臭名昭著的TrickBot银行木马的开发人员意外地在一项功能中进行了编码，该功能可以警告受感染的用户其在设备上的存在。

传统上，TrickBot 恶意软件通过网络钓鱼活动进行分发，并在受感染的计算机上秘密运行，抓取凭据，从加密货币钱包中窃取，并为进行二次攻击打开了大门。

最近还发现它包含一种机制，可以检查受害者的屏幕分辨率以确定它是否在虚拟机中运行，从而使操作员能够阻止研究人员尝试分析恶意软件。

但是，据Advanced Intel的安全研究员Vitali Kremez称，TrickBot的创建者正在不经意间散发一个版本，该版本向被窃取凭据的用户提供警告消息，从而警告他们受到感染。

TrickBot恶意软件

Kremez相信TrickBot的“抓取器”模块负责警报，该模块旨在从流行的Web浏览器（包括Chrome，Firefox，Internet Explorer和Edge）中抓取保存的密码和cookie。

当按预期方式工作时，该模块允许TrickBot隐式提升登录凭据并访问受害者的在线帐户（包括社交媒体，电子邮件，在线零售商等），但是在这种情况下，意外地将恶意活动报告给了受害者。

“警告-之所以看到此消息，是因为名为抓取器的程序从浏览器中收集了一些信息，”读取弹出警报。

“如果您不知道发生了什么，那就该开始担心了。” 请向系统管理员询问详细信息。”

根据Kremez的说法，该模块与更广泛的TrickBot恶意软件“以相同的方式编码”，这表明由相同的开发人员负责。他声称，这种怪异的唯一解释是，当新的测试版本上线时，创建者忘记了删除自我报告功能。

建议收到错误消息的用户断开互联网连接，并使用防病毒软件扫描其计算机。删除所有恶意软件后，用户应更改通过受影响的浏览器登录的帐户的所有密码。