Дата обнаружения | 01/12/2016 | |||||||||||||||||||||||||||||||||
Класс | Trojan | |||||||||||||||||||||||||||||||||
Платформа | Win32 | |||||||||||||||||||||||||||||||||
Описание |
Trojan.Win32.Trickster (также известен как TrickLoader, TrickBot) способен заражать 32- и 64-разрядные версии операционной системы Windows. Троянец, как правило, имеет небольшой размер (до 500 КБ) и не имеет дополнительной упаковки и шифрования основного тела. Судя по протоколу взаимодействия с командным сервером, зловред переписан из исходного кода Dyre (Dyreza), но, в отличие от Dyre, способен осуществлять веб-инжекты. Основное тело Trojan.Win32.Trickster содержит следующие характерные строки в формате Unicode: Характерной и легко узнаваемой чертой является также наличие строки TrickLoader в поле User-Agent сетевых пакетов. Файл со списком командных серверов Trojan.Win32.Trickster хранится в секции ресурсов в зашифрованном виде. Для расшифровки списка, а также модулей, получаемых от командных серверов, используется алгоритм шифрования AES. В качестве ключа используется хеш в формате RSA-256. На данный момент известно о следующих модулях, используемых зловредом: TOP 10 стран по количеству атакованных пользователей (%)
*Процент от всех уникальных пользователей продуктов «Лаборатории Касперского», атакованных зловредом |
|||||||||||||||||||||||||||||||||
Узнай статистику распространения угроз в твоем регионе |