特洛伊木馬

特洛伊木馬 介紹

Trojan.TrickBot截圖 Trojan.TrickBot,銀行木馬,似乎是Dyre的繼任者,Dyre是著名的銀行木馬,已經對世界各地的眾多攻擊負責。這兩個木馬之間肯定存在聯繫。這些威脅不斷發展,在抵禦PC安全研究人員實施的新安全措施時獲得了新功能。 Dyre ,也稱為Dyreza,似乎已經發展成為Trojan.TrickBot,一種較新的銀行木馬。

Trojan.TrickBot於2016年10月首次出現,當時僅攻擊澳大利亞的銀行。從2017年4月開始,也有報導稱對英國,美國,瑞士,德國,加拿大,新西蘭,法國和愛爾蘭的主要銀行也進行了攻擊。該特洛伊木馬的其他名稱包括TheTrick,Trickster,TrickLoader,Trojan.TrickBot.e等。該惡意軟件的較新版本之一已更新,以在2017年末加密礦盛行之後針對加密貨幣錢包為目標。同樣在2017年,銀行木馬的作者在其代碼中添加了一個自我傳播組件,從而使該惡意軟件能夠自我傳播。顯然,目標是使用Trojan.TrickBot感染盡可能多的計算機,甚至感染整個網絡。在2018年,Trojan.TrickBot再次以更廣泛的功能出現。

TrickBot喜歡與其他惡意軟件威脅合作

2019年1月,研究人員發現了Ryuk勒索軟件的活躍活動,其中目標受害者先前曾受到Emotet和TrickBot的攻擊。有證據表明,網絡犯罪分子首先通過垃圾郵件和各種社會工程技術傳遞了Emotet 。在該方案中,使用感染了Emotet的計算機來分發TrickBot,TrickBot進而竊取了敏感信息,從而幫助攻擊者確定受害者是否是合適的行業目標。如果是這樣,那麼他們會將Ryuk勒索軟件部署到公司的網絡中。此前,在2018年5月,TrickBot還與另一家銀行TrojanIcedID合作。

單獨工作時,TrickBot通常會散佈在偽裝成帶有啟用宏的Microsoft Office文檔的損壞的電子郵件附件中。打開文件後,惡意腳本將執行並秘密下載惡意軟件。 TrickBot自2019年初以來的最新版本是通過假裝來自大型金融諮詢公司的季節性主題垃圾郵件發送的。這些電子郵件以稅收相關內容吸引用戶,並有望在某些美國稅收問題上提供幫助。但是,一旦打開,將附加到用戶計算機上的電子郵件投遞TrickBot的Microsoft Excel電子表格。

對Trojan的簡要分析.TrickBot的前身Dyre Trojan

Dyre特洛伊木馬程序與由數十萬台受感染計算機組成的廣泛殭屍網絡相關聯,在2015年11月攻擊了全球數万台計算機。. 這種威脅的活動於2015年11月停止,與此同時,突襲了一家俄羅斯企業的辦公室,該企業是負責Dyre的騙子團體的一部分。不幸的是,似乎2015年參與開發Dyre的人現在可能正在參與Trojan.TrickBot的開發。

監控Trojan.TrickBot的演變

Trojan.TrickBot於2016年9月在針對澳大利亞計算機用戶的威脅運動中首次被發現。受影響的一些澳大利亞金融機構包括國民銀行,聖喬治,西太平洋銀行和澳新銀行。最初的Trojan.TrickBot攻擊涉及一個收集器模塊。較新的Trojan.TrickBot示例也將webinjects包含在其攻擊中,並且似乎仍在測試中。

PC安全分析師懷疑Trojan.TrickBot和Dyre之間存在很強的聯繫,原因有多種。參與大多數攻擊的裝載程序非常相似。解碼威脅後,相似之處就非常明顯。這意味著負責Dyre開發和實施的許多騙子似乎又重新活躍起來,逃避了Dyre襲擊一年後的逮捕和恢復活動。 Trojan.TrickBot似乎是Dyre的重寫版本,保留了許多相同的功能,但編寫方式不同。與Dyre相比,Trojan.TrickBot實現中有大量的C ++代碼。 Trojan.TrickBot利用了Microsoft的CryptoAPI,而不是為其相應的加密操作使用內置函數。以下是Trojan.TrickBot和Dyre之間的區別:

  • Trojan.TrickBot不會直接運行命令,而是會使用COM與Task Scheduler進行交互,以保持對受感染計算機的持久性。
  • Trojan.TrickBot使用Microsoft Crypto API,而不是使用內置的SHA256哈希例程或AES例程。
  • 雖然Dyre主要是使用編程語言C編寫的,但Trojan.TrickBot的代碼使用了C ++的較大部分。
  • 除了攻擊大型國際銀行以外,Trojan.TrickBot還可以從比特幣錢包中竊取。
  • TrojanTrickBot能夠通過Mimikatz工具收集電子郵件和登錄憑據。
  • 新功能也不斷添加到Trojan.TrickBot。

但是,這些差異似乎表明Dyre與Trojan.TrickBot之間存在明確的關係,但Trojan.TrickBot實際上代表了早期威脅發展的更高級階段。使用威脅加載程序“ TrickLoader”加載Trojan.TrickBot,該加載程序已與其他幾種威脅相關聯,包括PushdoCutwailVawtrak 。特別是Cutwail,也與Dyre威脅相關聯,使得負責Trojan.TrickBot的騙子可能正在嘗試重建他們先前攻擊時所享有的強大功能。

運作細節

Trojan.TrickBot對用戶隱私構成嚴重威脅,因為其主要目的是竊取在線銀行網站,Paypal帳戶,加密貨幣錢包以及其他金融和個人帳戶的用戶登錄憑據。該惡意軟件使用兩種技術誘騙受害者提供數據. 第一種技術稱為靜態注入,它包括用偽造的網站來替換合法銀行網站的登錄頁面,並準確複製該頁面。第二種方法稱為動態注入,它涉及劫持受害者的瀏覽器,並在用戶每次輸入屬於目標銀行網站的URL時將其重定向到由惡意軟件操作員控制的服務器。在任何一種情況下,都會捕獲用戶輸入的登錄數據,並將其發送到Trojan.TrickBot操作員,然後分別將其誤用於進行財務欺詐。

Trojan.TrickBot通過幾個不同的模塊和一個配置文件提供。每個模塊都執行特定的任務,例如確保惡意軟件的傳播和持久性,竊取憑據等。為了避免檢測,惡意模塊被注入到包括svchost在內的合法進程中。另外,TrickBot嘗試禁用和刪除Windows Defender,以減少被檢測到的機會。

Trojan.TrickBot的安裝文件夾位於C:\ user \ AppData \ Roaming \%Name%中,其中“%Name%”取決於惡意軟件的特定版本。在同一文件夾中還有一個TrickBot副本,其名稱略有不同,還有settings.ini文件和Data文件夾。 TrickBot通過創建計劃任務和服務來確保其持久性。任務的名稱取決於惡意軟件的變體,例如,可以將其命名為“ NetvalTask”。註冊表項是隨機生成的,位於服務配置單元下,例如\ HKLM \ System \ CurrentControlSet \ Services \ {Random_name} \ imagePath。 Trojan.TrickBot的運營商設置了Command&Control服務器,惡意軟件通過該服務器與被入侵的無線路由器進行通信。

較新版本的TrickBot具有增強的功能

2018年11月,Trojan.TrickBot的更新版本進入了惡意軟件市場,展示了更多高級功能。其中之一是在2018年11月之前的幾個月中出現的某些版本的惡意軟件中出現的屏幕鎖定功能。當時,一些研究人員認為,通過該新組件,惡意軟件作者的目的是如果特洛伊木馬程序被劫持,則將受害者勒索。無法從受感染的計算機中竊取任何銀行憑證。在2018年11月前後還增加了避免檢測的功能。但是,Trojan.TrickBot武庫中增加了一個更加危險的功能,當時它通過一個名為“ pwgrab”的新密碼捕獲模塊-該惡意軟件不再對只能由用戶網站訪問,但它也可以劫持流行的應用程序並從那裡竊取保存的密碼。除此之外,TrickBot還開始收集瀏覽和系統數據,例如cookie,搜索項,歷史記錄,CPU信息,正在運行的進程等。此外,木馬一旦安裝在計算機上,便具有自我更新的能力,這意味著受感染的計算機將始終具有最新版本的TrickBot,而不管初始感染的時間如何。

Trojan.TrickBot的另一個新版本於2019年1月被趨勢科技研究人員發現。此新變種為TrickBot的密碼竊取模塊增加了三項新功能,旨在針對虛擬網絡計算(VNC),PuTTY和遠程桌面協議。 (RDP)平台。 TrickBot的pwgrab模塊通過在“%APPDATA%\ Microsoft \ Windows \ Recent”,“%USERPROFILE%\ Documents”和“%USERPROFILE%\”中查找名稱中包含“ .vnc.lnk”的文件來捕獲VNC憑據。下載”文件夾. 為了獲取PuTTY和RDP憑據,TrickBot會在Software \ SimonTatham \ Putty \ Sessions註冊表項中查找並使用“ CredEnumerateA API”來識別和竊取已保存的密碼。然後,為了識別每個RDP憑據保存的用戶名,主機名和密碼,惡意軟件將解析字符串“ target = TERMSRV”。 TrickBot從操作員的Command&Control服務器下載名為“ dpost”的配置文件,並使用POST命令設置以竊聽從受感染設備收集的VNC,PuTTY和RDP憑據。

在2019年1月,研究人員還發現TrickBot還可充當其他參與者的訪問即服務-一旦感染計算機,它就會將其轉變為機器人並創建反向外殼,從而允許其他惡意軟件操作員訪問受感染的網絡並丟棄自己的惡意有效載荷。

防止Trojan.TrickBot攻擊

防止Trojan.TrickBot攻擊的最佳方法是確保計算機受到可靠的,完全更新的反惡意軟件程序的保護。網上銀行密碼應該很安全,並且應該執行兩步驗證。處理網上銀行帳戶,避免在未知計算機上進行這些操作以及定期使用更新的安全應用程序掃描計算機中的威脅時,請務必謹慎。

您是否擔心您的計算被特洛伊木馬 &或其他威脅感染? 用SpyHunter掃描您的電腦

SpyHunter是一款功能強大的惡意軟件修復和保護工具,幫助用戶進行深入的計算機系統安全分析,檢測和清理如特洛伊木馬的各種威脅,並提供一對一的技術支持服務。 下載SpyHunter的免費惡意軟件清除器
請註意:SpyHunter的掃描儀用於惡意軟件檢測。如果SpyHunter在您的PC上檢測到惡意軟件,則需要購買SpyHunter的惡意軟件清除工具以清除惡意軟件威脅。查看更多關於SpyHunter的信息。免費的清除器可以使您可以進行壹次性掃描,並在48小時等待時間內接受壹次修復和清除。免費的清除器,需遵循促銷詳細信息和特殊促銷條款。要了解我們的政策,還請查看我們的最終用戶許可協議隱私政策威脅評估標準。如果您不再希望在計算機上安裝SpyHunter,請參考這些步驟卸載SpyHunter

由於安全問題,您無法下載SpyHunter或訪問網絡?

解決方案: 您的計算機可能在內存中隱藏了惡意軟件,以防止任何程序(包括SpyHunter)在您的計算機上執行。請按照說明下載SpyHunter並訪問網絡:
  • 使用備用瀏覽器。惡意軟件可能會禁用您的瀏覽器。例如,如果您正在使用IE,並且在下載SpyHunter時遇到問題,您可以使用Firefox、Chrome或Safari瀏覽器。
  • 使用可移動媒體。在另一臺計算機上下載SpyHunter,將其刻錄到USB閃存驅動器、DVD/CD或任何常用的可移動媒體,然後將其安裝在受感染的計算機上並運行SpyHunter的惡意軟件掃描程序。
  • 以安全模式啟動Windows。如果您無法訪問Windows桌面,請在“帶網絡連接的安全模式”下重啟您的計算機並在安全模式下安裝SpyHunter
  • IE用戶:禁用Internet Explorer的代理服務器以使用Internet Explorer瀏覽網頁,或更新您的反間諜軟件程序。惡意軟件會修改您的Windows設置以使用代理服務器來阻止您使用IE瀏覽網頁。
如果您仍然無法安裝SpyHunter? 查看安裝問題的其他可能原因。

技術信息

文件系統詳情

特洛伊木馬創建以下文件:
# 文件名 大小 MD5 檢測計數
1 %SYSTEMDRIVE%\Users\BGauntt\appdata\roaming\g5oh55whi0gwuxpxgzk4eor6b13mic147vjm66pab5x8f1oc76rp76vnsbbx_26t.exe\g5oh55whi0gwuxpxgzk4eor6b13mic147vjm66pab5x8f1oc76rp76vnsbbx_26t.exe 546,612 00701daadc3d41e975f0b307954b75bf 252
2 %SYSTEMDRIVE%\grahic.exe\grahic.exe 401,920 58c5675a26dc8f81670a75e4d01b2150 197
3 %SYSTEMDRIVE%\tumpex.exe\tumpex.exe 446,464 295945614fbdb1f363340c3a778a753d 196
4 %SYSTEMDRIVE%\shima.exe\shima.exe 606,208 e7f594dacc2d36f1d60289515280bdea 159
5 c:tmpax.exe 709,248 8f29d0d9e64b2c60ee7406a1b4e6e533 153
6 %SYSTEMDRIVE%\swupd.exe\swupd.exe 630,784 ab2685a8c4ad66e3c959aa625117f965 140
7 %SYSTEMDRIVE%\Users\BGauntt\appdata\roaming\s31c9enber4pm5jpxok3djjv49n4r9bwcnyd1_l09v9yh07d33vn1dy47uwjiyxb.exe\s31c9enber4pm5jpxok3djjv49n4r9bwcnyd1_l09v9yh07d33vn1dy47uwjiyxb.exe 630,784 9921475a696aadbb0956bec618dd990d 140
8 %SYSTEMDRIVE%\swype.exe\swype.exe 806,912 8d6572f1f3efa7ffd3daccafcc777a7c 133
9 %SYSTEMDRIVE%detar.exe 606,208 5d5370e2a5b0a36263c83604f18edb94 107
10 %SYSTEMDRIVE%\shera.exe\shera.exe 546,612 ca5a2501c7eba21240665901b1b033c2 98
11 %SYSTEMDRIVE%\compar.exe\compar.exe 396,800 8897352420f4ae8d9b49c66aeac503e7 69
12 %SYSTEMDRIVE%\Users\BGauntt\appdata\roaming\okw1q1dy2p7agx5r124xjev2siuue2f2yo135qs26f3atzci7u2g3s71b7riqjpq.exe\okw1q1dy2p7agx5r124xjev2siuue2f2yo135qs26f3atzci7u2g3s71b7riqjpq.exe 482,766 68cabfe9cff08560addda0af513262f4 46
13 %SYSTEMDRIVE%\Users\Administrador.CAMAREAD\appdata\roaming\38f90w23pxzj4xrnkgba5c1yyji60rrixxs5mpiuf_dctt6ca4du1ff_ilkimkjc.exe\38f90w23pxzj4xrnkgba5c1yyji60rrixxs5mpiuf_dctt6ca4du1ff_ilkimkjc.exe 462,848 f78810a80635175cbd988d4ef097e361 38
14 c:cmslase.exe 443,392 26d27317025124ac585c1a463e2986e4 23
15 c:wotrer.exe 962,560 0450e57c7fb70c44bd4fc95cafc061da 23
16 c:fudpe.exe 256,512 514274e4a6af9ff841e67fd9a464ee12 13
17 c:\windows\system32\setup.exe 394,240 1da7e97a565c4636fe8d63aa890d6c22 11
18 %WINDIR%\system32\config\systemprofile\boof.exe 306,176 6d50ff0c945099137dd830303f7aa664 8
19 %SYSTEMDRIVE%stsvc.exe 556,032 31edfed69186b203531b81bf50561949 6
20 c:\users\default\appdata\roaming\appnet\tetuq.exe 299,008 6bb1e2585207ee171c7609cf79fdaea8 4
21 c:monter.exe 323,584 25a2930568080b56c849557993062735 1
22 7dfc76beb5d8fc3b1ecf4de9ac204ad2 3,396 7dfc76beb5d8fc3b1ecf4de9ac204ad2 0
更多文件

註冊表詳情

特洛伊木馬創建以下註冊表條目:
Directory
%APPDATA%\AMNI
%APPDATA%\chromedata
%APPDATA%\cleanmem
%APPDATA%\CloudApp
%APPDATA%\cpumon
%APPDATA%\diskram
%APPDATA%\dllsyslib
%APPDATA%\gpudriver
%APPDATA%\GpuSettings
%APPDATA%\gpuTools
%APPDATA%\mscache
%APPDATA%\mslibrary
%APPDATA%\netcache
%APPDATA%\netrest
%APPDATA%\NetSocket
%APPDATA%\nocsys
%APPDATA%\NuiGet
%APPDATA%\safessd
%appdata%\services
%APPDATA%\smcvs
%APPDATA%\speedlan
%APPDATA%\speedlink
%APPDATA%\sysswap
%APPDATA%\temporx
%APPDATA%\vcneo
%APPDATA%\winnet
%APPDATA%\WinSocket
%APPDATA%\WNetval
%APPDATA%\wnetwork
%APPDATA%\WSOG
%LOCALAPPDATA%\runningpost
%LOCALAPPDATA%\wnetwork
%UserProfile%\Local Settings\Application Data\wnetwork
%WINDIR%\System32\config\systemprofile\AppData\Roaming\AMNI
%WINDIR%\System32\config\systemprofile\AppData\Roaming\GpuSettings
%WINDIR%\System32\config\systemprofile\AppData\Roaming\gpuTools
%WINDIR%\System32\config\systemprofile\AppData\Roaming\services
%WINDIR%\System32\config\systemprofile\AppData\Roaming\vcneo
%WINDIR%\System32\config\systemprofile\AppData\Roaming\wnetwork
%WINDIR%\System32\config\systemprofile\AppData\Roaming\WSOG
Regexp file mask
%APPDATA%\[RANDOM CHARACTERS].exe
%HOMEDRIVE%\mssvca.exe
%HOMEDRIVE%\mswvc.exe
%HOMEDRIVE%\stcvc.exe
%HOMEDRIVE%\stsvc.exe
%LOCALAPPDATA%\TempQce34.exE
%UserProfile%\Local Settings\Application Data\TempQce34.exE
File name without path
44893m9uh88g9l9_nkubyhu6vfxxbh989xo7hlttkppzf29ttdu6kwppk_11c1jl.exe

網站免責聲明

Enigmasoftware.com與本文中提到的惡意軟件創建者或分銷商沒有任何關聯、贊助或附屬關系。本文不應被理解為與惡意軟件的宣傳或認可。我們的目的是提供信息,讓用戶根據本文中的Spyhunter手動清理說明來檢測並清理計算機上的惡意軟件。

本文“按原樣”提供,僅用於教育信息目的。通過遵循本文的任何說明,即表示您同意受免責聲明的約束。 我們不保證本文將幫助您徹底刪除PC上的惡意軟件威脅。 間諜軟件定期更改; 因此,很難通過手動方式完全清潔受感染的機器。

發表評論

請不要將此評論系統用於支持或結算問題。 若要獲取SpyHunter技術支持,請通過SpyHunter打開技術支持問題直接聯繫我們的技術團隊。 有關結算問題,請參考“結算問題?”頁面。 有關一般查詢(投訴、法律、媒體、營銷、版權),請訪問我們的“查詢和反饋”頁面。