- Win32/Qbot
Qbot es una botnet orientada al robo de credenciales, algunas de las variantes se enfocan en datos bancarios e intercepción de transacciones financieras. Se instala como una puerta trasera y puede ser controlada de manera remota, ya que los equipos comprometidos se conectan a un servidor de comando y control (C&C), es decir, forman parte de una botnet. Algunas actualizaciones de Qbot cuentan con un código polimórfico, lo que dificulta su detección. Esta amenaza también ha apuntado a organizaciones públicas como departamentos de policía, hospitales y universidades.
- Win32/Spy.Zbot
Spy.Zbot es un troyano que roba información confidencial, principalmente contraseñas. Tiene la característica de funcionar como como backdoor y puede ser controlado de forma remota, por lo que también añade a los equipos comprometidos a una botnet.
- Win32/Bayrob
Bayrob es un troyano que se propaga mediante archivos adjuntos a través de correos electrónicos. Funciona como un backdoor y se registra como un servicio del sistema, además de modificar registros para asegurar su persistencia.
El troyano busca robar información del equipo de la víctima, como pueden ser datos de tarjetas de crédito y credenciales del sistema de banca en línea. Se comunica mediante el protocolo HTTP con un equipo remoto para descargar archivos maliciosos, utilizar archivos ejecutables, conocer lista de procesos activos, enviar la información recopilada o actualizarse a una nueva versión.
- Win32/Phorpiex
Phorpiex es un gusano que se utiliza principalmente para descargar otro malware o realizar ataques de Denegación de Servicio Distribuidos (DDoS). Se esparce a través de medios extraíbles.
Una vez que infecta los equipos, Phorpiex reemplaza con su propia copia archivos legítimos almacenados en servidores Web o en carpetas de servidores FTP con el objetivo de engañar a los usuarios y que ejecuten dichos archivos. Se comunica a través del canal IRC.
- Win32/CoinMiner
La familia CoinMiner agrupa una enorme cantidad de troyanos que tienen como principal actividad el uso de los recursos de hardware de la computadora infectada para minar o extraer criptomonedas. Los troyanos asociados a esta detección también utilizan un backdoor para ser controlados de forma remota.
- Win32/Emotet Emotet es una familia de troyanos bancarios conocida por su arquitectura modular, persistencia, y auto propagación (similar a la de los gusanos informáticos). Otra de sus características es su naturaleza polimórfica, ya que busca evadir la detección basada en firmas. Utiliza varios métodos para mantener la persistencia, incluidos servicios y llaves de registro de inicio. Emotet funciona principalmente como un downloader para la distribución de otras familias de troyanos bancarios.
- Win32/Ramnit
Ramnit es un código malicioso que posee las características de virus y gusano informáticos. Se propaga a través de dispositivos USB y otras unidades extraíbles. Una de sus principales características es que puede infectar el Master Boot Record (MBR) y así garantizar su persistencia en el sistema operativo.
Infecta archivos ejecutables y archivos HTM/HTML, lo que aumenta sus capacidades de propagación. Posteriormente, es utilizado para robar datos confidenciales relacionados con servicios bancarios de los usuarios.
- JS/Bondat
Bondat es un gusano informático escrito en JavaScript que sirve como un vector de infección inicial, ya que descarga otros archivos que pueden realizar diversas acciones maliciosos. Su medio de propagación es a través de medios extraíbles utilizando la técnica LNK.
El método LNK ejecuta el malware y posteriormente abre el archivo correspondiente, de esta manera busca pasar desapercibido. Posteriormente, Bondat controla los equipos Windows infectados para unirlos a una botnet.
- JS/ProxyChanger
La mayor cantidad de detecciones está relacionada con JS/ProxyChanger, un código malicioso del tipo troyano escrito en JavaScript, que tiene como función principal impedir al usuario acceder a sitios web, para redirigir el tráfico a otras direcciones IP. El troyano puede redirigir al usuario hacia sitios web de atacantes.
- Win32/Bundpil
Bundpil es un gusano capaz de propagarse a través de medios extraíbles. Es parte de Wauchos, una de las familias de botnets más grandes, también conocida como Gamarue o Andrómeda. El gusano fue diseñado para mejorar la persistencia de la botnet Wauchos y dificultar la eliminación global de su red. Utiliza DGA (Algoritmo de Generación de Dominio) y puede alterar las solicitudes de Domain Name System (DNS).
Win32/Emotet
Emotet es una familia de troyanos bancarios conocida por su arquitectura modular, persistencia, y auto propagación (similar a la de los gusanos informáticos). Otra de sus características es su naturaleza polimórfica, ya que busca evadir la detección basada en firmas. Utiliza varios métodos para mantener la persistencia, incluidos servicios y llaves de registro de inicio. Emotet funciona principalmente como un downloader para la distribución de otras familias de troyanos bancarios.
