La eliminación de Troya DanaBot - Restaurar su PC de infecciones (actualización de agosto 2019)
eliminan la amenaza

La eliminación de Troya DanaBot - Restaurar su PC de infecciones

1 Star2 Stars3 Stars4 Stars5 Stars (Sin clasificación todavía)
Cargando ...

DanaBot troyano ransomware imagen extensión nota .paradise

El DanaBot de Troya es una infección de virus peligrosos que se dirige específicamente a los usuarios de banca en línea. Puede causar muchas modificaciones en el sistema, espiar a los usuarios y también implementar otros virus, incluyendo ransomware. Lea nuestro análisis y la eliminación completa guía para aprender cómo restaurar los huéspedes infectados.

Resumen de amenazas

NombreDanaBot
EscribeTrojan, El ransomware, criptomoneda Miner
Descripción breveEl DanaBot troyano es capaz de espiar a los usuarios y sus máquinas y los datos sensibles de la cosecha se.
Los síntomasDependiendo del caso, los usuarios pueden experimentar problemas de rendimiento inusuales.
Método de distribuciónLos correos electrónicos de spam, Archivos adjuntos de correo electrónico
Herramienta de detección Ver si su sistema ha sido afectado por DanaBot

Descargar

Herramienta de eliminación de software malintencionado

Experiencia de usuarioUnirse a nuestro foro para discutir DanaBot.
Herramienta de recuperación de datosVentanas de recuperación de datos de Stellar Phoenix darse cuenta! Este producto escanea los sectores del disco para recuperar archivos perdidos y no puede recuperarse 100% de los archivos cifrados, pero sólo unos pocos de ellos, dependiendo de la situación y de si está o no han reformateado la unidad.

DanaBot de Troya – actualización de agosto 2019

El Danabot de Troya se ha detectado recientemente en un ataque infiltración de orientación múltiples redes en toda Europa, Australia y América del Norte. Uno de los principales países que se apunta es Alemania y objetivos son no sólo los establecimientos financieros, sino también la industria al por menor. De acuerdo con los informes disponibles las nuevas versiones del troyano Danabot conservan sus capacidades de robo bancario y añadir nuevas funcionalidades, así.

Hasta ahora, la distribución se realiza mediante la inyección de código Javascript - esto significa que el principal método se basa en el envío de contenidos que lo incluye. La forma más fácil es llevar a cabo phishing campañas de ataque lo que se puede hacer ya sea a través de mensajes de correo electrónico o la creación de páginas de hackers maliciosos. Los criminales ya sea empujarán el código infectado o datos de malware o vincularlos en los contenidos - como enlaces de texto, multimedia y funciones interactivas, etc..

Cuando el motor principal se ha desplegado en un sistema dado se iniciará de inmediato para volver a configurar el sistema, el objetivo previsto es para hacerse una infección persistente - la amenaza bloqueará los intentos de los usuarios de transportes y la misma se iniciará automáticamente tan pronto como el ordenador está encendido. También puede bloquear el acceso a las opciones de arranque de recuperación.

servidores de comando y control cuatro se utilizan en la versión más reciente que muestra que los hackers detrás del ataque no quieren ser descubiertos fácilmente:

  • Australia
  • Alemania
  • Suiza
  • Países Bajos

Después de la intrusión y configuración inicial de las actividades bancarias de Troya habitual se iniciará.

DanaBot de Troya - Métodos de distribución

El DanaBot de Troya es un troyano bancario recién descubierto que alcanzó su máximo en de mayo de 2018. Las muestras siguen siendo extendido a los usuarios en todo el mundo y parece que los hackers continuarán utilizando diversas estrategias con el fin de difundirlo. En el momento en que el énfasis principal de los ataques de Troya DanaBot parece ser Australia, la mayor parte de las infecciones reportadas parecen apuntar a las víctimas localizadas en el país.

Una de las técnicas de distribución primaria es el uso de mensajes de correo electrónico SPAM. Utilizan técnicas de ingeniería social que diseñan los mensajes de correo electrónico con elementos tomados de compañías famosas. Esto puede confundir a los usuarios haciéndoles creer que han recibido una notificación legítima o un enlace de restablecimiento de contraseña. Al interactuar con los elementos de los usuarios pueden descargar y ejecutar el archivo de Troya DanaBot ser directa o incitó para que sigan “instrucciones” que en última instancia conducir a su instalación.

Una técnica similar se utiliza para construir páginas web maliciosas - utilizando una estrategia similar a los criminales construyen sitios falsos. Pueden hacerse pasar por sitios de los proveedores legítimos o portales de descarga. Junto con los mensajes de correo electrónico son los métodos de distribución primaria para cargas útiles infectados. Hay dos tipos comunes que se utilizan ampliamente para dar lugar a la infección de Troya:

  • Documentos - Los usuarios de las víctimas se dan enlaces a documentos que se hacen pasar por las letras legítimos, notificaciones u otros archivos de interés. Pueden estar bajo diversas formas (presentaciones, archivos de texto, bases de datos u hojas de cálculo). Una vez que se abran por los usuarios aparecerá una ventana de notificación pidiéndoles que habilitar las macros integradas (guiones). Cuando se hace esto se inicia la infección por el virus.
  • instaladores de aplicaciones - Una técnica similar se utiliza para infectar a los instaladores de aplicaciones con el código de Troya DanaBot. Los piratas informáticos detrás de él elija popular software que a menudo se instala por los usuarios finales: suites creatividad, utilidades del sistema o aplicaciones de productividad. Se hacen mediante la adopción de los instaladores legítimos de los proveedores / portales de descarga oficiales y empujándolos a través de los casos falsos.

escenarios avanzados utilizan secuestradores de navegador - plugins del navegador web malicioso que por lo general se extienden en los repositorios de complementos del navegador asociados. Los delincuentes hacen uso de falso credenciales de desarrollador y críticas de usuarios, junto con una descripción detallada. Una vez que se instalan los scripts incorporados volverán a dirigir las víctimas a una dirección pirata informático controlado.

DanaBot de Troya - Análisis en profundidad

El virus DanaBot se ha encontrado que contienen un motor modular que se puede personalizar de acuerdo con los objetivos propuestos. De ello se sigue un patrón de infección de varias etapas que comienza con la infección inicial. Una serie de secuencias de comandos se llama que descarga el motor principal.

Una de las primeras acciones realizadas es el inicio de una recopilación de información componente que se utiliza para recoger datos personales de los sistemas infectados. Por lo general, la información se clasifica en dos grupos distintos:

  • La identidad del usuario víctima - El troyano está configurado para buscar, aislar y extraer cadenas que revelan detalles sobre las víctimas y su identidad privada. La información recogida se puede usar para revelar directamente ellos por que contiene datos tales como su nombre, dirección, número de teléfono, intereses, ubicación y sus credenciales de cuenta.
  • Las métricas de optimización de campañas - Los hackers pueden recuperar los datos que pueden ser útiles en la planificación y optimizar aún más los ataques. Esto incluye un informe de todos los componentes de hardware instalados, ciertos valores del sistema operativo y la configuración regional definidos por el usuario.

Estos datos pueden ser pasado a otro módulo llamado la protección de sigilo. Analiza las aplicaciones y procesos que se ejecutan en la memoria de las instancias instaladas que pueden bloquear la ejecución habitual del troyano. Esto incluye cualquiera de los siguientes - host virtual de la máquina, programas y entornos de depuración antivirus utilizado por los programadores.

Como DanaBot es un troyano bancario que incluye características adicionales, tales como la capacidad de llevar a cabo diversas cambios en el sistema. Algunos de ellos incluyen lo siguiente:

  • Las modificaciones del Registro de Windows - El motor puede realizar cambios en las entradas que pertenecen tanto al sistema operativo y las aplicaciones instaladas por el usuario. Tal comportamiento puede prevenir ciertas características funcionen correctamente y el rendimiento general sufrirá.
  • amenaza persistente - El software malicioso puede instalarse como una amenaza persistente que hace que se inicia automáticamente una vez que el equipo se inicia. Este paso puede interrumpir ciertos servicios y aplicaciones se ejecuten adecuadamente. Otro efecto es la incapacidad para entrar en el menú de recuperación de arranque. Esto evita el uso de la mayoría de las instrucciones de recuperación manuales.
  • Módulos adicionales Descargar - Dependiendo del usuario individual Perfiles DanaBot la infección troyano puede solicitar la descarga e instalación de plugins adicionales.
  • Ejecución de red Sniffer - Este módulo puede cosechar el tráfico de red en vivo que puede revelar indirectamente credenciales de cuenta e interacciones del sitio.
  • información Stealer - Este componente se utiliza para iniciar la información en profundidad robar actividades mencionadas anteriormente.
  • Cliente VNC - Esto instala un cliente de escritorio remoto que es utilizado por los hackers para tomar el control de los huéspedes infectados en un momento dado.

DanaBot de Troya - Operaciones de Troya

DanaBot es un troyano bancario que descarga y relojes de firmas específicas de los servicios de banca en línea. Utiliza el módulo de información de robar con el fin de conectar a los navegadores compatibles (Mozilla Firefox, Google Chrome y Opera) y extraer todos los almacenada dentro de credenciales. Un hecho interesante es que los hackers detrás del motor de software malicioso también han añadido soporte para algunos clientes FTP: FileZilla, WinSock FTP, SmartFTP y FlashFXP.

Cada vez que una página de inicio de sesión para una cuenta bancaria en línea se accede a la voluntad del motor redirigir automáticamente a los usuarios a una página falsa de suplantación de identidad. Esta es una táctica muy exitoso, ya que implica las siguientes condiciones:

  • El software de seguridad se omite - Como uno de los primeros pasos en el proceso de infección es la derivación de la seguridad del software de seguridad de los hackers podrán presentar todo tipo de páginas de phishing sin interrupción.
  • No hay señales de advertencia - Las infecciones pueden conectar profundamente en los procesos del sistema y de aplicaciones. Esto conduce a una infección muy transparente.
  • Adquisición de equipo de Live - Los criminales pueden supervisar y hacerse cargo de los ordenadores en cualquier momento sin que esto sea observado por las víctimas.

Junto con los datos bancarios en línea el malware también puede escanear el sistema para cualquier carteras criptomoneda. Son el software especializado que se utiliza para almacenar y operar con monedas digitales.

La amenaza también se conoce con los siguientes nombres:

  • TROJ_BANLOAD.THFOAAH
  • Trojan-Downloader (005318D71)
  • Trojan-Downloader (00532fa91)
  • Trojan-Dropper.Win32.Danabot
  • Trojan.Downloader.Banload
  • Trojan.Generic.22925578
  • Trojan.GenericKD.30907310
  • Trojan.Tiggre
  • Trojan.Win32.Z.Delf.261632.F
  • Trojan / Win32.Agent.C2493942
  • W32 / Banload.ABCAQ!tr.dldr
avatar

Martin Beltov

Martin se graduó con un título en Edición de la Universidad de Sofía. Como un entusiasta de la seguridad cibernética que le gusta escribir sobre las últimas amenazas y mecanismos de intrusión.

Más Mensajes - Sitio web

Sígueme:
Gorjeogoogle Plus

Dejar un comentario

Su dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

Se agotó el tiempo límite. Vuelve a cargar de CAPTCHA.

Compartir en Facebook Compartir
Cargando ...
Compartir en Twitter Pío
Cargando ...
Compartir en Google Plus Compartir
Cargando ...
Compartir en Linkedin Compartir
Cargando ...
Compartir en Digg Compartir
Compartir en Reddit Compartir
Cargando ...
Compartir en Stumbleupon Compartir
Cargando ...