El DanaBot de Troya es una infección de virus peligrosos que se dirige específicamente a los usuarios de banca en línea. Puede causar muchas modificaciones en el sistema, espiar a los usuarios y también implementar otros virus, incluyendo ransomware. Lea nuestro análisis y la eliminación completa guía para aprender cómo restaurar los huéspedes infectados.
Resumen de amenazas
| Nombre | DanaBot |
| Escribe | Trojan, El ransomware, criptomoneda Miner |
| Descripción breve | El DanaBot troyano es capaz de espiar a los usuarios y sus máquinas y los datos sensibles de la cosecha se. |
| Los síntomas | Dependiendo del caso, los usuarios pueden experimentar problemas de rendimiento inusuales. |
| Método de distribución | Los correos electrónicos de spam, Archivos adjuntos de correo electrónico |
| Herramienta de detección |
Ver si su sistema ha sido afectado por malware
Descargar
Herramienta de eliminación de software malintencionado
|
Experiencia de usuario | Unirse a nuestro foro para discutir DanaBot. |
| Herramienta de recuperación de datos | Ventanas de recuperación de datos de Stellar Phoenix darse cuenta! Este producto escanea los sectores del disco para recuperar archivos perdidos y no puede recuperarse 100% de los archivos cifrados, pero sólo unos pocos de ellos, dependiendo de la situación y de si está o no han reformateado la unidad. |
DanaBot de Troya – actualización de agosto 2019
El Danabot de Troya se ha detectado recientemente en un ataque infiltración de orientación múltiples redes en toda Europa, Australia y América del Norte. Uno de los principales países que se apunta es Alemania y objetivos son no sólo los establecimientos financieros, sino también la industria al por menor. De acuerdo con los informes disponibles las nuevas versiones del troyano Danabot conservan sus capacidades de robo bancario y añadir nuevas funcionalidades, así.
Hasta ahora, la distribución se realiza mediante la inyección de código Javascript - esto significa que el principal método se basa en el envío de contenidos que lo incluye. La forma más fácil es llevar a cabo phishing campañas de ataque lo que se puede hacer ya sea a través de mensajes de correo electrónico o la creación de páginas de hackers maliciosos. Los criminales ya sea empujarán el código infectado o datos de malware o vincularlos en los contenidos - como enlaces de texto, multimedia y funciones interactivas, etc..
Cuando el motor principal se ha desplegado en un sistema dado se iniciará de inmediato para volver a configurar el sistema, el objetivo previsto es para hacerse una infección persistente - la amenaza bloqueará los intentos de los usuarios de transportes y la misma se iniciará automáticamente tan pronto como el ordenador está encendido. También puede bloquear el acceso a las opciones de arranque de recuperación.
servidores de comando y control cuatro se utilizan en la versión más reciente que muestra que los hackers detrás del ataque no quieren ser descubiertos fácilmente:
- Australia
- Alemania
- Suiza
- Países Bajos
Después de la intrusión y configuración inicial de las actividades bancarias de Troya habitual se iniciará.
DanaBot de Troya - Métodos de distribución
El DanaBot de Troya es un troyano bancario recién descubierto que alcanzó su máximo en de mayo de 2018. Las muestras siguen siendo extendido a los usuarios en todo el mundo y parece que los hackers continuarán utilizando diversas estrategias con el fin de difundirlo. En el momento en que el énfasis principal de los ataques de Troya DanaBot parece ser Australia, la mayor parte de las infecciones reportadas parecen apuntar a las víctimas localizadas en el país.
Una de las técnicas de distribución primaria es el uso de mensajes de correo electrónico SPAM. Utilizan técnicas de ingeniería social que diseñan los mensajes de correo electrónico con elementos tomados de compañías famosas. Esto puede confundir a los usuarios haciéndoles creer que han recibido una notificación legítima o un enlace de restablecimiento de contraseña. Al interactuar con los elementos de los usuarios pueden descargar y ejecutar el archivo de Troya DanaBot ser directa o incitó para que sigan “instrucciones” que en última instancia conducir a su instalación.
Una técnica similar se utiliza para construir páginas web maliciosas - utilizando una estrategia similar a los criminales construyen sitios falsos. Pueden hacerse pasar por sitios de los proveedores legítimos o portales de descarga. Junto con los mensajes de correo electrónico son los métodos de distribución primaria para cargas útiles infectados. Hay dos tipos comunes que se utilizan ampliamente para dar lugar a la infección de Troya:
- Documentos - Los usuarios de las víctimas se dan enlaces a documentos que se hacen pasar por las letras legítimos, notificaciones u otros archivos de interés. Pueden estar bajo diversas formas (presentaciones, archivos de texto, bases de datos u hojas de cálculo). Una vez que se abran por los usuarios aparecerá una ventana de notificación pidiéndoles que habilitar las macros integradas (guiones). Cuando se hace esto se inicia la infección por el virus.
- instaladores de aplicaciones - Una técnica similar se utiliza para infectar a los instaladores de aplicaciones con el código de Troya DanaBot. Los piratas informáticos detrás de él elija popular software que a menudo se instala por los usuarios finales: suites creatividad, utilidades del sistema o aplicaciones de productividad. Se hacen mediante la adopción de los instaladores legítimos de los proveedores / portales de descarga oficiales y empujándolos a través de los casos falsos.
escenarios avanzados utilizan secuestradores de navegador - plugins del navegador web malicioso que por lo general se extienden en los repositorios de complementos del navegador asociados. Los delincuentes hacen uso de falso credenciales de desarrollador y críticas de usuarios, junto con una descripción detallada. Una vez que se instalan los scripts incorporados volverán a dirigir las víctimas a una dirección pirata informático controlado.
DanaBot de Troya - Análisis en profundidad
El virus DanaBot se ha encontrado que contienen un motor modular que se puede personalizar de acuerdo con los objetivos propuestos. De ello se sigue un patrón de infección de varias etapas que comienza con la infección inicial. Una serie de secuencias de comandos se llama que descarga el motor principal.
Una de las primeras acciones realizadas es el inicio de una recopilación de información componente que se utiliza para recoger datos personales de los sistemas infectados. Por lo general, la información se clasifica en dos grupos distintos:
- La identidad del usuario víctima - El troyano está configurado para buscar, aislar y extraer cadenas que revelan detalles sobre las víctimas y su identidad privada. La información recogida se puede usar para revelar directamente ellos por que contiene datos tales como su nombre, dirección, número de teléfono, intereses, ubicación y sus credenciales de cuenta.
- Las métricas de optimización de campañas - Los hackers pueden recuperar los datos que pueden ser útiles en la planificación y optimizar aún más los ataques. Esto incluye un informe de todos los componentes de hardware instalados, ciertos valores del sistema operativo y la configuración regional definidos por el usuario.
Estos datos pueden ser pasado a otro módulo llamado la protección de sigilo. Analiza las aplicaciones y procesos que se ejecutan en la memoria de las instancias instaladas que pueden bloquear la ejecución habitual del troyano. Esto incluye cualquiera de los siguientes - host virtual de la máquina, programas y entornos de depuración antivirus utilizado por los programadores.
Como DanaBot es un troyano bancario que incluye características adicionales, tales como la capacidad de llevar a cabo diversas cambios en el sistema. Algunos de ellos incluyen lo siguiente:
- Las modificaciones del Registro de Windows - El motor puede realizar cambios en las entradas que pertenecen tanto al sistema operativo y las aplicaciones instaladas por el usuario. Tal comportamiento puede prevenir ciertas características funcionen correctamente y el rendimiento general sufrirá.
- amenaza persistente - El software malicioso puede instalarse como una amenaza persistente que hace que se inicia automáticamente una vez que el equipo se inicia. Este paso puede interrumpir ciertos servicios y aplicaciones se ejecuten adecuadamente. Otro efecto es la incapacidad para entrar en el menú de recuperación de arranque. Esto evita el uso de la mayoría de las instrucciones de recuperación manuales.
- Módulos adicionales Descargar - Dependiendo del usuario individual Perfiles DanaBot la infección troyano puede solicitar la descarga e instalación de plugins adicionales.
- Ejecución de red Sniffer - Este módulo puede cosechar el tráfico de red en vivo que puede revelar indirectamente credenciales de cuenta e interacciones del sitio.
- información Stealer - Este componente se utiliza para iniciar la información en profundidad robar actividades mencionadas anteriormente.
- Cliente VNC - Esto instala un cliente de escritorio remoto que es utilizado por los hackers para tomar el control de los huéspedes infectados en un momento dado.
DanaBot de Troya - Operaciones de Troya
DanaBot es un troyano bancario que descarga y relojes de firmas específicas de los servicios de banca en línea. Utiliza el módulo de información de robar con el fin de conectar a los navegadores compatibles (Mozilla Firefox, Google Chrome y Opera) y extraer todos los almacenada dentro de credenciales. Un hecho interesante es que los hackers detrás del motor de software malicioso también han añadido soporte para algunos clientes FTP: FileZilla, WinSock FTP, SmartFTP y FlashFXP.
Cada vez que una página de inicio de sesión para una cuenta bancaria en línea se accede a la voluntad del motor redirigir automáticamente a los usuarios a una página falsa de suplantación de identidad. Esta es una táctica muy exitoso, ya que implica las siguientes condiciones:
- El software de seguridad se omite - Como uno de los primeros pasos en el proceso de infección es la derivación de la seguridad del software de seguridad de los hackers podrán presentar todo tipo de páginas de phishing sin interrupción.
- No hay señales de advertencia - Las infecciones pueden conectar profundamente en los procesos del sistema y de aplicaciones. Esto conduce a una infección muy transparente.
- Adquisición de equipo de Live - Los criminales pueden supervisar y hacerse cargo de los ordenadores en cualquier momento sin que esto sea observado por las víctimas.
Junto con los datos bancarios en línea el malware también puede escanear el sistema para cualquier carteras criptomoneda. Son el software especializado que se utiliza para almacenar y operar con monedas digitales.
La amenaza también se conoce con los siguientes nombres:
- TROJ_BANLOAD.THFOAAH
- Trojan-Downloader (005318D71)
- Trojan-Downloader (00532fa91)
- Trojan-Dropper.Win32.Danabot
- Trojan.Downloader.Banload
- Trojan.Generic.22925578
- Trojan.GenericKD.30907310
- Trojan.Tiggre
- Trojan.Win32.Z.Delf.261632.F
- Trojan / Win32.Agent.C2493942
- W32 / Banload.ABCAQ!tr.dldr
Martin Beltov
Martin se graduó con un título en Edición de la Universidad de Sofía. Como un entusiasta de la seguridad cibernética que le gusta escribir sobre las últimas amenazas y mecanismos de intrusión.
Sígueme:
Preparación antes de retirar DanaBot.
Antes de iniciar el proceso de eliminación real, se recomienda que usted hace los siguientes pasos de preparación.
- Asegúrate de que tienes estas instrucciones siempre abierto y delante de sus ojos.
- Hacer una copia de seguridad de todos sus archivos, aunque pudieran ser dañados. Debe hacer una copia de seguridad de sus datos con una solución de copia de nube y asegurar sus archivos contra cualquier tipo de pérdida, incluso de las amenazas más graves.
- Ser paciente ya que esto podría tomar un tiempo.
- Escanear en busca de malware
- Arreglar registros
- Eliminar archivos de virus
Paso 1: Analizar en busca de DanaBot con la herramienta de SpyHunter Anti-Malware
Paso 2: Limpiar los registros, creado por DanaBot en su ordenador.
Los registros normalmente dirigidos de máquinas Windows son los siguientes:
- HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Run
- HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Run
- HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion RunOnce
- HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion RunOnce
Puede acceder a ellos abriendo el editor del registro de Windows y eliminar cualquier valor, creado por DanaBot existe. Esto puede ocurrir siguiendo los pasos debajo:
Propina: Para encontrar un valor creado por virus, usted puede hacer clic derecho sobre él y haga clic "Modificar" para ver qué archivo que está configurado para ejecutarse. Si esta es la ubicación del archivo de virus, quitar el valor.Paso 3: Find virus files created by DanaBot on your PC.
1.Para Windows 8, 8.1 y 10.
Para más nuevos sistemas operativos Windows
1: En su teclado de prensa + R y escribe explorer.exe en el Carrera cuadro de texto y haga clic en el OK botón.
2: Haga clic en su PC en la barra de acceso rápido. Esto suele ser un icono con un monitor y su nombre es ya sea "Mi computadora", "Mi PC" o "Este PC" o lo que sea que usted ha nombrado.
3: Navegue hasta el cuadro de búsqueda en la esquina superior derecha de la pantalla de su PC y escriba "FileExtension:" y después de lo cual escriba la extensión de archivo. Si usted está buscando para ejecutables maliciosos, Un ejemplo puede ser "FileExtension:exe". Después de hacer eso, dejar un espacio y escriba el nombre del archivo que cree que el malware ha creado. Aquí es cómo puede aparecer si se ha encontrado el archivo:
N.B. We recommend to wait for the green loading bar in the navigation box to fill up in case the PC is looking for the file and hasn't found it yet.
2.Para Windows XP, Vista, y 7.
Para más viejos sistemas operativos Windows
En los sistemas operativos Windows más antiguos, el enfoque convencional debería ser el efectivo:
1: Haga clic en el Menu de inicio icono (por lo general en su parte inferior izquierda) y luego elegir el Búsqueda preferencia.
2: Después de que aparezca la ventana de búsqueda, escoger Más opciones avanzadas Del cuadro de asistente de búsqueda. Otra forma es haciendo clic en Todos los archivos y carpetas.
3: Después de ese tipo el nombre del archivo que está buscando y haga clic en el botón Buscar. Esto puede llevar algún tiempo después del cual aparecerán resultados. Si usted ha encontrado el archivo malicioso, usted puede copiar o abrir por su ubicación botón derecho del ratón en eso.
Ahora usted debería ser capaz de descubrir cualquier archivo en Windows, siempre y cuando se encuentra en su disco duro y no se oculta a través de un software especial.
DanaBot FAQ
What Does DanaBot Trojan Do?
The DanaBot Trojan es un programa informático malicioso diseñado para interrumpir, dañar, u obtener acceso no autorizado a un sistema informático.
Se puede utilizar para robar datos confidenciales., obtener el control de un sistema, o lanzar otras actividades maliciosas.
¿Pueden los troyanos robar contraseñas??
Sí, Troyanos, like DanaBot, puede robar contraseñas. Estos programas maliciosos are designed to gain access to a user's computer, espiar a las víctimas y robar información confidencial, como datos bancarios y contraseñas.
Can DanaBot Trojan Hide Itself?
Sí, puede. Un troyano puede usar varias técnicas para enmascararse, incluyendo rootkits, cifrado, y ofuscación, para esconderse de los escáneres de seguridad y evadir la detección.
¿Se puede eliminar un troyano restableciendo los valores de fábrica??
Sí, un troyano se puede eliminar restableciendo los valores de fábrica de su dispositivo. Esto se debe a que restaurará el dispositivo a su estado original., eliminando cualquier software malicioso que pueda haber sido instalado. Tener en cuenta, que existen troyanos más sofisticados, que dejan puertas traseras y se reinfectan incluso después del restablecimiento de fábrica.
Can DanaBot Trojan Infect WiFi?
Sí, es posible que un troyano infecte redes WiFi. Cuando un usuario se conecta a la red infectada, el troyano puede propagarse a otros dispositivos conectados y puede acceder a información confidencial en la red.
¿Se pueden eliminar los troyanos??
Sí, Los troyanos se pueden eliminar. Esto generalmente se hace ejecutando un poderoso programa antivirus o antimalware que está diseñado para detectar y eliminar archivos maliciosos.. En algunos casos, también puede ser necesaria la eliminación manual del troyano.
¿Pueden los troyanos robar archivos??
Sí, Los troyanos pueden robar archivos si están instalados en una computadora. Esto se hace permitiendo que el autor de malware o usuario para obtener acceso a la computadora y luego robar los archivos almacenados en ella.
¿Qué antimalware puede eliminar troyanos??
Programas anti-malware como SpyHunter son capaces de buscar y eliminar troyanos de su computadora. Es importante mantener su anti-malware actualizado y escanear regularmente su sistema en busca de cualquier software malicioso..
¿Pueden los troyanos infectar USB??
Sí, Los troyanos pueden infectar USB dispositivos. Troyanos USB normalmente se propaga a través de archivos maliciosos descargados de Internet o compartidos por correo electrónico, allowing the hacker to gain access to a user's confidential data.
About the DanaBot Research
El contenido que publicamos en SensorsTechForum.com, this DanaBot how-to removal guide included, es el resultado de una extensa investigación, trabajo duro y la dedicación de nuestro equipo para ayudarlo a eliminar el problema específico de los troyanos.
How did we conduct the research on DanaBot?
Tenga en cuenta que nuestra investigación se basa en una investigación independiente. Estamos en contacto con investigadores de seguridad independientes, gracias a lo cual recibimos actualizaciones diarias sobre las últimas definiciones de malware, incluidos los diversos tipos de troyanos (puerta trasera, downloader, Infostealer, rescate, etc)
Además, the research behind the DanaBot threat is backed with VirusTotal.
Para comprender mejor la amenaza que representan los troyanos, Consulte los siguientes artículos que proporcionan detalles informados..