Trojan.Win32.Trickster

Trojan.Win32.Trickster (также известен как TrickLoader, TrickBot) способен заражать 32- и 64-разрядные версии операционной системы Windows. Троянец, как правило, имеет небольшой размер (до 500 КБ) и не имеет дополнительной упаковки и шифрования основного тела. Судя по протоколу взаимодействия с командным сервером, зловред переписан из исходного кода Dyre (Dyreza), но, в отличие от Dyre, способен осуществлять веб-инжекты.

Основное тело Trojan.Win32.Trickster содержит следующие характерные строки в формате Unicode:
• TrickLoader;
• Global\TrickBot;
• BotLoader.

Характерной и легко узнаваемой чертой является также наличие строки TrickLoader в поле User-Agent сетевых пакетов.

Файл со списком командных серверов Trojan.Win32.Trickster хранится в секции ресурсов в зашифрованном виде. Для расшифровки списка, а также модулей, получаемых от командных серверов, используется алгоритм шифрования AES. В качестве ключа используется хеш в формате RSA-256.

На данный момент известно о следующих модулях, используемых зловредом:
• systeminfo – первый модуль для Trojan.Win32.Trickster;
• injectDll – модуль, который встраивается в браузер и используется для веб-инжектов.

TOP 10 стран по количеству атакованных пользователей (%)

*Процент от всех уникальных пользователей продуктов «Лаборатории Касперского», атакованных зловредом