Trojan-Banker.Win32.Floki

Дата обнаружения 08/12/2016
Класс Trojan-Banker
Платформа Win32
Описание

Вредоносная программа этого семейства по возможностям полностью повторяет семейство Zeus, так как основана на его исходном коде. Главное отличие состоит в методе упаковки конфигурационного файла. Если в базовых версиях Zeus пакет шифровался по алгоритму RC4+XOR и затем следовал конфигурационный файл в формате zeus_storage, то во Floki структура сложнее. Ответ от сервера шифруется по алгоритму RC4+XOR, затем следуют данные, разделенные на секции, в формате, уникальном для Floki. Склейка частей из каждой секции дает полные данные, первый байт которых указывает на тип данных:
• конфигурационный файл, если первый байт – 00;
• обновление, если первый байт – 01;
• команда, если первый байт – 02.
Конфигурационный файл повторно зашифрован по алгоритму RC4+XOR и после расшифровки имеет стандартный формат zeus_storage. Обновления представляют из себя незашифрованные MZ/PE-файлы. Команды приходят в стандартном формате zeus_storage также незашифрованными. Расшифрованный конфигурационный файл и команды совместимы с семейством Zeus.

География атак семейства Trojan-Banker.Win32.Floki


География атак в период 08.12.2015 — 08.12.2016

Страны с атакованными пользователями (%)

Страна % атакованных пользователей*
1 Таиланд 40
2 Франция 20
3 Германия 20
4 Индия 20

*Процент от всех уникальных пользователей продуктов «Лаборатории Касперского», атакованных зловредом