страницы, открываемые в браузере.

Вредоносные программы этого семейства шифруют соединение, устанавливаемое ими между зараженным компьютером и сервером управления, контролируемым злоумышленниками. В качестве алгоритмов шифрования канала передачи данных используется пара RSA + AES. Используемый программами протокол передачи данных основан на формате двоичного представления данных Concise Binary Object Representation (CBOR).

Дополнительно семейство программ Trojan-Banker.Win32.Qadars использует алгоритм DGA (Domain Generation Algorithm) для скрытия IP-адреса сервера управления.

TOP 10 стран по количеству атакованных пользователей (%)

*Процент от всех уникальных пользователей продуктов «Лаборатории Касперского», атакованных зловредом