Trojan-Banker.Win32.Shiotob

Дата обнаружения 03/06/2016
Класс Trojan-Banker
Платформа Win32
Описание

Trojan-Banker.Win32.Shiotob представляет собой банковский троянец, также известный как URLZone и Bebloh. Вредоносная программа распространяется в основном в виде вложений электронной почты и была впервые обнаружена в 2009 году.

Trojan-Banker.Win32.Shiotob имеет следующие основные возможности:
• хищение паролей от FTP-клиентов и электронной почты;
• отправка веб-адресов посещенных пользователем веб-сайтов;
• создание и отправка снимков экрана;
• подмена содержимого веб-страниц;
• хищение данных, введенных в веб-формах в браузере;
• отправка адресной книги Windows;
• загрузка и запуск других вредоносных программ.

Адреса дополнительных командных серверов генерируются на основе содержащегося в теле троянца адреса основного сервера. Взаимодействие с сервером происходит по защищенному протоколу HTTPS c дополнительным AES-шифрованием и использованием RSA-шифрования для передачи ключей. Основной особенностью троянца является функционирование программы исключительно в памяти сторонних процессов, таких как браузер, FTP-клиент и файловый менеджер Windows. Все изменения в реестре и на жестком диске, вносимые программой, происходят только во время перезагрузки или выключения компьютера.

География атак семейства Trojan-Banker.Win32.Shiotob


География атак в период 03.06.2015 — 03.06.2016

TOP 10 стран по количеству атакованных пользователей (%)

Страна % атакованных пользователей*
1 Япония 64,05
2 Германия 26,70
3 Австрия 1,36
4 Российская Федерация 1,05
5 Вьетнам 0,62
6 Италия 0,55
7 Швейцария 0,51
8 Испания 0,48
9 Франция 0,41
10 Нидерланды 0,35

*Процент от всех уникальных пользователей продуктов «Лаборатории Касперского», атакованных зловредом