Vawtrak归来:多层银行木马程序再度出现

日期:2015-4-7作者:Maxim Tamarov翻译:邹铮来源:TechTarget中国 英文

【TechTarget中国原创】

臭名昭著银行木马程序Vawtrak再度出现,主要针对金融服务公司,该木马程序像俄罗斯套娃般有多层复杂性,并通过各种复杂的战术来给企业构成威胁。

丹麦网络安全公司Heimdal Security最近发现在加拿大15家金融机构接连遭受攻击,超过15000台机器受到影响。Heimdal称,最新版本的Vawtrak能够捕捉视频和截图,并使用中间人攻击来捕获未加密流量。

由于其相互依赖性和复杂性,Fortinet研究人员Raul Alvarez把这个类似Zeus的银行木马的分层可执行文件比作俄罗斯套娃。

“每个‘娃娃’(可执行的二进制文件)都有自己的一套算法和功能,导致生成下一个可执行文件,”Alvarez在博客中写道,“每个二进制文件(除了最后一个)对下一个文件的产生发挥着重要的作用。”

根据Alvarez称,第一个可执行二进制文件(外层娃娃)从其覆盖部分产生第二个可执行二进制文件,而第二个可执行二进制文件(第二个娃娃)则解压缩大块数据来生成第三个可执行二进制文件。第三个可执行二进制文件(第三个娃娃)利用其资源部分生成最终的可执行二进制文件(最里面的娃娃)。

“第一、二和三层像是包装,”Alvarez称,“它们包裹着第四层—这可能是其他任何恶意软件。”

Alvarez解释说攻击者可能使用另一个Vawtrak作为第四层。这种分层做法在理论上可以无限制地进行下去,创造某种非常复杂的金融恶意软件。

Vawtrak被AVG Technologies公司分析师Jakub K?oustek比作是其攻击者的瑞士军刀,因为该木马具有非常广泛的功能。

根据Koustek的AVG白皮书显示,Vawtrak支持窃取多种类型基于互联网或本地存储的登录凭证;在用户显示网页(网上银行)注入自定义代码;监视用户(键盘记录、截屏、捕获视频);对用户机器创建远程访问(VNC、SOCKS);以及自动更新。

Vawtrak最早出现在日本;在停止一段时间后,它出现在美国、德国、捷克、英国和加拿大。Heimdal Security公司还报告称该攻击的命令控制中心似乎位于俄罗斯。Vawtrak通过下载收藏夹图标来传播,收藏夹图表是包含病毒的微小的jpeg图像。

“Vawtrak使用隐写术来将更新列表隐藏在更新服务器中收藏夹图表内,” Koustek写道,“因此,这个下载乍一看似乎没有什么可疑。每个收藏夹图表的大小仅约为4KB,但这足以携带以最低有效位隐藏的更新文件。”

Vawtrak是针对金融机构的复杂僵尸网络和先进恶意软件的最新例证。根据PhishLabs的研究人员表示,最近对知名金融木马的打击行动在不经意间为创新的新金融恶意软件(例如Vawtrak)提供了传播机会。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者>更多

Maxim Tamarov
Maxim Tamarov

Maxim Tamarov是TechTarget安全网站编辑。

木马/间谍软件>更多

  • 都是套路:Pokémon GO被网络攻击者盯上了

    尽管尚未登陆中国,移动游戏Pokémon GO仍旧占据了各大科技媒体的推送头条,在游戏发布的短短一周内该款游戏已获得了超百万次的安装量。与狂热的用户群同在的是,网络攻击者也盯上了游戏玩家……

  • Dridex木马如何进行重定向攻击?

    根据IBM安全研究人员的报告显示,Dridex木马程序借用了Dyre恶意软件的一些功能和技巧,其中一个功能是执行重定向攻击的能力。那么,什么是重定向攻击,安全专业人员应该怎样做来抵御新版本的Dridex木马程序?

  • AV-C公布2015下半年评测报告 腾讯电脑管家获A+评级

    12月16日,国际权威评测机构AV-Comparatives(以下简称AV-C)公布了2015下半年“真实世界动态保护测试”的评测结果,其中,国内腾讯电脑管家(英文版)获得“Advanced+”的最佳评级。

  • 七月中旬网络安全威胁集中爆发 用户需警惕

    尽管网络防御技术不断进步,但依然难以阻挡网络威胁的持续发生。趋势科技监测发现,七月中旬的一周之内网络安全威胁集中爆发。

相关推荐

  • 如何改善银行安全性?

    金融电信协会(SWIFT)承认之前的一些攻击威胁具有“持久性、适应性和复杂性,且会停留很久”,那么,究竟是什么在攻击SWIFT网络,他们应采取哪些应对措施呢?

  • Switcher利用流氓DNS服务器攻击路由器

    如果你可利用Android木马程序来感染本地WiFi接入点,并可利用DNS劫持攻击每台连接到该网络的设备,那何必浪费时间去攻击Android设备?

  • 警惕!谷歌Adsense恶意软件悄然传播给Android用户

    卡巴斯基实验室的新研究发现Svpeng手机银行木马的新变种正被传播到Android设备,而且不需要任何用户交互……

  • 金融信息化,应用安全时不我待

    不同于互联网企业,金融行业关系到整个国家的经济命脉,一旦金融系统的核心业务出了问题,与一个互联网金融客户的核心系统出问题的严重程度完全不在一个层面。从应用出发看安全,将是未来很长一段时间内的大势所趋……

技术手册>更多

  • BYOD安全指南

    随着越来越多的移动设备涌入企业,BYOD已经不再是一个趋势,而是无可置疑的事实。但是,BYOD在给我们带来便捷的同时,也常常会导致安全问题。这个安全需要考虑很多因素。

  • Vista BitLocker磁盘加密向导

      BitLocker是微软Vista企业版和旗舰版(Vista Enterprise and Ultimate)中的一个功能,可以加密系统磁盘。这一点在Windows之前的版本中,如果没有第三方产品是不可能实现的。为了使用BitLocker,需要有可信平台模块(Trusted Platform Module,TPM)硬件的系统,1.2版本或者更好的。现在有些PC厂商已经开始支持了,虽然需要额外付费。  但是如果想要在没有TPM的系统上使用BitLocker应该怎么办呢?  本技术指南将介绍如何启动BitLocker,并在没有TPM的电脑上运行的方法,以及没有它的时候需要什么,应该怎么做以及可以获得的结果等。

  • 无线攻击和漏洞

    目前很多公司都已经配置了企业级别的802.11 (Wi-Fi)无线局域网。然而,虽然最近技术提高了,但是安全问题依然被认为是首要的挑战。没有充足的安全措施,无线就会为新的攻击开放企业网络。本专题将帮助您理解Wi-Fi的技术内在漏洞和对它攻击。

  • 云安全

    云计算的概念越来越流行,而且云计算被认为是一种强大的商业模式,使用云计算,可以根据需要购买计算能力、磁盘存储、协作应用开发资源、客户关系管理(CRM),而且它非常灵活。但是采用云计算会遇到与外包有关的敏感的公司数据所能遇到的所有风险。当你和第三方已知或未知的转包商交易时,特别是在全面范围内时,执行安全策略和遵从法规要求就很困难。再加上云模糊的特性以及非传统厂商进入这个市场,就更增加云的危险。

TechTarget

最新资源
  • 存储
  • CIO
  • 数据库
  • 网络
  • 数据中心
  • 云计算