本サービスには一部、Googleの支援により翻訳されたコンテンツが含まれます。Googleは、明示または黙示を問わず、市場性、特定目的への適合性、ならびに非侵害の黙示的保証を含む、翻訳の精度、信頼性、正確性に関連するあらゆる点において保証しません。

Kaspersky Labの本Webサイトは、便宜上、Google Translateを搭載した翻訳ソフトウェアを利用して翻訳されています。正確な翻訳となるよう合理的な努力を払ってはおりますが、自動翻訳の正確性は完全ではなく、翻訳者(人間)による翻訳に代わるものとして意図されているものでもありません。翻訳はKaspersky Labの本Webサイトをご利用の皆様の利便性を図るためのものであり、「翻訳結果をそのまま」ご提供するものです。英語からその他言語への翻訳における精度、信頼性、正確性に関しては、明示または黙示を問わず、いかなる保証もなされません。翻訳ソフトウェアのため、コンテンツの一部(画像、動画、フラッシュ等)は正しく翻訳されない場合があります。

Trojan.Win32.Trickster

検出日 12/01/2016
クラス Trojan
プラットフォーム Win32
説明

Trojan.Win32.Trickster(TrickLoaderとTrickBotとも呼ばれます)は、32ビット版と64ビット版のWindowsに感染することができます。このトロイの木馬は、一般にサイズが小さく(500 KB未満)、本体に追加のパッケージまたは暗号化を使用しません。コマンド・アンド・コントロールサーバーとの通信に使用されたプロトコルで判断すると、マルウェアはDyre(Dyreza)のソースコードから書き直されましたが、Dyreとは異なり、Webインジェクションを実行できます。

Trojan.Win32.Tricksterの本体には、以下の特性文字列がUnicode形式で含まれています。
TrickLoader
•グローバル\ TrickBot
•BotLoader

特性および容易に識別可能なマルウェアの特性は、ネットワークパケットのUser-Agentフィールドに「TrickLoader」文字列が存在することです。

Trojan.Win32.Tricksterのコマンドと制御サーバーのリストを含むファイルは、暗号化された形式でリソースに格納されます。 AES暗号化アルゴリズムは、コマンドおよび制御サーバーから受信したモジュールだけでなく、リストの復号化にも使用されます。キーは、RSA-256形式のハッシュで構成されています。

マルウェアによって使用されているモジュールに関する現在知られている情報:
•systeminfo – Trojan.Win32.Tricksterの最初のモジュール
•injectDll – ブラウザに注入され、Webインジェクションに使用されるモジュール

Trojan.Win32.Tricksterファミリーによる攻撃の地理的分布


2015年12月1日から2016年12月1日までの間の攻撃の地理的分布

攻撃されたユーザーが最も多い上位10の国(総攻撃の割合)

世界中で攻撃されたユーザーの割合*
1 オーストラリア 17.56
2 USA 6.29
3 英国 6.17
4 シンガポール 4.98
5 インド 3.68
6 ロシア連邦 3.32
7 日本 3.20
8 フランス 3.08
9 イタリア 3.08
10 中国 2.85

*このマルウェアによって世界中で攻撃されたユニークなKasperskyユーザーの中のパーセンテージ


オリジナルへのリンク