放大镜

Trojan.TrickBot.Generic

简短的个人介绍

Trojan.TrickBot.Generic是Mal必威平台APPwarebytes的检测名称,用于对一系列银行系统进行通用检测木马针对Windows机器。

开发于2016年,tricbot是最近的银行木马之一,其许多原始功能的灵感来自Dyreza(另一个银行木马)。除了通过网络注入瞄准大量国际银行外,Trickbot还可以从比特币钱包中偷窃。

它的其他一些功能包括使用Mimikatz工具收集电子邮件和凭证。它的作者也显示出不断更新特性和发展的能力。

木马。tricbot模块中有一个配置文件。每个模块都有一个特定的任务,如获取持久性、传播、窃取凭证、加密等。的终极动员令都安装在被黑的无线路由器上。

症状

终端用户不会注意到Trickbot感染的任何症状。然而,网络管理员可能会看到流量的变化,或者试图接触黑名单上的ip和域,因为恶意软件将与Trickbot的命令和控制基础设施通信,以窃取数据和接收任务。

一些变体的木马计划任务

感染类型及来源

Trojan.TrickBot.Generic主要用于窃取银行信息。
TrickBot通常通过恶意的垃圾邮件传播。其他传播方法包括受感染的附件和嵌入的url。通用型也被认为是一种继发性感染木马。Emotet

之后

由于Trickbot通过公司网络传播的方式,网络上任何被感染的机器都可能在重新加入网络时再次感染之前已被清除的机器。因此,IT团队需要逐个隔离、修补和修复每个受感染的系统。这可能是一个漫长而艰苦的过程。

保护

必威平台APP恶意软件保护企业和家庭用户免受木马攻击。使用我们的无签名反攻击技术的骗术机器人。

必威平台APPMalwarebytes还可以保护用户从木马。trickbot . generic与我们的实时保护。

块Trojan.TrickBot.Generic

必威平台APP伪块Trojan.TrickBot.Generic

家里补习

必威平台APPMalwarebytes可以检测并删除Trojan.TrickBot.Generic,无需用户进一步交互。

  1. 下载伪必威平台APP你的桌面。
  2. 双击MBSetup.exe然后按照提示安装程序。
  3. 当你的必威平台APP伪的窗户安装完成后,程序打开到欢迎Malwarebytes屏幕。必威平台APP
  4. 点击开始按钮。
  5. 点击扫描开始威胁扫描
  6. 点击检疫移除发现的威胁。
  7. 如果提示完成删除过程,请重新启动系统。

业务补救

必威平台APP恶意软件可以检测和删除木马。在没有进一步用户交互的情况下对业务端点进行tricbot。但要想在联网的机器上发挥作用,你必须首先遵循以下步骤:

  1. 识别受感染的计算机。
  2. 断开受感染机器与网络的连接。
  3. 为EternalBlue补丁
  4. 禁用管理股票。
  5. 删除Trickbot木马。
  6. 改变帐户凭据。

识别受感染的计算机

如果您有未受保护的端点/机器,您可以运行Farbar恢复扫描工具(FRST)来查找可能的折衷指标(IOC)。除了验证感染之外,FRST还可用于在将端点/机器带回网络之前验证是否已删除。

禁用管理股票

Windows服务器共享默认安装隐藏的共享文件夹,专门用于管理访问其他机器。Admin$共享被tricbot使用,一旦它用蛮力强制本地管理员密码。一个文件共享服务器有一个IPC$共享,这个IPC$共享被tricbot查询以获得连接到它的所有端点的列表。这些AdminIP共享通常是通过UAC保护的,但是,Windows将允许本地管理员通过,没有提示。

最新的Trickbot变种使用C$和Admin凭据来移动并重新感染所有其他端点。

重复的再次感染表明蠕虫能够猜测或暴力破解管理员密码成功。请更改所有本地和域管理员密码。

如前所述,建议通过注册表禁用这些Admin$共享在这里.如果您没有看到这个注册表项,可以手动添加并设置为禁用。

要移除使用Malwarebytes业务产品的Trickbot木马,请遵循必威平台APP下面的说明。

如何删除木马。TrickBot与必威平台APP伪端点保护

  1. 进入Malwareb必威平台APPytes云控制台。
  2. 若要在计算机离开网络时调用扫描,请转到设置>政策>你们的政策>一般
  3. 端点接口选项打开:
    1. 显示Mal必威平台APPwarebytes图标在通知区域
    2. 允许用户运行威胁扫描(将自动隔离所有威胁)
  4. 临时启用Anti-Rootkit扫描所有调用的威胁扫描。
    设置>政策>你们的政策>端点保护>扫描选项
  5. 扫描rootkit上。
    MBEP准备扫描
  6. 一旦端点用最新的策略更改进行了更新:
    1. 将客户端从网络中移除
    2. 从系统托盘图标,运行一个防rootkit威胁扫描。
      MBEP开始扫描

如果您有未在Malwarebytes端点保护中注册端点的受感染机器,您可以使用我们的违规补救工具(Malwarebytes事件响应)删必威平台APP除Trickbot。

相关的博客内容

TrickBot有了新的技巧:攻击Outlook和浏览数据

Trick Bot: Dyreza的继任者

信息被盗?现在该做什么?

选择你的语言