特洛伊木马

特洛伊木马 介绍

Trojan.TrickBot截图 Trojan.TrickBot,银行木马,似乎是Dyre的继任者,Dyre是著名的银行木马,已经对世界各地的众多攻击负责。这两个木马之间肯定存在联系。这些威胁不断发展,在抵御PC安全研究人员实施的新安全措施时获得了新功能。 Dyre ,也称为Dyreza,似乎已经发展成为Trojan.TrickBot,一种较新的银行木马。

Trojan.TrickBot于2016年10月首次出现,当时仅攻击澳大利亚的银行。从2017年4月开始,也有报道称对英国,美国,瑞士,德国,加拿大,新西兰,法国和爱尔兰的主要银行也进行了攻击。该特洛伊木马的其他名称包括TheTrick,Trickster,TrickLoader,Trojan.TrickBot.e等。该恶意软件的较新版本之一已更新,以在2017年末加密矿盛行之后针对加密货币钱包为目标。同样在2017年,银行木马的作者在其代码中添加了一个自我传播组件,从而使该恶意软件能够自我传播。显然,目标是使用Trojan.TrickBot感染尽可能多的计算机,甚至感染整个网络。在2018年,Trojan.TrickBot再次以更广泛的功能出现。

TrickBot喜欢与其他恶意软件威胁合作

2019年1月,研究人员发现了Ryuk勒索软件的活跃活动,其中目标受害者先前曾受到Emotet和TrickBot的攻击。有证据表明,网络犯罪分子首先通过垃圾邮件和各种社会工程技术传递了Emotet 。在该方案中,使用感染了Emotet的计算机来分发TrickBot,TrickBot进而窃取了敏感信息,从而帮助攻击者确定受害者是否是合适的行业目标。如果是这样,那么他们会将Ryuk勒索软件部署到公司的网络中。此前,在2018年5月,TrickBot还与另一家银行TrojanIcedID合作。

单独工作时,TrickBot通常会散布在伪装成带有启用宏的Microsoft Office文档的损坏的电子邮件附件中。打开文件后,恶意脚本将执行并秘密下载恶意软件。 TrickBot自2019年初以来的最新版本是通过假装来自大型金融咨询公司的季节性主题垃圾邮件发送的。这些电子邮件以税收相关内容吸引用户,并有望在某些美国税收问题上提供帮助。但是,一旦打开,将附加到用户计算机上的电子邮件投递TrickBot的Microsoft Excel电子表格。

对Trojan的简要分析.TrickBot的前身Dyre Trojan

Dyre特洛伊木马程序与由数十万台受感染计算机组成的广泛僵尸网络相关联,在2015年11月攻击了全球数万台计算机。. 这种威胁的活动于2015年11月停止,恰逢突袭了一家俄罗斯企业的办公室,该企业隶属于负责Dyre的骗子团体。不幸的是,似乎2015年参与开发Dyre的人现在可能正在参与Trojan.TrickBot的开发。

监控Trojan.TrickBot的演变

Trojan.TrickBot于2016年9月在针对澳大利亚计算机用户的威胁运动中首次被发现。受影响的一些澳大利亚金融机构包括国民银行,圣乔治,西太平洋银行和澳新银行。最初的Trojan.TrickBot攻击涉及一个收集器模块。较新的Trojan.TrickBot示例也将webinjects包含在其攻击中,并且似乎仍在测试中。

PC安全分析师怀疑Trojan.TrickBot和Dyre之间存在很强的联系,原因有多种。参与大多数攻击的装载程序非常相似。解码威胁后,相似之处就非常明显。这意味着负责Dyre开发和实施的许多骗子似乎又重新活跃起来,逃避了Dyre袭击一年后的逮捕和恢复活动。 Trojan.TrickBot似乎是Dyre的重写版本,保留了许多相同的功能,但编写方式不同。与Dyre相比,Trojan.TrickBot实现中有大量的C ++代码。 Trojan.TrickBot利用了Microsoft的CryptoAPI,而不是为其相应的加密操作使用内置函数。以下是Trojan.TrickBot和Dyre之间的区别:

  • Trojan.TrickBot不会直接运行命令,而是会使用COM与Task Scheduler进行交互,以保持对受感染计算机的持久性。
  • Trojan.TrickBot使用Microsoft Crypto API,而不是使用内置的SHA256哈希例程或AES例程。
  • 虽然Dyre主要是使用编程语言C编写的,但Trojan.TrickBot的代码使用了C ++的较大部分。
  • 除了攻击大型国际银行以外,Trojan.TrickBot还可以从比特币钱包中窃取。
  • TrojanTrickBot能够通过Mimikatz工具收集电子邮件和登录凭据。
  • 新功能也不断添加到Trojan.TrickBot。

但是,这些差异似乎表明Dyre与Trojan.TrickBot之间存在明确的关系,但Trojan.TrickBot实际上代表了早期威胁发展的更高级阶段。使用威胁加载程序“ TrickLoader”加载Trojan.TrickBot,该加载程序已与其他几种威胁相关联,包括PushdoCutwailVawtrak 。特别是Cutwail,也与Dyre威胁相关联,使得负责Trojan.TrickBot的骗子很可能试图重建他们先前攻击时享有的强大功能。

运作细节

Trojan.TrickBot是对用户隐私的严重威胁,因为其主要目的是窃取在线银行网站,Paypal帐户,加密货币钱包以及其他金融和个人帐户的用户登录凭据。该恶意软件使用两种技术诱骗受害者提供数据. 第一种技术称为静态注入,它包括用伪造的网站来替换合法银行网站的登录页面,并准确复制该页面。第二种方法称为动态注入,它涉及劫持受害者的浏览器,并在每次用户输入属于目标银行网站的URL时将其重定向到由恶意软件操作员控制的服务器。在任何一种情况下,都会捕获用户输入的登录数据,并将其分别发送到Trojan.TrickBot操作员,并且可能被滥用以进行财务欺诈。

Trojan.TrickBot通过几个不同的模块和一个配置文件提供。每个模块都执行特定的任务,例如确保恶意软件的传播和持久性,窃取凭据等。为了避免检测,恶意模块被注入到包括svchost在内的合法进程中。另外,TrickBot尝试禁用和删除Windows Defender,以减少被检测到的机会。

Trojan.TrickBot的安装文件夹位于C:\ user \ AppData \ Roaming \%Name%中,因此“%Name%”取决于恶意软件的特定版本。在同一文件夹中还有一个TrickBot副本,其名称略有不同,还有settings.ini文件和Data文件夹。 TrickBot通过创建计划任务和服务来确保其持久性。任务的名称取决于恶意软件的变体,例如,可以将其命名为“ NetvalTask”。注册表项是随机生成的,位于服务配置单元下,例如\ HKLM \ System \ CurrentControlSet \ Services \ {Random_name} \ imagePath。 Trojan.TrickBot的运营商设置了Command&Control服务器,恶意软件通过该服务器与被入侵的无线路由器进行通信。

较新版本的TrickBot具有增强的功能

2018年11月,Trojan.TrickBot的更新版本进入了恶意软件市场,展示了更多高级功能。其中之一是在2018年11月之前的几个月中出现的某些版本的恶意软件中出现的屏幕锁定功能。当时,一些研究人员认为,通过该新组件,恶意软件作者的目的是如果特洛伊木马程序被劫持,则将受害者勒索。无法从受感染的计算机中窃取任何银行凭证。在2018年11月前后还增加了避免检测的功能。但是,Trojan.TrickBot武库中增加了一个更加危险的功能,当时它通过一个名为“ pwgrab”的新密码捕获模块-该恶意软件不再对只能由用户网站访问,但它也可以劫持流行的应用程序并从那里窃取保存的密码。除此之外,TrickBot还开始收集浏览和系统数据,例如cookie,搜索项,历史记录,CPU信息,正在运行的进程等。此外,木马一旦安装在计算机上,便具有自我更新的能力,这意味着受感染的计算机将始终具有最新版本的TrickBot,而不管初始感染的时间如何。

Trojan.TrickBot的另一个新版本于2019年1月被趋势科技研究人员发现。此新变种为TrickBot的密码窃取模块增加了三项新功能,旨在针对虚拟网络计算(VNC),PuTTY和远程桌面协议。 (RDP)平台。 TrickBot的pwgrab模块通过在“%APPDATA%\ Microsoft \ Windows \ Recent”,“%USERPROFILE%\ Documents”和“%USERPROFILE%\”中查找名称中包含“ .vnc.lnk”的文件来捕获VNC凭据。下载”文件夹. 为了获取PuTTY和RDP凭据,TrickBot会在Software \ SimonTatham \ Putty \ Sessions注册表项中查找并使用“ CredEnumerateA API”来识别和窃取已保存的密码。然后,为了识别每个RDP凭据保存的用户名,主机名和密码,恶意软件将解析字符串“ target = TERMSRV”。 TrickBot从操作员的Command&Control服务器下载名为“ dpost”的配置文件,并使用POST命令设置以窃听从受感染设备收集的VNC,PuTTY和RDP凭据。

在2019年1月,研究人员还发现TrickBot还可充当其他参与者的访问即服务-一旦感染计算机,它就会将其变成机器人并创建反向外壳,从而允许其他恶意软件操作员访问受感染的网络并丢弃自己的恶意有效载荷。

防止Trojan.TrickBot攻击

防止Trojan.TrickBot攻击的最佳方法是确保计算机受到可靠的,完全更新的反恶意软件程序的保护。网上银行密码应该很安全,并且应该执行两步验证。在处理您的网上银行帐户,避免在未知计算机上进行这些操作以及定期使用更新的安全应用程序对计算机进行威胁扫描时,请务必谨慎。

您是否担心您的计算被特洛伊木马 &或其他威胁感染? 用SpyHunter扫描您的电脑

SpyHunter是一款功能强大的恶意软件修复和保护工具,帮助用户进行深入的计算机系统安全分析,检测和清理如特洛伊木马的\各种威胁,并提供一对一的技术支持服务。 下载SpyHunter的免费恶意软件清除器
请注意:SpyHunter的扫描仪用于恶意软件检测。如果SpyHunter在您的PC上检测到恶意软件,则需要购买SpyHunter的恶意软件清除工具以清除恶意软件威胁。查看更多关于SpyHunter的信息。免费的清除器可以使您可以进行一次性扫描,并在48小时等待时间内接受一次修复和清除。免费的清除器,需遵循促销详细信息和特殊促销条款。要了解我们的政策,还请查看我们的最终用户许可协议隐私政策威胁评估标准。如果您不再希望在计算机上安装SpyHunter,请参考这些步骤卸载SpyHunter

由于安全问题,您无法下载SpyHunter或访问网络?

解决方案: 您的计算机可能在内存中隐藏了恶意软件,以防止任何程序(包括SpyHunter)在您的计算机上执行。请按照说明下载SpyHunter并访问网络:
  • 使用备用浏览器。恶意软件可能会禁用您的浏览器。例如,如果您正在使用IE,并且在下载SpyHunter时遇到问题,您可以使用Firefox、Chrome或Safari浏览器。
  • 使用可移动媒体。在另一台计算机上下载SpyHunter,将其刻录到USB闪存驱动器、DVD/CD或任何常用的可移动媒体,然后将其安装在受感染的计算机上并运行SpyHunter的恶意软件扫描程序。
  • 以安全模式启动Windows。如果您无法访问Windows桌面,请在“带网络连接的安全模式”下重启您的计算机并在安全模式下安装SpyHunter
  • IE用户:禁用Internet Explorer的代理服务器以使用Internet Explorer浏览网页,或更新您的反间谍软件程序。恶意软件会修改您的Windows设置以使用代理服务器来阻止您使用IE浏览网页。
如果您仍然无法安装SpyHunter? 查看安装问题的其他可能原因。

技术信息

文件系统详情

特洛伊木马创建以下文件:
# 文件名 大小 MD5 检测计数
1 %SYSTEMDRIVE%\Users\BGauntt\appdata\roaming\g5oh55whi0gwuxpxgzk4eor6b13mic147vjm66pab5x8f1oc76rp76vnsbbx_26t.exe\g5oh55whi0gwuxpxgzk4eor6b13mic147vjm66pab5x8f1oc76rp76vnsbbx_26t.exe 546,612 00701daadc3d41e975f0b307954b75bf 252
2 %SYSTEMDRIVE%\grahic.exe\grahic.exe 401,920 58c5675a26dc8f81670a75e4d01b2150 197
3 %SYSTEMDRIVE%\tumpex.exe\tumpex.exe 446,464 295945614fbdb1f363340c3a778a753d 196
4 %SYSTEMDRIVE%\shima.exe\shima.exe 606,208 e7f594dacc2d36f1d60289515280bdea 159
5 c:tmpax.exe 709,248 8f29d0d9e64b2c60ee7406a1b4e6e533 153
6 %SYSTEMDRIVE%\swupd.exe\swupd.exe 630,784 ab2685a8c4ad66e3c959aa625117f965 140
7 %SYSTEMDRIVE%\Users\BGauntt\appdata\roaming\s31c9enber4pm5jpxok3djjv49n4r9bwcnyd1_l09v9yh07d33vn1dy47uwjiyxb.exe\s31c9enber4pm5jpxok3djjv49n4r9bwcnyd1_l09v9yh07d33vn1dy47uwjiyxb.exe 630,784 9921475a696aadbb0956bec618dd990d 140
8 %SYSTEMDRIVE%\swype.exe\swype.exe 806,912 8d6572f1f3efa7ffd3daccafcc777a7c 133
9 %SYSTEMDRIVE%detar.exe 606,208 5d5370e2a5b0a36263c83604f18edb94 107
10 %SYSTEMDRIVE%\shera.exe\shera.exe 546,612 ca5a2501c7eba21240665901b1b033c2 98
11 %SYSTEMDRIVE%\compar.exe\compar.exe 396,800 8897352420f4ae8d9b49c66aeac503e7 69
12 %SYSTEMDRIVE%\Users\BGauntt\appdata\roaming\okw1q1dy2p7agx5r124xjev2siuue2f2yo135qs26f3atzci7u2g3s71b7riqjpq.exe\okw1q1dy2p7agx5r124xjev2siuue2f2yo135qs26f3atzci7u2g3s71b7riqjpq.exe 482,766 68cabfe9cff08560addda0af513262f4 46
13 %SYSTEMDRIVE%\Users\Administrador.CAMAREAD\appdata\roaming\38f90w23pxzj4xrnkgba5c1yyji60rrixxs5mpiuf_dctt6ca4du1ff_ilkimkjc.exe\38f90w23pxzj4xrnkgba5c1yyji60rrixxs5mpiuf_dctt6ca4du1ff_ilkimkjc.exe 462,848 f78810a80635175cbd988d4ef097e361 38
14 c:cmslase.exe 443,392 26d27317025124ac585c1a463e2986e4 23
15 c:wotrer.exe 962,560 0450e57c7fb70c44bd4fc95cafc061da 23
16 c:fudpe.exe 256,512 514274e4a6af9ff841e67fd9a464ee12 13
17 c:\windows\system32\setup.exe 394,240 1da7e97a565c4636fe8d63aa890d6c22 11
18 %WINDIR%\system32\config\systemprofile\boof.exe 306,176 6d50ff0c945099137dd830303f7aa664 8
19 %SYSTEMDRIVE%stsvc.exe 556,032 31edfed69186b203531b81bf50561949 6
20 c:\users\default\appdata\roaming\appnet\tetuq.exe 299,008 6bb1e2585207ee171c7609cf79fdaea8 4
21 c:monter.exe 323,584 25a2930568080b56c849557993062735 1
22 7dfc76beb5d8fc3b1ecf4de9ac204ad2 3,396 7dfc76beb5d8fc3b1ecf4de9ac204ad2 0
更多文件

注册表详情

特洛伊木马创建以下注册表条目:
Directory
%APPDATA%\AMNI
%APPDATA%\chromedata
%APPDATA%\cleanmem
%APPDATA%\CloudApp
%APPDATA%\cpumon
%APPDATA%\diskram
%APPDATA%\dllsyslib
%APPDATA%\gpudriver
%APPDATA%\GpuSettings
%APPDATA%\gpuTools
%APPDATA%\mscache
%APPDATA%\mslibrary
%APPDATA%\netcache
%APPDATA%\netrest
%APPDATA%\NetSocket
%APPDATA%\nocsys
%APPDATA%\NuiGet
%APPDATA%\safessd
%appdata%\services
%APPDATA%\smcvs
%APPDATA%\speedlan
%APPDATA%\speedlink
%APPDATA%\sysswap
%APPDATA%\temporx
%APPDATA%\vcneo
%APPDATA%\winnet
%APPDATA%\WinSocket
%APPDATA%\WNetval
%APPDATA%\wnetwork
%APPDATA%\WSOG
%LOCALAPPDATA%\runningpost
%LOCALAPPDATA%\wnetwork
%UserProfile%\Local Settings\Application Data\wnetwork
%WINDIR%\System32\config\systemprofile\AppData\Roaming\AMNI
%WINDIR%\System32\config\systemprofile\AppData\Roaming\GpuSettings
%WINDIR%\System32\config\systemprofile\AppData\Roaming\gpuTools
%WINDIR%\System32\config\systemprofile\AppData\Roaming\services
%WINDIR%\System32\config\systemprofile\AppData\Roaming\vcneo
%WINDIR%\System32\config\systemprofile\AppData\Roaming\wnetwork
%WINDIR%\System32\config\systemprofile\AppData\Roaming\WSOG
Regexp file mask
%APPDATA%\[RANDOM CHARACTERS].exe
%HOMEDRIVE%\mssvca.exe
%HOMEDRIVE%\mswvc.exe
%HOMEDRIVE%\stcvc.exe
%HOMEDRIVE%\stsvc.exe
%LOCALAPPDATA%\TempQce34.exE
%UserProfile%\Local Settings\Application Data\TempQce34.exE
File name without path
44893m9uh88g9l9_nkubyhu6vfxxbh989xo7hlttkppzf29ttdu6kwppk_11c1jl.exe

网站免责声明

Enigmasoftware.com与本文中提到的恶意软件创建者或分销商没有任何关联、赞助或附属关系。本文不应被理解为与恶意软件的宣传或认可。我们的目的是提供信息,让用户根据本文中的Spyhunter手动清理说明来检测并清理计算机上的恶意软件。

本文“按原样”提供,仅用于教育信息目的。通过遵循本文的任何说明,即表示您同意受免责声明的约束。 我们不保证本文将帮助您彻底删除PC上的恶意软件威胁。 间谍软件定期更改; 因此,很难通过手动方式完全清洁受感染的机器。

发表评论

请不要将此评论系统用于支持或结算问题。 若要获取SpyHunter技术支持,请通过SpyHunter打开技术支持问题直接联系我们的技术团队。 有关结算问题,请参考“结算问题?”页面。 有关一般查询(投诉,法律,媒体,营销,版权),请访问我们的"查询和反馈"页面。