Den DanaBot Trojan er en farlig virusinfektion, der specifikt retter sig mod netbank-brugere. Det kan forårsage mange systemændringer, spionere på brugerne og også implementere andre vira, herunder ransomware. Læs vores komplette analyse og fjernelse guide til at lære at genoprette inficerede værter.
Trussel Summary
Navn | DanaBot |
Type | Trojan, Ransomware, Cryptocurrency Miner |
Kort beskrivelse | Den DanaBot Trojan er i stand til spionage på brugerne og deres maskiner og høst følsomme data fra det. |
Symptomer | Afhængigt af sagen brugerne kan opleve usædvanlige problemer med ydeevnen. |
Distributionsmetode | Spam e-mails, Vedhæftede filer |
Værktøj Detection |
Se, om dit system er blevet påvirket af malware
Hent
Værktøj til fjernelse af malware
|
Brugererfaring | Tilmeld dig vores forum at diskutere DanaBot. |
Data Recovery Tool | Windows Data Recovery af Stellar Phoenix Varsel! Dette produkt scanner dine drev sektorer til at gendanne mistede filer, og det kan ikke komme sig 100% af de krypterede filer, men kun få af dem, afhængigt af situationen og uanset om du har omformateret drevet. |
DanaBot Trojan – Opdatering August 2019
Danabot Trojan er for nylig blevet opdaget i et infiltrationsangreb rettet mod flere netværk i hele Europa, Australien og Nordamerika. Et af de vigtigste lande, der er målrettet mod, er Tyskland, og målene er ikke kun finansielle virksomheder, men også detailbranchen. I henhold til de tilgængelige rapporter bevarer de nye versioner af Danabot Trojan deres banktyveri-kapaciteter og tilføjer også ny funktionalitet.
Indtil videre foregår distributionen via Javascript-kodeinjektion - det betyder, at hovedmetoden er afhængig af at sende indhold, der inkluderer det. Den nemmeste måde er at opføre phishing-angrebskampagner som enten kan udføres via e-mail eller oprettelse af ondsindede hacker-sider. Kriminelle vil enten skubbe den inficerede kode eller malware-data eller linke dem i indholdet - som tekstlink, interaktive multimediefunktioner og osv.
Når hovedmotoren er blevet anvendt på et givet system, begynder det straks at omkonfigurere systemet, det tilsigtede mål er at gøre sig selv til en vedvarende infektion - truslen blokerer brugernes forsøg på fjernelse, og den starter automatisk selv, så snart computeren er tændt. Det kan også blokere adgangen til inddrivelse opstartsmuligheder.
Fire kommando- og kontrolserver bruges i den seneste udgivelse, der viser, at hackerne bag angrebet ikke ønsker at blive opdaget:
- Australien
- Tyskland
- Schweiz
- Holland
Efter den første indtrængen og indstillingen startes de sædvanlige bank-Trojan-aktiviteter.
DanaBot Trojan - distributionsmetoder
Den DanaBot Trojan er en nyopdaget bank trojansk hest, der toppede i maj 2018. Prøver fortsat spredes til brugere over hele verden, og det fremgår, at hackere vil fortsætte med at bruge forskellige strategier for at sprede den. I øjeblikket er hovedvægten af DanaBot trojanske angreb synes at være Australien, de fleste af de rapporterede infektioner synes at målrette ofrene befinder sig i landet.
En af de primære distributionsteknikker er anvendelsen af SPAM e-mails. De bruger social engineering teknikker, designe e-mails med elementer fra kendte virksomheder. Dette kan forvirre brugerne til at tro, at de har modtaget en legitim meddelelse eller en adgangskode link til nulstilling. Ved vekselvirkning med elementerne brugerne kan downloade og eksekvere den DanaBot trojanske fil direkte eller blive bedt om i følgende “instruktioner” der i sidste ende vil føre til sin installation.
En lignende teknik anvendes til at konstruere ondsindede websider - ved hjælp af en lignende strategi de kriminelle konstruere falske websteder. De kan udgive legitime sælgeren sites eller downloade portaler. Sammen med de e-mails, de er de primære distributionsmetoder til inficerede nyttelast. Der er to almindelige typer, der bruges meget til at føre til den trojanske infektion:
- Dokumenter - offeret brugere får links til dokumenter, der efterligner legitime breve, meddelelser eller andre filer af interesse. De kan være under forskellige former (præsentationer, tekstfiler, databaser eller regneark). Når de åbnes af brugerne et vindue meddelelse vises beder dem om at gøre det muligt for de indbyggede makroer (scripts). Når dette er gjort virus infektion startes.
- Ansøgning Installers - En lignende teknik bruges til at inficere ansøgning installatører med DanaBot trojanske koden. Hackerne bag det vælger populære software, der ofte installeres af slutbrugerne: kreativitet suiter, systemværktøjer eller produktivitet apps. De er lavet ved at tage de legitime installatører fra de officielle leverandør / download portaler og skubbe dem gennem de falske forekomster.
Avancerede scenarier udnytter browser hijackers - ondsindet web browser plugins, der normalt er spredt på de tilknyttede browser-plugin repositories. De kriminelle gør brug af falske udvikleroplysninger og brugeranmeldelser sammen med en omfattende beskrivelse. Når de er installeret de indbyggede scripts vil omdirigere ofrene for en hacker-kontrolleret adresse.
DanaBot Trojan - dybtgående analyse
Den DanaBot virus har vist sig at indeholde et modulopbygget motor, der kan tilpasses i henhold til de foreslåede mål. Det følger en flertrins infektion mønster, der begynder med den oprindelige infektion. En serie af scripts kaldes som henter hovedmotoren.
En af de første handlinger, der udføres, er det starten på en informationsindsamling komponent, som bruges til at høste personlige oplysninger fra de inficerede systemer. Normalt oplysningerne er klassificeret i to forskellige grupper:
- Victim Bruger Identitet - Den trojanske er konfigureret til opslag, isolere og udtrække strenge, der afslører detaljer om ofrene og deres private identitet. De indsamlede oplysninger kan bruges til direkte at afsløre dem ved at indeholde data, såsom deres navn, adresse, telefonnummer, interesser, placering og deres kontooplysninger.
- Kampagne optimering Metrics - Hackerne kan hente data, der kan være nyttige i planlægningen og yderligere optimering angrebene. Dette omfatter en rapport over alle installerede hardwarekomponenter, visse operativsystem værdier og de brugerdefinerede sæt internationale indstillinger.
Disse data kan derefter overføres til et andet modul kaldet stealth beskyttelse. Det scanner de installerede applikationer og processer, der kører i hukommelsen for eventuelle forekomster, der kan blokere den sædvanlige udførelse af den trojanske. Dette omfatter en af følgende - virtuel maskine vært, anti-virus-programmer og debug miljøer bruges af programmører.
Som DanaBot er en bank trojanske det vil omfatte ekstra funktioner såsom evnen til at udføre forskellige systemændringer. Nogle af dem omfatter følgende:
- Windows Registry Ændringer - Motoren kan foretage ændringer i oplysningerne, der tilhører både til operativsystemet og de brugerdefinerede installeret programmer. En sådan adfærd kan forhindre visse funktioner i at fungere korrekt og den samlede præstation vil lide.
- vedvarende trussel - Den malware kan installeres som en vedvarende trussel, som gør det automatisk starte, når computeren er startet. Dette trin kan afbryde bestemte tjenester og applikationer i at køre ordentligt. En anden effekt er den manglende evne til at komme ind i menuen boot opsving. Dette forhindrer brugen af de fleste manuelle instruktioner inddrivelse.
- Yderligere Moduler Hent - Afhængig af den enkelte brugerprofiler den DanaBot trojanske infektion kan anmode om download og installation af ekstra plugins.
- Netværk Sniffer Udførelse - Dette modul kan høste levende netværkstrafik, der indirekte kan afsløre kontooplysninger og site-interaktioner.
- Information Stealer - Denne komponent bruges til at indlede den grundige information stjæle ovennævnte aktiviteter.
- VNC-klient - Dette installerer en remote desktop-klient, som bruges af hackere til at overtage kontrollen med inficerede værter på et givet tidspunkt.
DanaBot Trojan - trojanske Operationer
DanaBot er en bank trojan, som downloader og ure til specifikke underskrifter fra netbank. Det bruger info stjæle modul for at tilslutte op til de understøttede browsere (Mozilla Firefox, Google Chrome og Opera) og udtrække alle gemt inden legitimationsoplysninger. Et interessant faktum er, at hackere bag malware motor også har tilføjet understøttelse for nogle FTP-klienter: FileZilla, WinSock FTP, SmartFTP og FlashFXP.
Når en login-side til en netbank konto er adgang motoren vilje automatisk omdirigere brugerne til en falsk phishing side. Dette er en meget vellykket taktik, da det indebærer følgende betingelser:
- Sikkerhed Software omgås - Som et af de første skridt i infektionsprocessen er sikkerheden bypass af sikkerhedssoftware hackere vil være i stand til at præsentere alle slags phishing-sider uden afbrydelse.
- Ingen advarselstegn - Infektionerne kan tilslutte dybt ind i systemet og ansøgningsprocesser. Dette fører til en meget problemfri infektion.
- Live-Computer Overtagelse - De kriminelle kan overvåge og tage over computere på et givent tidspunkt, uden at dette blive bemærket af ofrene.
Sammen med de online bankoplysninger malware kan også scanne systemet for enhver cryptocurrency tegnebøger. De er specialiseret software, der bruges til at lagre og operere med digitale valutaer.
Truslen er også kendt under følgende navne:
- TROJ_BANLOAD.THFOAAH
- Trojan-Downloader (005318D71)
- Trojan-Downloader (00532fa91)
- Trojan-Dropper.Win32.Danabot
- Trojan.Downloader.Banload
- Trojan.Generic.22925578
- Trojan.GenericKD.30907310
- Trojan.Tiggre
- Trojan.Win32.Z.Delf.261632.F
- Trojan / Win32.Agent.C2493942
- W32 / Banload.ABCAQ!tr.dldr
Preparation before removing DanaBot.
, Før den egentlige fjernelse proces, Vi anbefaler, at du gør følgende forberedelse trin.
- Sørg for at have disse instruktioner altid åben og foran dine øjne.
- Gør en sikkerhedskopi af alle dine filer, selv om de kunne blive beskadiget. Du bør sikkerhedskopiere dine data med en sky backup-løsning og forsikre dine filer mod enhver form for tab, selv fra de mest alvorlige trusler.
- Vær tålmodig, da det kan tage et stykke tid.
- Scan for malware
- Rette registre
- Fjern virusfiler
Trin 1: Scan efter DanaBot med SpyHunter Anti-Malware Tool
Trin 2: Rens eventuelle registre, oprettet af DanaBot på din computer.
De normalt målrettede registre af Windows-maskiner er følgende:
- HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Run
- HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Run
- HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion RunOnce
- HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion RunOnce
Du kan få adgang til dem ved at åbne Windows Registry Editor og slette eventuelle værdier, oprettet af DanaBot der. Dette kan ske ved at følge trinene nedenunder:
Trin 3: Find virus files created by DanaBot on your PC.
1.For Windows 8, 8.1 og 10.
For Nyere Windows-operativsystemer
1: På dit tastatur tryk + R og skrive explorer.exe i Løbe tekstboks og derefter klikke på Ok knap.
2: Klik på din pc fra hurtig adgang bar. Dette er normalt et ikon med en skærm og dets navn er enten "Min computer", "Min PC" eller "Denne PC" eller hvad du har navngivet det.
3: Naviger til søgefeltet øverst til højre på din pc's skærm og type "fileextension:" og hvorefter skrive filtypen. Hvis du er på udkig efter ondsindede eksekverbare, et eksempel kan være "fileextension:exe". Efter at gøre det, efterlade et mellemrum og skriv filnavnet du mener malware har skabt. Her er, hvordan det kan se ud, hvis der er fundet din fil:
NB. We recommend to wait for the green loading bar in the navigation box to fill up in case the PC is looking for the file and hasn't found it yet.
2.I Windows XP, Vista, og 7.
For ældre Windows-operativsystemer
I ældre Windows OS bør den konventionelle tilgang være den effektive:
1: Klik på Start Menu ikon (normalt på din nederste venstre) og vælg derefter Søg præference.
2: Efter søgningen vises, vælge Flere avancerede indstillinger fra søgningen assistent boksen. En anden måde er ved at klikke på Alle filer og mapper.
3: Efter denne type navnet på den fil, du søger, og klik på knappen Søg. Dette kan tage noget tid, hvorefter resultater vises. Hvis du har fundet den skadelig fil, du må kopiere eller åbne sin placering ved højreklikke på det.
Nu skulle du være i stand til at opdage en fil på Windows, så længe det er på din harddisk og ikke skjult via speciel software.
DanaBot FAQ
What Does DanaBot Trojan Do?
The DanaBot Trojan er et ondsindet computerprogram designet til at forstyrre, skade, eller få uautoriseret adgang til et computersystem. Det kan bruges til at stjæle følsomme data, få kontrol over et system, eller starte andre ondsindede aktiviteter.
Kan trojanske heste stjæle adgangskoder?
Ja, Trojans, like DanaBot, kan stjæle adgangskoder. Disse ondsindede programmer are designed to gain access to a user's computer, spionere på ofrene og stjæle følsomme oplysninger såsom bankoplysninger og adgangskoder.
Can DanaBot Trojan Hide Itself?
Ja, det kan. En trojaner kan bruge forskellige teknikker til at maskere sig selv, inklusive rootkits, kryptering, og formørkelse, at gemme sig fra sikkerhedsscannere og undgå registrering.
Kan en trojaner fjernes ved fabriksnulstilling?
Ja, en trojansk hest kan fjernes ved at nulstille din enhed til fabriksindstillinger. Dette skyldes, at det vil gendanne enheden til sin oprindelige tilstand, eliminering af skadelig software, der måtte være blevet installeret. Husk på, at der er mere sofistikerede trojanske heste, der forlader bagdøre og geninficerer selv efter en fabriksnulstilling.
Can DanaBot Trojan Infect WiFi?
Ja, det er muligt for en trojaner at inficere WiFi-netværk. Når en bruger opretter forbindelse til det inficerede netværk, trojaneren kan spredes til andre tilsluttede enheder og kan få adgang til følsomme oplysninger på netværket.
Kan trojanske heste slettes?
Ja, Trojanske heste kan slettes. Dette gøres typisk ved at køre et kraftfuldt anti-virus eller anti-malware program, der er designet til at opdage og fjerne ondsindede filer. I nogle tilfælde, manuel sletning af trojaneren kan også være nødvendig.
Kan trojanske heste stjæle filer?
Ja, Trojanske heste kan stjæle filer, hvis de er installeret på en computer. Dette gøres ved at tillade malware forfatter eller bruger for at få adgang til computeren og derefter stjæle filerne, der er gemt på den.
Hvilken anti-malware kan fjerne trojanske heste?
Anti-malware programmer som f.eks SpyHunter er i stand til at scanne efter og fjerne trojanske heste fra din computer. Det er vigtigt at holde din anti-malware opdateret og regelmæssigt scanne dit system for skadelig software.
Kan trojanske heste inficere USB?
Ja, Trojanske heste kan inficere USB enheder. USB-trojanske heste spredes typisk gennem ondsindede filer downloadet fra internettet eller delt via e-mail, allowing the hacker to gain access to a user's confidential data.
About the DanaBot Research
Indholdet udgiver vi på SensorsTechForum.com, this DanaBot how-to removal guide included, er resultatet af omfattende forskning, hårdt arbejde og vores teams hengivenhed til at hjælpe dig med at fjerne det specifikke trojanske problem.
How did we conduct the research on DanaBot?
Bemærk venligst, at vores forskning er baseret på en uafhængig undersøgelse. Vi er i kontakt med uafhængige sikkerhedsforskere, takket være, at vi modtager daglige opdateringer om de seneste malware-definitioner, herunder de forskellige typer trojanske heste (bagdør, Downloader, infostealer, løsesum, etc.)
Endvidere, the research behind the DanaBot threat is backed with VirusTotal.
For bedre at forstå truslen fra trojanske heste, Se venligst følgende artikler, som giver kyndige detaljer.