Terdot
Fiche d'évaluation menace
Tableau de bord des menaces EnigmaSoft
EnigmaSoft Threat Scorecards sont des rapports d'évaluation de différentes menaces de logiciels malveillants qui ont été collectés et analysés par notre équipe de recherche. Les tableaux de bord des menaces EnigmaSoft évaluent et classent les menaces à l'aide de plusieurs mesures, notamment les facteurs de risque réels et potentiels, les tendances, la fréquence, la prévalence et la persistance. Les cartes de pointage EnigmaSoft Threat sont mises à jour régulièrement sur la base de nos données et mesures de recherche et sont utiles pour un large éventail d'utilisateurs d'ordinateurs, des utilisateurs finaux à la recherche de solutions pour supprimer les logiciels malveillants de leurs systèmes aux experts en sécurité analysant les menaces.
Les tableaux de bord des menaces d'EnigmaSoft affichent une variété d'informations utiles, notamment :
Popularity Rank: The ranking of a particular threat in EnigmaSoft’s Threat Database.
Niveau de gravité : le niveau de gravité déterminé d'un objet, représenté numériquement, sur la base de notre processus de modélisation des risques et de nos recherches, comme expliqué dans nos critères d'évaluation des menaces .
Ordinateurs infectés : le nombre de cas confirmés et suspects d'une menace particulière détectée sur des ordinateurs infectés, tel que rapporté par SpyHunter.
Voir aussi Critères d'évaluation des menaces .
| Popularity Rank: | 8,529 |
| Niveau de menace: | 80 % (Haute) |
| Ordinateurs infectés : | 387 |
| Vu la première fois: | September 8, 2021 |
| Vu pour la dernière fois : | December 23, 2025 |
| Systèmes d'exploitation concernés: | Windows |
Le malware Terdot est un cheval de Troie bancaire que l'on trouve sur les systèmes en Europe occidentale et en Amérique du Nord. Le cheval de Troie Terdot est classé comme une menace bancaire avancée qui est une fourche du chevql de Troie Zeus. Terdot est une version améliorée de Gootkit Backdoor Trojan qui a émergé en mai 2017. Les analystes de la cybersécurité ont rapporté la découverte de Terdot le 16 novembre 2017, la menace semble s'infiltrer dans les systèmes ciblés via deux vecteurs d'attaque: les courriels d'hameçonnage chargés avec un document PDF activé par JavaScript et les attaques de type « intermédiaire » où un téléchargement drive-by se produit en arrière-plan.
Les deux vecteurs d'attaque peuvent différer sensiblement, mais tout cela conduit à un grave compromis de sécurité informatique où un attaquant obtient un plein accès au système de l'utilisateur. L'analyse de Terdot Banking Trojan a révélé qu'il dispose de fonctionnalités avancées, ce qui lui permet de modifier le trafic Web et de recueillir des informations via différentes méthodes. Un résumé des capacités de Terdot inclut ce qui suit:
- Il peut injecter un code HTML dans les portails bancaires.
- Il peut modifier le contenu des pages de médias sociaux.
- Il est signalé que les utilisateurs de messagerie Gmail et Yahoo sont spécifiquement ciblés.
- Il peut télécharger et installer des mises à jour selon la demande de l'opérateur.
- Il peut télécharger et exécuter des logiciels sans que la victime soit avertie de sa présence.
Il est intéressante d'observer que les analyses de Terdot suggèrent qu'il pourrait être produit de programmeurs russophones. Des échantillons de code ont révélé que Terdot est conçu de manière à empêcher la collecte de données sur Vk.com, l'alternative russe à Facebook. Il y a beaucoup de traits de Terdot qui mènent les analystes de sécurité à croire que Terdot peut représenter un effort pour améliorer les techniques furtives dans les menaces bancaires modernes.
La suppression de Terdot Banking Trojan peut être difficile même pour les utilisateurs de PC avancés, parce qu'il est connu d'utiliser des hameçons sophistiqués. Le cheval de Troie Terdot est programmé pour fonctionner comme un service de système et enterrer profondément dans un système pour minimiser le risque d'être détecté par un produit AV. Il est conseillé aux utilisateurs de demander l'assistance d'une solution anti-malware fiable qui peut supprimer en toute sécurité le cheval de Troie Terdot.
Table des matières
Bulletin d'analyse
Informations générales
| Family Name: | Trojan.Kryptik.VCNB |
|---|---|
| Signature status: | No Signature |
Known Samples
Known Samples
This section lists other file samples believed to be associated with this family.|
MD5:
daa69f1ffb8c9da7a993d5f93440bfdc
SHA1:
46e4877890c27574246e24037c736feb47b4f7e9
SHA256:
393BE3FCD47AD61B34A24E2C6A0A8983603458D4E6A19590933E66C52EFE5EE7
Taille du fichier:
1.22 MB, 1224704 bytes
|
|
MD5:
b6c193ef5b6eff553048961831c1f340
SHA1:
bf523ce611214ecc13a1a0fccaeacf3bb21d2fea
SHA256:
0E5ABF7D1A0B9CA78A29807A448D03BCED7FFE41F19CB6E39CC2CAE5E4618857
Taille du fichier:
548.86 KB, 548864 bytes
|
|
MD5:
9cad9bf9626013968d626deb250c94ec
SHA1:
f166f5f14b2ac3a37ad706b58a742f196eb8d733
SHA256:
662ED672FE4AA6BA73E81AA844F9524F451AC4ECC662EF1AFE043998C95AD38B
Taille du fichier:
176.13 KB, 176128 bytes
|
Windows Portable Executable Attributes
- File doesn't have "Rich" header
- File doesn't have exports table
- File doesn't have relocations information
- File doesn't have resources
- File doesn't have security information
- File is 32-bit executable
- File is console application (IMAGE_SUBSYSTEM_WINDOWS_CUI)
- File is either console or GUI application
- File is GUI application (IMAGE_SUBSYSTEM_WINDOWS_GUI)
- File is Native application (NOT .NET application)
Show More
- File is not packed
- IMAGE_FILE_DLL is not set inside PE header (Executable)
- IMAGE_FILE_EXECUTABLE_IMAGE is set inside PE header (Executable Image)
File Icons
File Icons
This section displays icon resources found within family samples. Malware often replicates icons commonly associated with legitimate software to mislead users into believing the malware is safe.
File Traits
- 2+ executable sections
- No Version Info
- x86
Block Information
Block Information
During analysis, EnigmaSoft breaks file samples into logical blocks for classification and comparison with other samples. Blocks can be used to generate malware detection rules and to group file samples into families based on shared source code, functionality and other distinguishing attributes and characteristics. This section lists a summary of this block data, as well as its classification by EnigmaSoft. A visual representation of the block data is also displayed, where available.| Total Blocks: | 565 |
|---|---|
| Potentially Malicious Blocks: | 5 |
| Whitelisted Blocks: | 556 |
| Unknown Blocks: | 4 |
Visual Map
? - Unknown Block
x - Potentially Malicious Block
Similar Families
Similar Families
This section lists other families that share similarities with this family, based on EnigmaSoft’s analysis. Many malware families are created from the same malware toolkits and use the same packing and encryption techniques but uniquely extend functionality. Similar families may also share source code, attributes, icons, subcomponents, compromised and/or invalid digital signatures, and network characteristics. Researchers leverage these similarities to rapidly and effectively triage file samples and extend malware detection rules.- Kryptik.VCNB
Files Modified
Files Modified
This section lists files that were created, modified, moved and/or deleted by samples in this family. File system activity can provide valuable insight into how malware functions on the operating system.| File | Attributes |
|---|---|
| c:\users\user\downloads\error.txt | Generic Write,Read Attributes |
Registry Modifications
Registry Modifications
This section lists registry keys and values that were created, modified and/or deleted by samples in this family. Windows Registry activity can provide valuable insight into malware functionality. Additionally, malware often creates registry values to allow itself to automatically start and indefinitely persist after an initial infection has compromised the system.| Key::Value | Données | API Name |
|---|---|---|
| HKLM\software\wow6432node\microsoft\directdraw\mostrecentapplication::name | 46e4877890c27574246e24037c736feb47b4f7e9_0001224704 | RegNtPreCreateKey |
| HKLM\software\wow6432node\microsoft\directdraw\mostrecentapplication::id | 誛桏 | RegNtPreCreateKey |
Windows API Usage
Windows API Usage
This section lists Windows API calls that are used by the samples in this family. Windows API usage analysis is a valuable tool that can help identify malicious activity, such as keylogging, security privilege escalation, data encryption, data exfiltration, interference with antivirus software, and network request manipulation.| Category | API |
|---|---|
| Other Suspicious |
|
| Anti Debug |
|
