Kaspersky Threats — Trickster

Detekováno

12/01/2016

Třída

Platfoma

Popis

Trojan.Win32.Trickster (také známý jako TrickLoader a TrickBot) je schopen infikovat 32- a 64bitové verze systému Windows. Trójský kůň je obvykle malý (menší než 500 KB) a nepoužívá pro hlavní tělo další balení nebo šifrování. Soudě podle protokolu používaného pro komunikaci s příkazovým a řídícím serverem byl malware přepsán ze zdrojového kódu pro Dyre (Dyreza), ale na rozdíl od Dyre je schopen provádět webové injekce.

Hlavní tělo Trojan.Win32.Trickster obsahuje následující charakteristické řetězce ve formátu Unicode:
• TrickLoader
• Globální TrickBot
• BotLoader

Charakteristickou a snadno identifikovatelnou vlastností malware je přítomnost řetězce TrickLoader v poli User-Agent síťových paketů.

Soubor se seznamem příkazových a řídících serverů pro Trojan.Win32.Trickster je uložen v šifrované podobě ve zdrojích. Šifrovací algoritmus AES se používá k dešifrování seznamu i modulů přijatých z příkazových a řídících serverů. Klíč se skládá z hash ve formátu RSA-256.

Aktuálně známé informace o modulech používaných škodlivým softwarem:
• systeminfo – první modul pro Trojan.Win32.Trickster
• injectDll – modul vstřikovaný do prohlížeče a použitý pro webové injekce

Top 10 zemí s nejvíce napadenými uživateli (% z celkového počtu útoků)

	Země	% uživatelů napadených po celém světě *
1	Austrálie	17,56
2	USA	6.29
3	Spojené království	6.17
4	Singapur	4,98
5	Indie	3,68
6	Ruská Federace	3.32
7	Japonsko	3.20
8	Francie	3.08
9	Itálie	3.08
10	Čína	2,85

* Procento všech unikátních uživatelů Kaspersky napadených tímto malwarem po celém světě

Odkaz na originál

Zjistěte statistiky hrozeb šířících se ve vašem regionu