De DanaBot Trojan is een gevaarlijk virus infectie die zich specifiek richt op online banking-gebruikers. Het kan vele systeem wijzigingen veroorzaken, bespioneren van de gebruikers en ook andere virussen te zetten, waaronder ransomware. Lees onze volledige analyse en verwijdering gids om te leren hoe geïnfecteerde hosts te herstellen.
bedreiging Samenvatting
| Naam | DanaBot |
| Type | Trojaans, Ransomware, cryptogeld Miner |
| Korte Omschrijving | De DanaBot Trojan is in staat om spionage voor de gebruikers en hun machines en de oogst gevoelige gegevens uit te. |
| Symptomen | Afhankelijk van het geval kan de gebruikers ongebruikelijke prestatieproblemen. |
| Distributie Methode | Spam e-mails, E-mailbijlagen |
| Detection Tool |
Zien of je systeem is getroffen door malware
Download
Malware Removal Tool
|
Gebruikerservaring | Word lid van onze Forum naar DanaBot Bespreek. |
| Data Recovery Tool | Windows Data Recovery door Stellar Phoenix kennisgeving! Dit product scant uw schijf sectoren om verloren bestanden te herstellen en het kan niet herstellen 100% van de gecodeerde bestanden, maar slechts weinigen van hen, afhankelijk van de situatie en of u uw schijf hebt geformatteerd. |
DanaBot Trojan – bijgewerkt tot augustus 2019
De Danabot Trojan is onlangs ontdekt in een infiltratie aanslag op meerdere netwerken in heel Europa, Australië en Noord-Amerika. Een van de belangrijkste landen, die gericht is Duitsland en targets zijn niet alleen financiële instellingen, maar ook de detailhandel. Volgens de beschikbare rapporten de nieuwe versies van de Danabot Trojan behouden hun banken diefstal mogelijkheden en het toevoegen van nieuwe functionaliteit en.
Tot dusver is de distributie gebeurt via JavaScript-code injectie - Dit betekent dat de belangrijkste methode is gebaseerd op het verzenden van inhoud die het bevat. De makkelijkste manier is om gedrag phishingaanval campagnes die ofwel kan worden gedaan via e-mailbericht of het ontstaan van kwaadaardige hacker pagina's. De criminelen zal ofwel duwen de besmette code of malware gegevens of koppelen in de inhoud - als tekstlinks, multimedia interactieve functies en etc.
Wanneer de hoofdmotor heeft op een bepaald systeem is ingezet zal het onmiddellijk beginnen om het systeem opnieuw te configureren, het beoogde doel is om zelf een te maken persistente infectie - de dreiging zal de gebruiker pogingen tot verwijdering blokkeren en het zal automatisch starten zodra de computer wordt ingeschakeld. Het kan ook toegang tot het herstel laarsopties blokkeren.
Vier command and control servers worden gebruikt in de nieuwste release waaruit blijkt dat de hackers achter de aanslag willen niet gemakkelijk te ontdekken:
- Australië
- Duitsland
- Zwitserland
- De Nederland
Na de eerste inbraak en zet de gebruikelijke banking Trojan activiteiten zullen worden gestart.
DanaBot Trojan - distributiemethoden
De DanaBot Trojan is een nieuw ontdekte banking Trojan die piekte mei 2018. Monsters blijven worden verspreid naar gebruikers wereldwijd en het blijkt dat de hackers zal blijven verschillende strategieën gebruiken om het te verspreiden. Op dit moment ligt de nadruk van de DanaBot trojan-aanvallen lijken Australië zijn, het grootste deel van de gerapporteerde infecties lijken aan de slachtoffers in het land te richten.
Een van de belangrijkste distributie technieken is het gebruik van SPAM e-mailberichten. Zij maken gebruik van social engineering-technieken die de e-mails te ontwerpen met elementen uit bekende bedrijven. Dit kan verwarrend zijn voor gebruikers te laten denken dat ze een legitieme kennisgeving of een wachtwoord te resetten koppeling hebben ontvangen. Na interactie met de elementen de gebruikers downloaden en uitvoeren de DanaBot Trojan bestand direct of worden gevraagd in de volgende “instructies” dat zal uiteindelijk leiden tot de installatie.
Een soortgelijke techniek wordt gebruikt voor het construeren kwaadaardige webpagina's - met behulp van een soortgelijke strategie de criminelen te construeren nep-sites. Zij kunnen legitieme verkoopsites of download portals imiteren. Samen met de e-mailberichten zijn ze de primaire distributie methoden voor geïnfecteerde payloads. Er zijn twee veel voorkomende soorten die op grote schaal worden gebruikt om te leiden tot de Trojan infectie:
- documenten - Het slachtoffer krijgen gebruikers links naar documenten die legitieme brieven imiteren, kennisgevingen of andere bestanden van belang. Ze kunnen onder verschillende vormen (presentaties, tekstbestanden, databases of spreadsheets). Zodra ze worden geopend door de gebruikers een melding weergegeven met de vraag hen om de ingebouwde macro's (scripts). Wanneer dit gebeurt de virusinfectie wordt gestart.
- Application Installateurs - Een soortgelijke techniek wordt gebruikt om installatieprogramma's te infecteren met de Trojan code DanaBot. De hackers achter het te kiezen populaire software die vaak wordt geïnstalleerd door de eindgebruikers: creativiteit suites, Nut van het systeem of de productiviteit apps. Ze zijn gemaakt door het nemen van de legitieme installateurs van de officiële leverancier / download portals en duwen ze door de nep-instances.
Geavanceerde scenario's te gebruiken browser hijackers - kwaadaardige web browser plug-ins die meestal worden verspreid over de bijbehorende browser plugin repositories. De criminelen maken gebruik van valse ontwikkelaarsaanmeldingsgegevens en gebruikersbeoordelingen samen met een uitgebreide beschrijving. Zodra ze zijn geïnstalleerd de ingebouwde scripts zal het slachtoffer omleiden naar een hacker gecontroleerd adres.
DanaBot Trojan - In-Depth Analysis
De DanaBot virus bleek een modulaire motor die kan worden aangepast aan de voorgestelde doelen bevatten. Hieruit volgt een meertraps infectie patroon dat begint met de eerste infectie. Een reeks van scripts worden genoemd waarop de hoofdmotor downloadt.
Een van de eerste acties die worden uitgevoerd is de start van een informatie verzamelen component die wordt gebruikt om persoonlijke gegevens oogsten van de geïnfecteerde systemen. Meestal wordt de informatie is ingedeeld in twee verschillende groepen:
- Slachtoffer Gebruikersidentiteit - De Trojan is geconfigureerd om opzoeken, isoleren en te extraheren strings die informatie over de slachtoffers en hun privé-identiteit te onthullen. De verzamelde informatie kan worden gebruikt om direct te openbaren door met gegevens zoals naam, adres, telefoonnummer, belangen, locatie en hun accountgegevens.
- Optimalisatie van de campagne Metrics - De hackers kunnen gegevens die nuttig zijn bij de planning kan ophalen en verder optimaliseren van de aanslagen. Dit omvat een verslag van alle geïnstalleerde hardware componenten, bepaalde besturingssysteem waarden en de gebruiker ingestelde regionale instellingen.
Deze gegevens kunnen vervolgens worden doorgegeven aan een andere module met de naam stealth bescherming. Het tast de geïnstalleerde toepassingen en processen die in het geheugen voor een geval dat de gebruikelijke uitvoering van de Trojan kan blokkeren. Dit omvat de volgende - virtual machinehost, anti-virus programma's en debug-omgevingen gebruikt door programmeurs.
Als DanaBot is een banktrojan zal extra functies bevatten, zoals de mogelijkheid om verschillende uit te voeren systeemveranderingen. Sommigen van hen zijn de volgende:
- Windows-register Wijzigingen - De motor kan wijzigingen in de vermeldingen die behoren zowel het besturingssysteem en de door de gebruiker geïnstalleerde toepassingen maken. Dergelijk gedrag kan voorkomen dat bepaalde functies niet goed werken en de algemene prestaties zullen lijden.
- persistent Threat - De malware kan worden geïnstalleerd als een aanhoudende dreiging, waardoor het automatisch start zodra de computer wordt opgestart. Deze stap kan bepaalde diensten en toepassingen te onderbreken correct worden uitgevoerd. Een ander effect is het onvermogen in het opstartmenu herstel te gaan. Dit voorkomt het gebruik van de meeste manuele herstelinstructies.
- Extra modules Download - Afhankelijk van de individuele gebruiker profielen Het DanaBot Trojan infectie kan het downloaden en installeren van extra plugins te vragen.
- Network Sniffer Execution - Deze module kan de live netwerkverkeer die indirect kan onthullen accountreferenties en site-interacties te oogsten.
- informatie Stealer - Deze component wordt gebruikt om de gedetailleerde informatie te stelen bovengenoemde activiteiten initiëren.
- VNC Client - Dit installeert een remote desktop client die wordt gebruikt door hackers om controle over de geïnfecteerde gastheer op elk moment.
DanaBot Trojan - Trojan Operations
DanaBot is een banking Trojan die downloads en horloges voor specifieke handtekeningen van online bankdiensten. Het maakt gebruik van de informatie stelen module om aan te haken bij de ondersteunde browsers (Mozilla Firefox, Google Chrome en Opera) en extract alle opgeslagen in referenties. Een interessant feit is dat de hackers achter de malware engine hebben ook ondersteuning toegevoegd voor sommige FTP-clients: FileZilla, WinSock FTP, SmartFTP en FlashFXP.
Wanneer een inlogpagina voor een online bankrekening wordt geopend zal de motor de gebruikers automatisch doorsturen naar een nep phishing-pagina. Dit is een zeer succesvolle tactiek omdat het impliceert de volgende voorwaarden:
- Beveiligingssoftware wordt gepasseerd - Als een van de eerste stappen in het infectieproces is de beveiliging omzeilen van beveiligingssoftware de hackers in staat om alle soorten van phishing-pagina's te presenteren zonder onderbreking zal zijn.
- Geen waarschuwingstekens - De infecties kunt aansluiten diep in het systeem en de toepassing processen. Dit leidt tot een zeer naadloze infectie.
- Levende Computer Takeover - De criminelen kunnen controleren en de overname van de computers op een bepaald moment zonder dat dit wordt opgemerkt door de slachtoffers.
Samen met de online bankgegevens de malware kan het systeem ook voor een scan cryptogeld portefeuilles. Zij zijn de gespecialiseerde software die wordt gebruikt voor het opslaan en werken met digitale valuta.
De dreiging is ook bekend onder de volgende namen:
- TROJ_BANLOAD.THFOAAH
- Trojan-Downloader (005318D71)
- Trojan-Downloader (00532fa91)
- Trojan-Dropper.Win32.Danabot
- Trojan.Downloader.Banload
- Trojan.Generic.22925578
- Trojan.GenericKD.30907310
- Trojan.Tiggre
- Trojan.Win32.Z.Delf.261632.F
- Trojan / Win32.Agent.C2493942
- W32 / Banload.ABCAQ!tr.dldr
Martin Beltov
Martin studeerde af met een graad in de uitgeverij van de universiteit van Sofia. Als een cyber security enthousiast dat hij geniet van het schrijven over de nieuwste bedreigingen en de mechanismen van inbraak.
Volg mij:
Voorbereiding voor het verwijderen DanaBot.
Voor het eigenlijke verwijdering, Wij raden u aan de volgende voorbereidende stappen te doen.
- Zorg ervoor dat u deze instructies altijd open en in de voorkant van je ogen.
- Doe een back-up van al uw bestanden, zelfs als ze konden worden beschadigd. U moet een back-up van uw gegevens met een cloud backup oplossing en verzekeren van uw bestanden tegen elke vorm van verlies, zelfs van de meest ernstige bedreigingen.
- Wees geduldig als deze een tijdje zou kunnen nemen.
- Scannen op malware
- Registers repareren
- Verwijder virusbestanden
Stap 1: Scannen op DanaBot met SpyHunter Anti-Malware Tool
Stap 2: Verwijder eventuele registers, aangemaakt door DanaBot op uw computer.
De doorgaans gericht registers van Windows-machines zijn de volgende:
- HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Run
- HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Run
- HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion RunOnce
- HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion RunOnce
U kunt ze openen door het openen van het Windows-register-editor en met weglating van alle waarden, aangemaakt door DanaBot er. Dit kan gebeuren door de stappen onder:
Tip: Om een virus gecreëerd waarde te vinden, U kunt met de rechtermuisknop op te klikken en klik op "Wijzigen" om te zien welk bestand het is ingesteld om te werken. Als dit het virus bestand locatie, Verwijder de waarde.Stap 3: Find virus files created by DanaBot on your PC.
1.Voor Windows 8, 8.1 en 10.
Voor nieuwere Windows-besturingssystemen
1: Op het toetsenbord druk + R en schrijf explorer.exe in de Rennen tekstvak en klik dan op de OK knop.
2: Klik op uw pc uit de snelle toegang bar. Dit is meestal een icoon met een monitor en de naam is ofwel "Mijn computer", "My PC" of "Deze PC" of hoe je het hebt genoemd.
3: Navigeer naar het zoekvak in de rechterbovenhoek van het scherm van uw pc en typ "echter in meerdere contexten:" en waarna typt u de bestandsextensie. Als u op zoek bent naar kwaadaardige executables, Een voorbeeld kan zijn "echter in meerdere contexten:exe". Na het doen van dat, laat een spatie en typ de bestandsnaam die u denkt dat de malware is gemaakt. Hier is hoe het kan verschijnen als het bestand is gevonden:
NB. We recommend to wait for the green loading bar in the navigation box to fill up in case the PC is looking for the file and hasn't found it yet.
2.Voor Windows XP, Uitzicht, en 7.
Voor oudere Windows-besturingssystemen
In oudere Windows-besturingssystemen zou de conventionele aanpak de effectieve moeten zijn:
1: Klik op de Start Menu icoon (meestal op uw bottom-links) en kies vervolgens de Zoeken voorkeur.
2: Na het zoekvenster verschijnt, kiezen Meer geavanceerde opties van de search assistent doos. Een andere manier is door te klikken op Alle bestanden en mappen.
3: Na dat type de naam van het bestand dat u zoekt en klik op de knop Zoeken. Dit kan enige tijd duren, waarna de resultaten worden weergegeven. Als u het kwaadaardig bestand hebt gevonden, u kunt kopiëren of openen de locatie door rechtermuisknop te klikken ben ermee bezig.
Nu moet je in staat om elk bestand op Windows ontdekken zolang het op uw harde schijf en is niet verborgen via speciale software.
DanaBot FAQ
What Does DanaBot Trojan Do?
The DanaBot Trojaans is een kwaadaardig computerprogramma ontworpen om te ontwrichten, schade, of ongeautoriseerde toegang verkrijgen naar een computersysteem.
Het kan worden gebruikt om gevoelige gegevens te stelen, controle krijgen over een systeem, of andere kwaadaardige activiteiten starten.
Kunnen Trojaanse paarden wachtwoorden stelen??
Ja, Trojans, like DanaBot, kan wachtwoorden stelen. Deze kwaadaardige programma's are designed to gain access to a user's computer, slachtoffers bespioneren en gevoelige informatie stelen, zoals bankgegevens en wachtwoorden.
Can DanaBot Trojan Hide Itself?
Ja, het kan. Een Trojaans paard kan verschillende technieken gebruiken om zichzelf te maskeren, inclusief rootkits, encryptie, en verduistering, om zich te verbergen voor beveiligingsscanners en detectie te omzeilen.
Kan een Trojaans paard worden verwijderd door Factory Reset?
Ja, een Trojaans paard kan worden verwijderd door uw apparaat terug te zetten naar de fabrieksinstellingen. Dit komt omdat het het apparaat in de oorspronkelijke staat zal herstellen, het verwijderen van schadelijke software die mogelijk is geïnstalleerd. Bedenken, dat er geavanceerdere Trojaanse paarden bestaan, die achterdeurtjes verlaten en opnieuw infecteren, zelfs na een fabrieksreset.
Can DanaBot Trojan Infect WiFi?
Ja, het is mogelijk dat een trojan wifi-netwerken infecteert. Wanneer een gebruiker verbinding maakt met het geïnfecteerde netwerk, de Trojan kan zich verspreiden naar andere aangesloten apparaten en kan toegang krijgen tot gevoelige informatie op het netwerk.
Kunnen Trojaanse paarden worden verwijderd?
Ja, Trojaanse paarden kunnen worden verwijderd. Dit wordt meestal gedaan door een krachtig antivirus- of antimalwareprogramma uit te voeren dat is ontworpen om schadelijke bestanden te detecteren en te verwijderen. In sommige gevallen, handmatige verwijdering van de Trojan kan ook nodig zijn.
Kunnen Trojaanse paarden bestanden stelen?
Ja, Trojaanse paarden kunnen bestanden stelen als ze op een computer zijn geïnstalleerd. Dit wordt gedaan door de malware auteur of gebruiker om toegang te krijgen tot de computer en vervolgens de bestanden te stelen die erop zijn opgeslagen.
Welke anti-malware kan Trojaanse paarden verwijderen?
Antimalwareprogramma's zoals SpyHunter zijn in staat om Trojaanse paarden op uw computer te scannen en van uw computer te verwijderen. Het is belangrijk om uw anti-malware up-to-date te houden en uw systeem regelmatig te scannen op schadelijke software.
Kunnen Trojaanse paarden USB infecteren?
Ja, Trojaanse paarden kunnen infecteren USB apparaten. USB-trojans wordt meestal verspreid via schadelijke bestanden die van internet zijn gedownload of via e-mail zijn gedeeld, allowing the hacker to gain access to a user's confidential data.
About the DanaBot Research
De inhoud die we publiceren op SensorsTechForum.com, this DanaBot how-to removal guide included, is het resultaat van uitgebreid onderzoek, hard werken en de toewijding van ons team om u te helpen het specifieke trojan-probleem op te lossen.
How did we conduct the research on DanaBot?
Houd er rekening mee dat ons onderzoek is gebaseerd op een onafhankelijk onderzoek. We hebben contact met onafhankelijke beveiligingsonderzoekers, waardoor we dagelijks updates ontvangen over de nieuwste malwaredefinities, inclusief de verschillende soorten trojans (achterdeur, downloader, infostealer, losgeld, etc.)
Bovendien, the research behind the DanaBot threat is backed with VirusTotal.
Om de dreiging van trojans beter te begrijpen, raadpleeg de volgende artikelen die deskundige details bieden:.