Trojan-Banker.Win32.Qadars

Дата обнаружения 03/06/2016
Класс Trojan-Banker
Платформа Win32
Описание

Вредоносные программы этого семейства распространяются злоумышленниками с использованием набора уязвимостей Nuclear Exploit Kit, а также в спам-сообщениях. Наборы уязвимостей (exploit kit) используются для поиска уязвимостей в программах, установленных на клиентских компьютерах.

При выполнении программы этого семейства на зараженном компьютере запускается программа-загрузчик. Эта программа определяет разрядность операционной системы, после чего загружает и запускает основной модуль вредоносной программы. Загруженный основной модуль запрашивает с сервера управления, контролируемого злоумышленниками, дополнительные модули, расширяющие возможности вредоносных программ семейства.

Программы семейства поддерживают следующие дополнительные модули:
• browser injector
• keylogger
• tor
• vnc
• backconnect
Кроме того, основной модуль загружает файлы конфигурации каждого дополнительного модуля. Например, для браузера такая программа загружает программный код, используемый для внедрения в веб-страницы, открываемые в браузере.

Вредоносные программы этого семейства шифруют соединение, устанавливаемое ими между зараженным компьютером и сервером управления, контролируемым злоумышленниками. В качестве алгоритмов шифрования канала передачи данных используется пара RSA + AES. Используемый программами протокол передачи данных основан на формате двоичного представления данных Concise Binary Object Representation (CBOR).

Дополнительно семейство программ Trojan-Banker.Win32.Qadars использует алгоритм DGA (Domain Generation Algorithm) для скрытия IP-адреса сервера управления.

География атак семейства Trojan-Banker.Win32.Qadars


География атак в период 03.06.2015 — 03.06.2016

TOP 10 стран по количеству атакованных пользователей (%)

Страна % атакованных пользователей*
1 Вьетнам 18,47
2 Индия 15,58
3 Мексика 7,36
4 Бангладеш 4,13
5 Иран 3,34
6 Индонезия 2,87
7 Турция 2,66
8 Алжир 2,59
9 Малайзия 2,55
10 Перу 2,50

*Процент от всех уникальных пользователей продуктов «Лаборатории Касперского», атакованных зловредом