Analysé par: Jemimah Mae Molina   

 

Trojan:Win32/Trickbot.PB!MSR (MICROSOFT)

 Plate-forme:

Windows

 Overall Risk:
 Dommages potentiels:
 Distribution potentielle:
 reportedInfection:
 Information Exposure Rating:
Faible
Medium
Élevé
Critique

  • Type de grayware:
    Trojan Spy

  • Destructif:
    Non

  • Chiffrement:
    Oui

  • In the wild:
    Oui

  Overview

Voie d'infection: Téléchargé à partir d'Internet, Lâché par un autre malware

Se connecte à certains sites Web afin d'envoyer et recevoir des informations.

  Détails techniques

File size: 450,560 bytes
File type: EXE
Memory resident: Oui
Date de réception des premiers échantillons: 11 mars 2020
Charge malveillante: Steals information, Connects to URLs/IPs

Installation

Introduit les duplicats suivants au sein du système affecté.

  • %Application Data%\cmdcache\{Malware File Name}.exe

(Remarque : %Application Data% est le dossier Application Data de l'utilisateur actif ; il s'agit le plus souvent de C:\Windows\Profiles\{nom de l'utilisateur}\Application Data sous Windows 98 et ME, de C:\WINNT\Profiles\{nom de l'utilisateur}\Application Data sous Windows NT, de C:\Documents and Settings\{nom de l'utilisateur}\Local Settings\Application Data sous Windows 2000(32-bit), XP et Server 2003(32-bit) et de C:\Users\{nom de l'utilisateur}\AppData\Roaming on Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) et 10(64-bit).)

Introduit les fichiers suivants :

  • %Application Data%\cmdcache\settings.ini → contains encrypted victim key

(Remarque : %Application Data% est le dossier Application Data de l'utilisateur actif ; il s'agit le plus souvent de C:\Windows\Profiles\{nom de l'utilisateur}\Application Data sous Windows 98 et ME, de C:\WINNT\Profiles\{nom de l'utilisateur}\Application Data sous Windows NT, de C:\Documents and Settings\{nom de l'utilisateur}\Local Settings\Application Data sous Windows 2000(32-bit), XP et Server 2003(32-bit) et de C:\Users\{nom de l'utilisateur}\AppData\Roaming on Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) et 10(64-bit).)

Injecte du code dans les processus suivants :

  • svchost.exe

Vol d'informations

Collecte les données suivantes :

  • System Information:
    • OS Information
    • CPU Information
    • Memory
    • User Accounts
    • Installed Programs
    • Installed Services

Autres précisions

Se connecte au site Web suivant afin d''envoyer et recevoir des informations :

  • {BLOCKED}.{BLOCKED}.{BLOCKED}0.109:443
  • {BLOCKED}.{BLOCKED}.173.57:443
  • {BLOCKED}.{BLOCKED}.213.102:449
  • {BLOCKED}.{BLOCKED}.221.135:449
  • {BLOCKED}.{BLOCKED}.214.34:449
  • {BLOCKED}.{BLOCKED}.78.224:449
  • {BLOCKED}.{BLOCKED}.185.50:449
  • {BLOCKED}.{BLOCKED}.86.145:449
  • {BLOCKED}.{BLOCKED}.149.29:449
  • {BLOCKED}.{BLOCKED}.233.100:449
  • {BLOCKED}.{BLOCKED}.150.213:449
  • {BLOCKED}.{BLOCKED}.167.32:449
  • {BLOCKED}.{BLOCKED}.122.68:449
  • {BLOCKED}.{BLOCKED}.242.229:449
  • {BLOCKED}.{BLOCKED}.13.2:449
  • {BLOCKED}.{BLOCKED}.173.186:449
  • {BLOCKED}.{BLOCKED}.28.162:449
  • {BLOCKED}.{BLOCKED}.104.139:449
  • {BLOCKED}.{BLOCKED}.200.108:449
  • {BLOCKED}.{BLOCKED}.235.47:449
  • {BLOCKED}.{BLOCKED}.134.18:449
  • {BLOCKED}.{BLOCKED}.207.202:449
  • {BLOCKED}.{BLOCKED}.28.146:449
  • {BLOCKED}.{BLOCKED}.157.42:449
  • {BLOCKED}.{BLOCKED}.37.14:449
  • {BLOCKED}.{BLOCKED}.176.67:449
  • {BLOCKED}.{BLOCKED}.167.82:449
  • {BLOCKED}.{BLOCKED}.10.24:449
  • {BLOCKED}.{BLOCKED}.253.33:449
  • {BLOCKED}.{BLOCKED}.119.219:449

  Solutions

Moteur de scan minimum: 9.850
First VSAPI Pattern File: 15.736.04
First VSAPI Pattern Release Date: 11 mars 2020
VSAPI OPR Pattern Version: 15.737.00
VSAPI OPR Pattern Release Date: 12 mars 2020

Step 2

En cas d"utilisation de Windows ME ou XP, avant de procéder à un scan, assurez-vous de désactiver l’option de restauration du système afin que l’opération de scan soit complète sur votre ordinateur.

Step 3

Note that not all files, folders, and registry keys and entries are installed on your computer during this malware's/spyware's/grayware's execution. This may be due to incomplete installation or other operating system conditions. If you do not find the same files/folders/registry information, please proceed to the next step.

Step 4

Redémarrage en mode sans échec

[ learnMore ]

Step 5

Deleting Scheduled Tasks

The following {Task Name} - {Task to be run} listed should be used in the steps identified below:

  • Command cache application - %Application Data%\cmdcache\{Malware File Name}.exe

For Windows 2000, Windows XP, and Windows Server 2003:

  1. Open the Windows Scheduled Tasks. Click Start>Programs>Accessories>
    System Tools>Scheduled Tasks.
  2. Locate each {Task Name} values listed above in the Name column.
  3. Right-click on the said file(s) with the aforementioned value.
  4. Click on Properties. In the Run field, check for the listed {Task to be run}.
  5. If the strings match the list above, delete the task.

For Windows Vista, Windows 7, Windows Server 2008, Windows 8, Windows 8.1, and Windows Server 2012:

  1. Open the Windows Task Scheduler. To do this:
    • On Windows Vista, Windows 7, and Windows Server 2008, click Start, type taskschd.msc in the Search input field, then press Enter.
    • On Windows 8, Windows 8.1, and Windows Server 2012, right-click on the lower left corner of the screen, click Run, type taskschd.msc, then press Enter.
  2. In the left panel, click Task Scheduler Library.
  3. In the upper-middle panel, locate each {Task Name} values listed above in the Name column.
  4. In the lower-middle panel, click the Actions tab. In the Details column, check for the {Task to be run} string.
  5. If the said string is found, delete the task.

Step 6

Recherche et suppression de ce dossier

[ learnMore ]
Assurez-vous que la case Rechercher dans les fichiers et les dossiers cachés est cochée dans les Options avancées afin que les fichiers cachés soient inclus dans les résultats de la recherche.
  • %Application Data%\cmdcache

Step 7

Redémarrez en mode normal et effectuez un scan de l"ordinateur à l"aide de votre produit Trend Micro afin de rechercher les fichiers détectés comme étant TrojanSpy.Win32.TRICKBOT.TIGOCGQ Si les fichiers détectés ont déjà été nettoyés, supprimés ou placés en quarantaine par votre produit Trend Micro, aucune autre procédure n"est nécessaire. Vous pouvez simplement choisir de supprimer les fichiers en quarantaine. Veuillez consulter cette page de base de connaissances pour plus d"informations.


Participez à notre enquête!