↑ ↓

Информация Trojan.Dridex.49 2015-05-23

Многокомпонентный банковский троянец

  1. Антоха
    Данная вредоносная программа состоит из компонента, формирующего конфигурационные данные, необходимые для работы троянца, и запускающего саму вредоносную программу, ядра и дополнительных модулей. Характерной особенностью данного троянца является то, что для связи с управляющим сервером он использует P2P-протокол.

    В зависимости от заданных параметров Trojan.Dridex.49 встраивается в процессы Проводника (explorer.exe) или браузеров (chrome.exe, firefox.exe, iexplore.exe). Все сообщения, которыми он обменивается с управляющим сервером, шифруются. На инфицированном компьютере эта вредоносная программа может играть одну из трех возможных ролей:

    bot — так называется троянец, работающий на компьютере, не имеющем внешнего IP-адреса;
    node — троянцы на компьютерах с внешним IP, принимающие сообщения от троянцев первого типа и передающие их троянцам третьего типа;
    admin node — троянцы на компьютерах с внешним IP, передают сообщения от троянцев второго типа другим admin node или на управляющий сервер.

    Иными словами, для обмена сообщениями ботнет Trojan.Dridex.49 использует цепочку вида bot -> node -> admin node -> другие admin node -> управляющий сервер. Для обеспечения безопасности соединения троянцы осуществляют обмен ключами. В целом схема взаимодействия внутри бот-сети выглядит следующим образом:
    review_01_ru.1.
    Наносимый вред:
    Основное предназначение Trojan.Dridex.49 заключается в выполнении веб-инжектов, то есть встраивании постороннего содержимого в просматриваемые пользователем страницы различных финансовых организаций.
    Троянец может похищать вводимые пользователем в различные формы конфиденциальные данные и позволяет злоумышленникам получить доступ к банковским счетам жертвы с целью кражи хранящихся там средств.
    Отчёты:
    https://www.virustotal.com/en/file/...254f1fdea1e7d77f0a5a1385/analysis/1432371026/
    https://malwr.com/analysis/MDVjYzc1NzhjZTAxNGJiOThkOTVkZWU5MmE5MGJhZmY/
    Защита и лечение:
    1.Так как разновидностей банковских троянов великое множество и они постоянно модифицируются,то 100% надежды на антивирусную защиту нет.Но в любом случае аверские базы должны находиться в актуальном состоянии.
    2..Во многих АВ вендорах имеются специальные инструменты для безопасного онлайн-банкинга.Например компонент "Безопасные платежи" в Kaspersky Internet Security.Но и это не панацея.
    3.Главная защита (как и главная брешь)-это вы сами.Не запускайте подозрительное ПО,не ведитесь на уговоры незнакомцев и даже казалось бы знакомых людей-"запусти эту тулзу и станешь королём аськи".
    Для лечения используйте известные антивирусные решения от Kaspersky,Dr.Web,Eset.
    После устранения угрозы обязательно смените все пароли от ваших аккаунтов связанных с финансовой деятельностью.И не забывайте о том,что пароли в браузерах хранить не стоит.
    X-Shar и carioca_cat нравится это.

Пoследние рецензии

  1. X-Shar
    X-Shar
    5/5,
    Версия: 2015-05-23
    Отличный обзор ! ;)