Vawtrak归来:多层银行木马程序再度出现

日期:2015-4-7作者:Maxim Tamarov翻译:邹铮来源:TechTarget中国 英文

【TechTarget中国原创】

臭名昭著银行木马程序Vawtrak再度出现,主要针对金融服务公司,该木马程序像俄罗斯套娃般有多层复杂性,并通过各种复杂的战术来给企业构成威胁。

丹麦网络安全公司Heimdal Security最近发现在加拿大15家金融机构接连遭受攻击,超过15000台机器受到影响。Heimdal称,最新版本的Vawtrak能够捕捉视频和截图,并使用中间人攻击来捕获未加密流量。

由于其相互依赖性和复杂性,Fortinet研究人员Raul Alvarez把这个类似Zeus的银行木马的分层可执行文件比作俄罗斯套娃。

“每个‘娃娃’(可执行的二进制文件)都有自己的一套算法和功能,导致生成下一个可执行文件,”Alvarez在博客中写道,“每个二进制文件(除了最后一个)对下一个文件的产生发挥着重要的作用。”

根据Alvarez称,第一个可执行二进制文件(外层娃娃)从其覆盖部分产生第二个可执行二进制文件,而第二个可执行二进制文件(第二个娃娃)则解压缩大块数据来生成第三个可执行二进制文件。第三个可执行二进制文件(第三个娃娃)利用其资源部分生成最终的可执行二进制文件(最里面的娃娃)。

“第一、二和三层像是包装,”Alvarez称,“它们包裹着第四层—这可能是其他任何恶意软件。”

Alvarez解释说攻击者可能使用另一个Vawtrak作为第四层。这种分层做法在理论上可以无限制地进行下去,创造某种非常复杂的金融恶意软件。

Vawtrak被AVG Technologies公司分析师Jakub K?oustek比作是其攻击者的瑞士军刀,因为该木马具有非常广泛的功能。

根据Koustek的AVG白皮书显示,Vawtrak支持窃取多种类型基于互联网或本地存储的登录凭证;在用户显示网页(网上银行)注入自定义代码;监视用户(键盘记录、截屏、捕获视频);对用户机器创建远程访问(VNC、SOCKS);以及自动更新。

Vawtrak最早出现在日本;在停止一段时间后,它出现在美国、德国、捷克、英国和加拿大。Heimdal Security公司还报告称该攻击的命令控制中心似乎位于俄罗斯。Vawtrak通过下载收藏夹图标来传播,收藏夹图表是包含病毒的微小的jpeg图像。

“Vawtrak使用隐写术来将更新列表隐藏在更新服务器中收藏夹图表内,” Koustek写道,“因此,这个下载乍一看似乎没有什么可疑。每个收藏夹图表的大小仅约为4KB,但这足以携带以最低有效位隐藏的更新文件。”

Vawtrak是针对金融机构的复杂僵尸网络和先进恶意软件的最新例证。根据PhishLabs的研究人员表示,最近对知名金融木马的打击行动在不经意间为创新的新金融恶意软件(例如Vawtrak)提供了传播机会。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者>更多

Maxim Tamarov
Maxim Tamarov

Maxim Tamarov是TechTarget安全网站编辑。

木马/间谍软件>更多

  • 手机恶意软件幕后黑手落网,病毒仍在作恶

    日前,一度困扰中国用户的网银恶意软件“粗口木马”经腾讯移动安全实验室曝光,目前,该病毒仍持续作恶。

  • 都是套路:Pokémon GO被网络攻击者盯上了

    尽管尚未登陆中国,移动游戏Pokémon GO仍旧占据了各大科技媒体的推送头条,在游戏发布的短短一周内该款游戏已获得了超百万次的安装量。与狂热的用户群同在的是,网络攻击者也盯上了游戏玩家……

  • Dridex木马如何进行重定向攻击?

    根据IBM安全研究人员的报告显示,Dridex木马程序借用了Dyre恶意软件的一些功能和技巧,其中一个功能是执行重定向攻击的能力。那么,什么是重定向攻击,安全专业人员应该怎样做来抵御新版本的Dridex木马程序?

  • AV-C公布2015下半年评测报告 腾讯电脑管家获A+评级

    12月16日,国际权威评测机构AV-Comparatives(以下简称AV-C)公布了2015下半年“真实世界动态保护测试”的评测结果,其中,国内腾讯电脑管家(英文版)获得“Advanced+”的最佳评级。

相关推荐

  • 如何改善银行安全性?

    金融电信协会(SWIFT)承认之前的一些攻击威胁具有“持久性、适应性和复杂性,且会停留很久”,那么,究竟是什么在攻击SWIFT网络,他们应采取哪些应对措施呢?

  • Switcher利用流氓DNS服务器攻击路由器

    如果你可利用Android木马程序来感染本地WiFi接入点,并可利用DNS劫持攻击每台连接到该网络的设备,那何必浪费时间去攻击Android设备?

  • 警惕!谷歌Adsense恶意软件悄然传播给Android用户

    卡巴斯基实验室的新研究发现Svpeng手机银行木马的新变种正被传播到Android设备,而且不需要任何用户交互……

  • 金融信息化,应用安全时不我待

    不同于互联网企业,金融行业关系到整个国家的经济命脉,一旦金融系统的核心业务出了问题,与一个互联网金融客户的核心系统出问题的严重程度完全不在一个层面。从应用出发看安全,将是未来很长一段时间内的大势所趋……

技术手册>更多

  • VPN应用指南

    虚拟专用网络 VPN(Virtual Private Network )能通过公用网络Internet建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。VPN是对企业内部网的扩展,它可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。许多公司使用VPN向公司外部的员工提供企业网络接入。本手册将围绕VPN进行全方位的讲解。

  • 主动出击:直面最新的DDoS攻击

    在网络通达的今天,针对企业的DDoS攻击随时都有可能发生。事实上,分布式拒绝服务(DDoS)攻击已不是什么新鲜事了,但是它们现在正变得越来越复杂、更为多样而且愈发频繁。那么面对DDoS攻击,是坐以待毙还是主动出击?决定权在你。

  • SQL注入攻击

    SQL注入是一种安全漏洞。它是对数据库驱动的应用程序攻击的一个特定类型。在这种攻击中,攻击者操纵网站基于Web的界面,迫使数据库执行不良SQL代码。攻击者可以利用这个安全漏洞向网络表格输入框中添加SQL代码以获得访问权。而今天的SQL注入攻击者查找漏洞的技术更加先进。他们使用各种工具加快开发进程。

  • Snort入侵检测工具使用指南(附软件下载)

    最好的入侵检测系统(IDS)是免费的、开源的Snort工具。它拥有大量的用户,而且有商业公司Sourcefire的支持,使得Snort成为受到欢迎的入侵检测系统工具。这个工具本身是免费的。它所需要的是一些在上面运行的硬件以及安装、配置和维护的时间。

TechTarget

最新资源
  • 存储
  • CIO
  • 数据库
  • 网络
  • 数据中心
  • 云计算