特洛伊木马

特洛伊木马 介绍

Trojan.TrickBot截图 Trojan.TrickBot,银行木马,似乎是Dyre的继任者,Dyre是著名的银行木马,已经对世界各地的众多攻击负责。这两个木马之间肯定存在联系。这些威胁不断发展,在抵御PC安全研究人员实施的新安全措施时获得了新功能。 Dyre ,也称为Dyreza,似乎已经发展成为Trojan.TrickBot,一种较新的银行木马。

Trojan.TrickBot于2016年10月首次出现,当时仅攻击澳大利亚的银行。从2017年4月开始,也有报道称对英国,美国,瑞士,德国,加拿大,新西兰,法国和爱尔兰的主要银行也进行了攻击。该特洛伊木马的其他名称包括TheTrick,Trickster,TrickLoader,Trojan.TrickBot.e等。该恶意软件的较新版本之一已更新,以在2017年末加密矿盛行之后针对加密货币钱包为目标。同样在2017年,银行木马的作者在其代码中添加了一个自我传播组件,从而使该恶意软件能够自我传播。显然,目标是使用Trojan.TrickBot感染尽可能多的计算机,甚至感染整个网络。在2018年,Trojan.TrickBot再次以更广泛的功能出现。

TrickBot喜欢与其他恶意软件威胁合作

2019年1月,研究人员发现了Ryuk勒索软件的活跃活动,其中目标受害者先前曾受到Emotet和TrickBot的攻击。有证据表明,网络犯罪分子首先通过垃圾邮件和各种社会工程技术传递了Emotet 。在该方案中,使用感染了Emotet的计算机来分发TrickBot,TrickBot进而窃取了敏感信息,从而帮助攻击者确定受害者是否是合适的行业目标。如果是这样,那么他们会将Ryuk勒索软件部署到公司的网络中。此前,在2018年5月,TrickBot还与另一家银行TrojanIcedID合作。

单独工作时,TrickBot通常会散布在伪装成带有启用宏的Microsoft Office文档的损坏的电子邮件附件中。打开文件后,恶意脚本将执行并秘密下载恶意软件。 TrickBot自2019年初以来的最新版本是通过假装来自大型金融咨询公司的季节性主题垃圾邮件发送的。这些电子邮件以税收相关内容吸引用户,并有望在某些美国税收问题上提供帮助。但是,一旦打开,将附加到用户计算机上的电子邮件投递TrickBot的Microsoft Excel电子表格。

对Trojan的简要分析.TrickBot的前身Dyre Trojan

Dyre特洛伊木马程序与由数十万台受感染计算机组成的广泛僵尸网络相关联,在2015年11月攻击了全球数万台计算机。. 这种威胁的活动于2015年11月停止,恰逢突袭了一家俄罗斯企业的办公室,该企业隶属于负责Dyre的骗子团体。不幸的是,似乎2015年参与开发Dyre的人现在可能正在参与Trojan.TrickBot的开发。

监控Trojan.TrickBot的演变

Trojan.TrickBot于2016年9月在针对澳大利亚计算机用户的威胁运动中首次被发现。受影响的一些澳大利亚金融机构包括国民银行,圣乔治,西太平洋银行和澳新银行。最初的Trojan.TrickBot攻击涉及一个收集器模块。较新的Trojan.TrickBot示例也将webinjects包含在其攻击中,并且似乎仍在测试中。

PC安全分析师怀疑Trojan.TrickBot和Dyre之间存在很强的联系,原因有多种。参与大多数攻击的装载程序非常相似。解码威胁后,相似之处就非常明显。这意味着负责Dyre开发和实施的许多骗子似乎又重新活跃起来,逃避了Dyre袭击一年后的逮捕和恢复活动。 Trojan.TrickBot似乎是Dyre的重写版本,保留了许多相同的功能,但编写方式不同。与Dyre相比,Trojan.TrickBot实现中有大量的C ++代码。 Trojan.TrickBot利用了Microsoft的CryptoAPI,而不是为其相应的加密操作使用内置函数。以下是Trojan.TrickBot和Dyre之间的区别:

  • Trojan.TrickBot不会直接运行命令,而是会使用COM与Task Scheduler进行交互,以保持对受感染计算机的持久性。
  • Trojan.TrickBot使用Microsoft Crypto API,而不是使用内置的SHA256哈希例程或AES例程。
  • 虽然Dyre主要是使用编程语言C编写的,但Trojan.TrickBot的代码使用了C ++的较大部分。
  • 除了攻击大型国际银行以外,Trojan.TrickBot还可以从比特币钱包中窃取。
  • TrojanTrickBot能够通过Mimikatz工具收集电子邮件和登录凭据。
  • 新功能也不断添加到Trojan.TrickBot。

但是,这些差异似乎表明Dyre与Trojan.TrickBot之间存在明确的关系,但Trojan.TrickBot实际上代表了早期威胁发展的更高级阶段。使用威胁加载程序“ TrickLoader”加载Trojan.TrickBot,该加载程序已与其他几种威胁相关联,包括PushdoCutwailVawtrak 。特别是Cutwail,也与Dyre威胁相关联,使得负责Trojan.TrickBot的骗子很可能试图重建他们先前攻击时享有的强大功能。

运作细节

Trojan.TrickBot是对用户隐私的严重威胁,因为其主要目的是窃取在线银行网站,Paypal帐户,加密货币钱包以及其他金融和个人帐户的用户登录凭据。该恶意软件使用两种技术诱骗受害者提供数据. 第一种技术称为静态注入,它包括用伪造的网站来替换合法银行网站的登录页面,并准确复制该页面。第二种方法称为动态注入,它涉及劫持受害者的浏览器,并在每次用户输入属于目标银行网站的URL时将其重定向到由恶意软件操作员控制的服务器。在任何一种情况下,都会捕获用户输入的登录数据,并将其分别发送到Trojan.TrickBot操作员,并且可能被滥用以进行财务欺诈。

Trojan.TrickBot通过几个不同的模块和一个配置文件提供。每个模块都执行特定的任务,例如确保恶意软件的传播和持久性,窃取凭据等。为了避免检测,恶意模块被注入到包括svchost在内的合法进程中。另外,TrickBot尝试禁用和删除Windows Defender,以减少被检测到的机会。

Trojan.TrickBot的安装文件夹位于C:\ user \ AppData \ Roaming \%Name%中,因此“%Name%”取决于恶意软件的特定版本。在同一文件夹中还有一个TrickBot副本,其名称略有不同,还有settings.ini文件和Data文件夹。 TrickBot通过创建计划任务和服务来确保其持久性。任务的名称取决于恶意软件的变体,例如,可以将其命名为“ NetvalTask”。注册表项是随机生成的,位于服务配置单元下,例如\ HKLM \ System \ CurrentControlSet \ Services \ {Random_name} \ imagePath。 Trojan.TrickBot的运营商设置了Command&Control服务器,恶意软件通过该服务器与被入侵的无线路由器进行通信。

较新版本的TrickBot具有增强的功能

2018年11月,Trojan.TrickBot的更新版本进入了恶意软件市场,展示了更多高级功能。其中之一是在2018年11月之前的几个月中出现的某些版本的恶意软件中出现的屏幕锁定功能。当时,一些研究人员认为,通过该新组件,恶意软件作者的目的是如果特洛伊木马程序被劫持,则将受害者勒索。无法从受感染的计算机中窃取任何银行凭证。在2018年11月前后还增加了避免检测的功能。但是,Trojan.TrickBot武库中增加了一个更加危险的功能,当时它通过一个名为“ pwgrab”的新密码捕获模块-该恶意软件不再对只能由用户网站访问,但它也可以劫持流行的应用程序并从那里窃取保存的密码。除此之外,TrickBot还开始收集浏览和系统数据,例如cookie,搜索项,历史记录,CPU信息,正在运行的进程等。此外,木马一旦安装在计算机上,便具有自我更新的能力,这意味着受感染的计算机将始终具有最新版本的TrickBot,而不管初始感染的时间如何。

Trojan.TrickBot的另一个新版本于2019年1月被趋势科技研究人员发现。此新变种为TrickBot的密码窃取模块增加了三项新功能,旨在针对虚拟网络计算(VNC),PuTTY和远程桌面协议。 (RDP)平台。 TrickBot的pwgrab模块通过在“%APPDATA%\ Microsoft \ Windows \ Recent”,“%USERPROFILE%\ Documents”和“%USERPROFILE%\”中查找名称中包含“ .vnc.lnk”的文件来捕获VNC凭据。下载”文件夹. 为了获取PuTTY和RDP凭据,TrickBot会在Software \ SimonTatham \ Putty \ Sessions注册表项中查找并使用“ CredEnumerateA API”来识别和窃取已保存的密码。然后,为了识别每个RDP凭据保存的用户名,主机名和密码,恶意软件将解析字符串“ target = TERMSRV”。 TrickBot从操作员的Command&Control服务器下载名为“ dpost”的配置文件,并使用POST命令设置以窃听从受感染设备收集的VNC,PuTTY和RDP凭据。

在2019年1月,研究人员还发现TrickBot还可充当其他参与者的访问即服务-一旦感染计算机,它就会将其变成机器人并创建反向外壳,从而允许其他恶意软件操作员访问受感染的网络并丢弃自己的恶意有效载荷。

防止Trojan.TrickBot攻击

防止Trojan.TrickBot攻击的最佳方法是确保计算机受到可靠的,完全更新的反恶意软件程序的保护。网上银行密码应该很安全,并且应该执行两步验证。在处理您的网上银行帐户,避免在未知计算机上进行这些操作以及定期使用更新的安全应用程序对计算机进行威胁扫描时,请务必谨慎。

Do You Suspect Your Computer May Be Infected with 特洛伊木马 & Other Threats? Scan Your Computer with SpyHunter

SpyHunter is a powerful malware remediation and protection tool designed to help provide users with in-depth system security analysis, detection and removal of a wide range of threats like 特洛伊木马 as well as a one-on-one tech support service. Download SpyHunter's FREE Malware Remover*

技术信息

文件系统详情

特洛伊木马创建以下文件:
# 文件名 大小 MD5 检测计数
1 %SYSTEMDRIVE%\Users\BGauntt\appdata\roaming\g5oh55whi0gwuxpxgzk4eor6b13mic147vjm66pab5x8f1oc76rp76vnsbbx_26t.exe\g5oh55whi0gwuxpxgzk4eor6b13mic147vjm66pab5x8f1oc76rp76vnsbbx_26t.exe 546,612 00701daadc3d41e975f0b307954b75bf 264
2 %SYSTEMDRIVE%\tumpex.exe\tumpex.exe 446,464 295945614fbdb1f363340c3a778a753d 203
3 %SYSTEMDRIVE%\grahic.exe\grahic.exe 401,920 58c5675a26dc8f81670a75e4d01b2150 202
4 %SYSTEMDRIVE%\shima.exe\shima.exe 606,208 e7f594dacc2d36f1d60289515280bdea 182
5 c:tmpax.exe 709,248 8f29d0d9e64b2c60ee7406a1b4e6e533 175
6 %SYSTEMDRIVE%\swupd.exe\swupd.exe 630,784 ab2685a8c4ad66e3c959aa625117f965 174
7 %SYSTEMDRIVE%\Users\BGauntt\appdata\roaming\s31c9enber4pm5jpxok3djjv49n4r9bwcnyd1_l09v9yh07d33vn1dy47uwjiyxb.exe\s31c9enber4pm5jpxok3djjv49n4r9bwcnyd1_l09v9yh07d33vn1dy47uwjiyxb.exe 630,784 9921475a696aadbb0956bec618dd990d 156
8 %SYSTEMDRIVE%\swype.exe\swype.exe 806,912 8d6572f1f3efa7ffd3daccafcc777a7c 146
9 %SYSTEMDRIVE%detar.exe 606,208 5d5370e2a5b0a36263c83604f18edb94 107
10 %SYSTEMDRIVE%\shera.exe\shera.exe 546,612 ca5a2501c7eba21240665901b1b033c2 102
11 c:swepe.exe 499,712 bbfc3c507f4368744936114435b47af1 89
12 %SYSTEMDRIVE%\compar.exe\compar.exe 396,800 8897352420f4ae8d9b49c66aeac503e7 82
13 %SYSTEMDRIVE%\Users\BGauntt\appdata\roaming\okw1q1dy2p7agx5r124xjev2siuue2f2yo135qs26f3atzci7u2g3s71b7riqjpq.exe\okw1q1dy2p7agx5r124xjev2siuue2f2yo135qs26f3atzci7u2g3s71b7riqjpq.exe 482,766 68cabfe9cff08560addda0af513262f4 48
14 %SYSTEMDRIVE%\Users\Administrador.CAMAREAD\appdata\roaming\38f90w23pxzj4xrnkgba5c1yyji60rrixxs5mpiuf_dctt6ca4du1ff_ilkimkjc.exe\38f90w23pxzj4xrnkgba5c1yyji60rrixxs5mpiuf_dctt6ca4du1ff_ilkimkjc.exe 462,848 f78810a80635175cbd988d4ef097e361 38
15 c:wotrer.exe 962,560 0450e57c7fb70c44bd4fc95cafc061da 23
16 c:fudpe.exe 256,512 514274e4a6af9ff841e67fd9a464ee12 13
17 %WINDIR%\system32\config\systemprofile\boof.exe 306,176 6d50ff0c945099137dd830303f7aa664 8
18 %SYSTEMDRIVE%stsvc.exe 556,032 31edfed69186b203531b81bf50561949 6
19 c:\users\default\appdata\roaming\appnet\tetuq.exe 299,008 6bb1e2585207ee171c7609cf79fdaea8 4
20 c:monter.exe 323,584 25a2930568080b56c849557993062735 1
21 7dfc76beb5d8fc3b1ecf4de9ac204ad2 3,396 7dfc76beb5d8fc3b1ecf4de9ac204ad2 0
更多文件

注册表详情

特洛伊木马创建以下注册表条目:
Directory
%APPDATA%\adirecttools
%APPDATA%\AMNI
%APPDATA%\anydeskadserv
%APPDATA%\cashcore
%APPDATA%\chromedata
%APPDATA%\cleanmem
%APPDATA%\CloudApp
%APPDATA%\cmdcache
%APPDATA%\cpumon
%APPDATA%\DirectTools
%APPDATA%\diskram
%APPDATA%\dllsyslib
%APPDATA%\extvisual
%APPDATA%\gpudriver
%APPDATA%\gpuhealth
%APPDATA%\GpuSettings
%APPDATA%\gpuTools
%APPDATA%\iCloud
%appdata%\monolib
%appdata%\monolibrary
%APPDATA%\mscache
%APPDATA%\mscloud
%APPDATA%\mslibrary
%APPDATA%\netcache
%APPDATA%\netrest
%APPDATA%\NetSocket
%appdata%\netwinlib
%APPDATA%\nocsys
%APPDATA%\NuiGet
%APPDATA%\safessd
%appdata%\services
%APPDATA%\smcvs
%APPDATA%\speedlan
%APPDATA%\speedlink
%APPDATA%\syscache
%appdata%\sysdefragler
%APPDATA%\sysexts
%APPDATA%\syshealth
%APPDATA%\sysswap
%APPDATA%\SystemApps
%APPDATA%\taskhealth
%APPDATA%\temporx
%APPDATA%\vcneo
%appdata%\vpnpr
%appdata%\windirect
%appdata%\WinDirectTools
%APPDATA%\winnet
%APPDATA%\WinNetCore
%APPDATA%\WinSocket
%APPDATA%\WNetval
%APPDATA%\wnetwork
%APPDATA%\WSOG
%localappdata%\deploytexas
%LOCALAPPDATA%\runningpost
%LOCALAPPDATA%\wnetwork
%UserProfile%\Local Settings\Application Data\wnetwork
%WINDIR%\System32\config\systemprofile\AppData\Roaming\gpuTools
Regexp file mask
%APPDATA%\[RANDOM CHARACTERS].exe
%HOMEDRIVE%\mssvca.exe
%HOMEDRIVE%\mswvc.exe
%HOMEDRIVE%\stcvc.exe
%HOMEDRIVE%\stsvc.exe
%LOCALAPPDATA%\TempQce34.exE
File name without path
44893m9uh88g9l9_nkubyhu6vfxxbh989xo7hlttkppzf29ttdu6kwppk_11c1jl.exe

网站免责声明

Enigmasoftware.com is not associated, affiliated, sponsored or owned by the malware creators or distributors mentioned on this article. This article should NOT be mistaken or confused in being associated in any way with the promotion or endorsement of malware. Our intent is to provide information that will educate computer users on how to detect, and ultimately remove, malware from their computer with the help of SpyHunter and/or manual removal instructions provided on this article.

This article is provided "as is" and to be used for educational information purposes only. By following any instructions on this article, you agree to be bound by the disclaimer. We make no guarantees that this article will help you completely remove the malware threats on your computer. Spyware changes regularly; therefore, it is difficult to fully clean an infected machine through manual means.

发表评论

请不要将此评论系统用于支持或结算问题。 若要获取SpyHunter技术支持,请通过SpyHunter打开技术支持问题直接联系我们的技术团队。 有关结算问题,请参考“结算问题?”页面。 有关一般查询(投诉,法律,媒体,营销,版权),请访问我们的"查询和反馈"页面。