Trojan.TrickBot

Trojan.TrickBot Descrição

O Trojan.TrickBot, um Trojan bancário, parece ser um sucessor do Dyre, um conhecido Trojan bancário que já foi responsável por inúmeros ataques em todo o mundo. Há certamente uma conexão entre os dois Trojans. Essas ameaças evoluem constantemente, ganhando novos recursos à medida em que se defendem das novas medidas de segurança implementadas pelos pesquisadores de segurança do PC. O Dyre, também conhecido como Dyreza, parece ter evoluído para o Trojan.TrickBot, um novo Trojan bancário.

Uma Breve Análise do Predecessor do Trojan.TrickBot, o Dyre Trojan

O Dyre Trojan, que está associado a uma extensa rede de bots composta por centenas de milhares de computadores infectados, atacou dezenas de milhares de computadores em todo o mundo em novembro de 2015. Mais de mil bancos e instituições financeiras podem ter sido comprometidos pelo Dyre. As atividades dessa ameaça cessaram em novembro de 2015, o que coincidiu com a invasão dos escritórios de uma empresa russa que fazia parte do grupo de trapaceiros responsáveis pelo Dyre. Infelizmente, parece que alguém que esteve envolvido no desenvolvimento do Dyre em 2015 pode agora estar participando do desenvolvimento do Trojan.TrickBot.

Monitorando a Evolução do Trojan.TrickBot

O Trojan.TrickBot foi detectado pela primeira vez em setembro de 2016 em uma campanha de ameaças direcionada aos usuários de computador da Austrália. Algumas das instituições financeiras australianas que foram afetadas incluem o NAB, St. George, Westpac e ANZ. Os ataques iniciais do Trojan.TrickBot envolveram um módulo coletor. Novas amostras do Trojan.TrickBot também incluem webinjects nos seus ataques, e parecem ainda estar em teste.

Existem várias razões pelas quais os analistas de segurança do PC suspeitam que existe uma forte conexão entre o Trojan.TrickBot e o Dyre. O carregador envolvido na maioria dos ataques é muito semelhante. Depois de decodificar as ameaças, as semelhanças tornam-se muito óbvias. Isso significa que muitos dos trapaceiros que foram responsáveis ​​pelo desenvolvimento e a implementação do Dyre parecem ter se tornado ativos novamente, escapando da prisão e retomando às atividades um ano após os ataques do Dyre. O Trojan.TrickBot parece ser uma versão reescrita do Dyre, mantendo muitas das mesmas funções, mas escritas de uma maneira diferente. Comparado ao Dyre, há uma grande quantidade de código em C ++ na implementação do Trojan.TrickBot. O Trojan.TrickBot tira proveito do CryptoAPI da Microsoft, em vez de ter funções internas para as suas operações de criptografia correspondentes. A seguir estão as diferenças entre o Trojan.TrickBot e o Dyre:

  • O Trojan.TrickBot não executa comandos diretamente, mas interage com o Agendador de Tarefas usando COM para manter persistência no computador infectado.
  • Em vez de usar a rotina de hashing SHA256 embutida ou uma rotina AES, o Trojan.TrickBot usa a API do Microsoft Crypto.
  • Enquanto o Dyre foi escrito usando principalmente a linguagem de programação C, o Trojan.TrickBot usa uma porção maior de C ++ no seu código.

Essas diferenças, no entanto, parecem indicar que existe uma relação clara entre o Dyre e o Trojan.TrickBot, mas que o Trojan.TrickBot na verdade representa um estágio mais avançado de desenvolvimento do que a ameaça anterior. O Trojan.TrickBot é carregado usando o gerenciador de ameaças 'TrickLoader', que foi associado a várias outras ameaças, incluindo o Pushdo, o Cutwail e o Vawtrak. O Cutwail, em particular, também tem sido associado à ameaça Dyre, tornando provável que os vigaristas responsáveis ​​pelo Trojan.TrickBot estejam tentando reconstruir os vastos recursos de que desfrutavam com o ataque anterior.

Prevenindo os Ataques do Trojan.TrickBot

A melhor maneira de evitar ataques do Trojan.TrickBot é certificar-se de que o seu computador está protegido com um programa anti-malware confiável e totalmente atualizado. As senhas bancárias online devem ser fortes e uma autenticação em duas etapas deve ser implementada. Tenha cuidado ao manipular as suas contas bancárias on-line, evitando essas operações nos computadores desconhecidos e examinando o seu computador regularmente em busca de ameaças com um aplicativo de segurança atualizado.

Você Suspeita que o Seu PC pode ter sido Infectado por Trojan.TrickBot e Outras Ameaças? Digitalize o Seu PC with o SpyHunter

O SpyHunter é uma poderosa ferramenta de proteção e remediação de malware, projetada para ajudar a fornecer aos usuários de PC análises detalhadas da segurança do sistema, detecção e remoção de uma ampla gama de ameaças, tais como Trojan.TrickBot, bem como um serviço de suporte técnico individualizado. Faça o Download do Removedor de Malware GRATUITO do SpyHunter
Observação: O digitalizador do SpyHunter é apenas para a detecção de malware. Se o SpyHunter detectar malware no seu PC, você precisará adquirir a ferramenta de remoção de malware do SpyHunter para remover as ameaças de malware. Leia mais sobre o SpyHunter. O Removedor Gratuito permite executar uma verificação única e receber, sujeito a um período de espera de 48 horas, uma correção e remoção. O Removedor gratuito está sujeito a detalhes promocionais e aos Termos Especiais de Promoção. Para entender as nossas políticas, verifique também o nosso CLUF, a Política de Privacidade e os Critérios de Avaliação de Ameaças. Se você não deseja mais ter o SpyHunter instalado no seu computador, siga estas etapas para desinstalar o SpyHunter.

Problemas de segurança não permitem que você baixe o SpyHunter ou acesse a Internet?

Soluções: O seu computador pode ter malware escondido na memória, o que impede que qualquer programa, inclusive o SpyHunter, seja executado no seu computador. Siga as instruçōes para baixar o SpyHunter e obter acesso à Internet:
  • Use um navegador alternativo. O malware pode desativar o seu navegador. Se estiver usando o IE, por exemplo, e tiver problemas ao fazer o download do SpyHunter, você deve abrir o navegador do Firefox, Chrome ou Safari.
  • Use uma mídia removível. Faça o download do SpyHunter em outro computador que esteja limpo, grave-o em uma unidade flash USB, DVD/CD ou qualquer mídia removível que você preferir, instale-o no seu computador infectado e execute o digitalizador do SpyHunter.
  • Inicie o Windows no Modo de Segurança. Se não conseguir acessar o ambiente de trabalho do Windows, reinicie o computador no "Modo de Segurança com Rede" e Instale o SpyHunter no Modo de Segurança.
  • Usuários do IE: Desabilitem os servidores proxy do Internet Explorer para navegar na Internet com o Internet Explorer ou atualizem os seus programas anti-spyware. O malware modifica as configurações do Windows para usar um servidor proxy e impedir que você navegue na rede com o IE.
Se você continua não conseguindo instalar o SpyHunter? Veja outras possíveis causas para os problemas de instalação.

Informação Técnica

Detalhes Sobre os Arquivos do Sistema

Trojan.TrickBot cria o(s) seguinte(s) arquivo(s):
# Nome do arquivo Tamanho MD5 Contagem da Detecção
1 %SYSTEMDRIVE%\Users\BGauntt\appdata\roaming\g5oh55whi0gwuxpxgzk4eor6b13mic147vjm66pab5x8f1oc76rp76vnsbbx_26t.exe\g5oh55whi0gwuxpxgzk4eor6b13mic147vjm66pab5x8f1oc76rp76vnsbbx_26t.exe 546,612 00701daadc3d41e975f0b307954b75bf 252
2 %SYSTEMDRIVE%\grahic.exe\grahic.exe 401,920 58c5675a26dc8f81670a75e4d01b2150 197
3 %SYSTEMDRIVE%\tumpex.exe\tumpex.exe 446,464 295945614fbdb1f363340c3a778a753d 196
4 %SYSTEMDRIVE%\shima.exe\shima.exe 606,208 e7f594dacc2d36f1d60289515280bdea 159
5 c:tmpax.exe 709,248 8f29d0d9e64b2c60ee7406a1b4e6e533 153
6 %SYSTEMDRIVE%\swupd.exe\swupd.exe 630,784 ab2685a8c4ad66e3c959aa625117f965 140
7 %SYSTEMDRIVE%\Users\BGauntt\appdata\roaming\s31c9enber4pm5jpxok3djjv49n4r9bwcnyd1_l09v9yh07d33vn1dy47uwjiyxb.exe\s31c9enber4pm5jpxok3djjv49n4r9bwcnyd1_l09v9yh07d33vn1dy47uwjiyxb.exe 630,784 9921475a696aadbb0956bec618dd990d 140
8 %SYSTEMDRIVE%\swype.exe\swype.exe 806,912 8d6572f1f3efa7ffd3daccafcc777a7c 133
9 %SYSTEMDRIVE%detar.exe 606,208 5d5370e2a5b0a36263c83604f18edb94 107
10 %SYSTEMDRIVE%\shera.exe\shera.exe 546,612 ca5a2501c7eba21240665901b1b033c2 98
11 %SYSTEMDRIVE%\compar.exe\compar.exe 396,800 8897352420f4ae8d9b49c66aeac503e7 69
12 %SYSTEMDRIVE%\Users\BGauntt\appdata\roaming\okw1q1dy2p7agx5r124xjev2siuue2f2yo135qs26f3atzci7u2g3s71b7riqjpq.exe\okw1q1dy2p7agx5r124xjev2siuue2f2yo135qs26f3atzci7u2g3s71b7riqjpq.exe 482,766 68cabfe9cff08560addda0af513262f4 46
13 %SYSTEMDRIVE%\Users\Administrador.CAMAREAD\appdata\roaming\38f90w23pxzj4xrnkgba5c1yyji60rrixxs5mpiuf_dctt6ca4du1ff_ilkimkjc.exe\38f90w23pxzj4xrnkgba5c1yyji60rrixxs5mpiuf_dctt6ca4du1ff_ilkimkjc.exe 462,848 f78810a80635175cbd988d4ef097e361 38
14 c:cmslase.exe 443,392 26d27317025124ac585c1a463e2986e4 23
15 c:wotrer.exe 962,560 0450e57c7fb70c44bd4fc95cafc061da 23
16 c:fudpe.exe 256,512 514274e4a6af9ff841e67fd9a464ee12 13
17 c:\windows\system32\setup.exe 394,240 1da7e97a565c4636fe8d63aa890d6c22 11
18 %WINDIR%\system32\config\systemprofile\boof.exe 306,176 6d50ff0c945099137dd830303f7aa664 8
19 %SYSTEMDRIVE%stsvc.exe 556,032 31edfed69186b203531b81bf50561949 6
20 c:\users\default\appdata\roaming\appnet\tetuq.exe 299,008 6bb1e2585207ee171c7609cf79fdaea8 4
21 c:monter.exe 323,584 25a2930568080b56c849557993062735 1
22 7dfc76beb5d8fc3b1ecf4de9ac204ad2 3,396 7dfc76beb5d8fc3b1ecf4de9ac204ad2 0
Arquivos Adicionais

Detalhes sobre o Registro

Trojan.TrickBot cria a seguinte entrada de registro ou entradas de registro:
Directory
%APPDATA%\AMNI
%APPDATA%\chromedata
%APPDATA%\cleanmem
%APPDATA%\CloudApp
%APPDATA%\cpumon
%APPDATA%\diskram
%APPDATA%\dllsyslib
%APPDATA%\gpudriver
%APPDATA%\GpuSettings
%APPDATA%\gpuTools
%APPDATA%\mscache
%APPDATA%\mslibrary
%APPDATA%\netcache
%APPDATA%\netrest
%APPDATA%\NetSocket
%APPDATA%\nocsys
%APPDATA%\NuiGet
%APPDATA%\safessd
%appdata%\services
%APPDATA%\smcvs
%APPDATA%\speedlan
%APPDATA%\speedlink
%APPDATA%\sysswap
%APPDATA%\temporx
%APPDATA%\vcneo
%APPDATA%\winnet
%APPDATA%\WinSocket
%APPDATA%\WNetval
%APPDATA%\wnetwork
%APPDATA%\WSOG
%LOCALAPPDATA%\runningpost
%LOCALAPPDATA%\wnetwork
%UserProfile%\Local Settings\Application Data\wnetwork
%WINDIR%\System32\config\systemprofile\AppData\Roaming\AMNI
%WINDIR%\System32\config\systemprofile\AppData\Roaming\GpuSettings
%WINDIR%\System32\config\systemprofile\AppData\Roaming\gpuTools
%WINDIR%\System32\config\systemprofile\AppData\Roaming\services
%WINDIR%\System32\config\systemprofile\AppData\Roaming\vcneo
%WINDIR%\System32\config\systemprofile\AppData\Roaming\wnetwork
%WINDIR%\System32\config\systemprofile\AppData\Roaming\WSOG
Regexp file mask
%APPDATA%\[RANDOM CHARACTERS].exe
%HOMEDRIVE%\mssvca.exe
%HOMEDRIVE%\mswvc.exe
%HOMEDRIVE%\stcvc.exe
%HOMEDRIVE%\stsvc.exe
%LOCALAPPDATA%\TempQce34.exE
%UserProfile%\Local Settings\Application Data\TempQce34.exE
File name without path
44893m9uh88g9l9_nkubyhu6vfxxbh989xo7hlttkppzf29ttdu6kwppk_11c1jl.exe

Isenção de Responsabilida do Site

O Enigmasoftware.com não é associado, afiliado, patrocinado ou pertence aos criadores ou distribuidores dos malwares que são mencionados neste artigo. Este artigo NÃO deve ser julgado equivocadamente ou confundido como sendo associado, de alguma forma, com a promoção ou o endosso de malware. A nossa intenção é fornecer informações que vão elucidar os usuários de computador sobre como detectar, e no final remover as ameaças de malware dos seus PCs, com a ajuda do SpyHunter e/ou das instruções para a remoção manual fornecidas neste artigo.

Este artigo foi escrito com base nas condições atuais existentes e unicamente com propósitos de informação e esclarecimento. Seguindo qualquer uma das instruções contidas neste artigo, você concorda em ficar vinculado à nossa isenção de responsabilidade. Nós não garantimos que este artigo vá ajuda-lo a remover completamente as ameaças de malware existentes no seu PC. O spyware sofre modificações regularmente, portanto, é muito difícil limpar manualmente, e de forma completa, uma máquina infectada.

Deixar uma Resposta

Por favor NÃO utilize este sistema de comentários para perguntas sobre pagamentos e suporte. Para solicitações de suporte técnico do SpyHunter, entre em contato diretamente com a nossa equipe de suporte técnico, abrindo um ticket de suporte ao cliente através do seu SpyHunter. Para problemas com pagamento, por favor acesse a página "Problemas ou Perguntas referentes ao Pagamento". Para solicitações genéricas (reclamaçōes, questōes legais, imprensa, marketing, direitos autorais) visite a nossa página "Perguntas e Comentários"