Данная вредоносная программа состоит из компонента, формирующего конфигурационные данные, необходимые для работы троянца, и запускающего саму вредоносную программу, ядра и дополнительных модулей. Характерной особенностью данного троянца является то, что для связи с управляющим сервером он использует P2P-протокол.
В зависимости от заданных параметров Trojan.Dridex.49 встраивается в процессы Проводника (explorer.exe) или браузеров (chrome.exe, firefox.exe, iexplore.exe). Все сообщения, которыми он обменивается с управляющим сервером, шифруются. На инфицированном компьютере эта вредоносная программа может играть одну из трех возможных ролей:
bot — так называется троянец, работающий на компьютере, не имеющем внешнего IP-адреса;
node — троянцы на компьютерах с внешним IP, принимающие сообщения от троянцев первого типа и передающие их троянцам третьего типа;
admin node — троянцы на компьютерах с внешним IP, передают сообщения от троянцев второго типа другим admin node или на управляющий сервер.
Иными словами, для обмена сообщениями ботнет Trojan.Dridex.49 использует цепочку вида bot -> node -> admin node -> другие admin node -> управляющий сервер. Для обеспечения безопасности соединения троянцы осуществляют обмен ключами. В целом схема взаимодействия внутри бот-сети выглядит следующим образом:
Наносимый вред:
Основное предназначение Trojan.Dridex.49 заключается в выполнении веб-инжектов, то есть встраивании постороннего содержимого в просматриваемые пользователем страницы различных финансовых организаций.
Троянец может похищать вводимые пользователем в различные формы конфиденциальные данные и позволяет злоумышленникам получить доступ к банковским счетам жертвы с целью кражи хранящихся там средств.
Отчёты:
https://www.virustotal.com/en/file/...254f1fdea1e7d77f0a5a1385/analysis/1432371026/
https://malwr.com/analysis/MDVjYzc1NzhjZTAxNGJiOThkOTVkZWU5MmE5MGJhZmY/
Защита и лечение:
1.Так как разновидностей банковских троянов великое множество и они постоянно модифицируются,то 100% надежды на антивирусную защиту нет.Но в любом случае аверские базы должны находиться в актуальном состоянии.
2..Во многих АВ вендорах имеются специальные инструменты для безопасного онлайн-банкинга.Например компонент "Безопасные платежи" в Kaspersky Internet Security.Но и это не панацея.
3.Главная защита (как и главная брешь)-это вы сами.Не запускайте подозрительное ПО,не ведитесь на уговоры незнакомцев и даже казалось бы знакомых людей-"запусти эту тулзу и станешь королём аськи".
Для лечения используйте известные антивирусные решения от Kaspersky,Dr.Web,Eset.
После устранения угрозы обязательно смените все пароли от ваших аккаунтов связанных с финансовой деятельностью.И не забывайте о том,что пароли в браузерах хранить не стоит.
В зависимости от заданных параметров Trojan.Dridex.49 встраивается в процессы Проводника (explorer.exe) или браузеров (chrome.exe, firefox.exe, iexplore.exe). Все сообщения, которыми он обменивается с управляющим сервером, шифруются. На инфицированном компьютере эта вредоносная программа может играть одну из трех возможных ролей:
bot — так называется троянец, работающий на компьютере, не имеющем внешнего IP-адреса;
node — троянцы на компьютерах с внешним IP, принимающие сообщения от троянцев первого типа и передающие их троянцам третьего типа;
admin node — троянцы на компьютерах с внешним IP, передают сообщения от троянцев второго типа другим admin node или на управляющий сервер.
Иными словами, для обмена сообщениями ботнет Trojan.Dridex.49 использует цепочку вида bot -> node -> admin node -> другие admin node -> управляющий сервер. Для обеспечения безопасности соединения троянцы осуществляют обмен ключами. В целом схема взаимодействия внутри бот-сети выглядит следующим образом:
Основное предназначение Trojan.Dridex.49 заключается в выполнении веб-инжектов, то есть встраивании постороннего содержимого в просматриваемые пользователем страницы различных финансовых организаций.
Троянец может похищать вводимые пользователем в различные формы конфиденциальные данные и позволяет злоумышленникам получить доступ к банковским счетам жертвы с целью кражи хранящихся там средств.
Отчёты:
https://www.virustotal.com/en/file/...254f1fdea1e7d77f0a5a1385/analysis/1432371026/
https://malwr.com/analysis/MDVjYzc1NzhjZTAxNGJiOThkOTVkZWU5MmE5MGJhZmY/
Защита и лечение:
1.Так как разновидностей банковских троянов великое множество и они постоянно модифицируются,то 100% надежды на антивирусную защиту нет.Но в любом случае аверские базы должны находиться в актуальном состоянии.
2..Во многих АВ вендорах имеются специальные инструменты для безопасного онлайн-банкинга.Например компонент "Безопасные платежи" в Kaspersky Internet Security.Но и это не панацея.
3.Главная защита (как и главная брешь)-это вы сами.Не запускайте подозрительное ПО,не ведитесь на уговоры незнакомцев и даже казалось бы знакомых людей-"запусти эту тулзу и станешь королём аськи".
Для лечения используйте известные антивирусные решения от Kaspersky,Dr.Web,Eset.
После устранения угрозы обязательно смените все пароли от ваших аккаунтов связанных с финансовой деятельностью.И не забывайте о том,что пароли в браузерах хранить не стоит.
