Trojan.Win32.Trickster

Дата обнаружения 01/12/2016
Класс Trojan
Платформа Win32
Описание

Trojan.Win32.Trickster (также известен как TrickLoader, TrickBot) способен заражать 32- и 64-разрядные версии операционной системы Windows. Троянец, как правило, имеет небольшой размер (до 500 КБ) и не имеет дополнительной упаковки и шифрования основного тела. Судя по протоколу взаимодействия с командным сервером, зловред переписан из исходного кода Dyre (Dyreza), но, в отличие от Dyre, способен осуществлять веб-инжекты.

Основное тело Trojan.Win32.Trickster содержит следующие характерные строки в формате Unicode:
• TrickLoader;
• Global\TrickBot;
• BotLoader.

Характерной и легко узнаваемой чертой является также наличие строки TrickLoader в поле User-Agent сетевых пакетов.

Файл со списком командных серверов Trojan.Win32.Trickster хранится в секции ресурсов в зашифрованном виде. Для расшифровки списка, а также модулей, получаемых от командных серверов, используется алгоритм шифрования AES. В качестве ключа используется хеш в формате RSA-256.

На данный момент известно о следующих модулях, используемых зловредом:
• systeminfo – первый модуль для Trojan.Win32.Trickster;
• injectDll – модуль, который встраивается в браузер и используется для веб-инжектов.

География атак семейства Trojan.Win32.Trickster


География атак в период 01.12.2015 — 01.12.2016

TOP 10 стран по количеству атакованных пользователей (%)

Страна % атакованных пользователей*
1 Австралия 17,56
2 США 6,29
3 Великобритания 6,17
4 Сингапур 4,98
5 Индия 3,68
6 Российская Федерация 3,32
7 Япония 3,20
8 Франция 3,08
9 Италия 3,08
10 Китай 2,85

*Процент от всех уникальных пользователей продуктов «Лаборатории Касперского», атакованных зловредом