Trojan-Banker.Win32.Floki

Вредоносная программа этого семейства по возможностям полностью повторяет семейство Zeus, так как основана на его исходном коде. Главное отличие состоит в методе упаковки конфигурационного файла. Если в базовых версиях Zeus пакет шифровался по алгоритму RC4+XOR и затем следовал конфигурационный файл в формате zeus_storage, то во Floki структура сложнее. Ответ от сервера шифруется по алгоритму RC4+XOR, затем следуют данные, разделенные на секции, в формате, уникальном для Floki. Склейка частей из каждой секции дает полные данные, первый байт которых указывает на тип данных:
• конфигурационный файл, если первый байт – 00;
• обновление, если первый байт – 01;
• команда, если первый байт – 02.
Конфигурационный файл повторно зашифрован по алгоритму RC4+XOR и после расшифровки имеет стандартный формат zeus_storage. Обновления представляют из себя незашифрованные MZ/PE-файлы. Команды приходят в стандартном формате zeus_storage также незашифрованными. Расшифрованный конфигурационный файл и команды совместимы с семейством Zeus.

Страны с атакованными пользователями (%)

*Процент от всех уникальных пользователей продуктов «Лаборатории Касперского», атакованных зловредом