Vawtrak归来:多层银行木马程序再度出现

日期:2015-4-7作者:Maxim Tamarov翻译:邹铮来源:TechTarget中国 英文

【TechTarget中国原创】

臭名昭著银行木马程序Vawtrak再度出现,主要针对金融服务公司,该木马程序像俄罗斯套娃般有多层复杂性,并通过各种复杂的战术来给企业构成威胁。

丹麦网络安全公司Heimdal Security最近发现在加拿大15家金融机构接连遭受攻击,超过15000台机器受到影响。Heimdal称,最新版本的Vawtrak能够捕捉视频和截图,并使用中间人攻击来捕获未加密流量。

由于其相互依赖性和复杂性,Fortinet研究人员Raul Alvarez把这个类似Zeus的银行木马的分层可执行文件比作俄罗斯套娃。

“每个‘娃娃’(可执行的二进制文件)都有自己的一套算法和功能,导致生成下一个可执行文件,”Alvarez在博客中写道,“每个二进制文件(除了最后一个)对下一个文件的产生发挥着重要的作用。”

根据Alvarez称,第一个可执行二进制文件(外层娃娃)从其覆盖部分产生第二个可执行二进制文件,而第二个可执行二进制文件(第二个娃娃)则解压缩大块数据来生成第三个可执行二进制文件。第三个可执行二进制文件(第三个娃娃)利用其资源部分生成最终的可执行二进制文件(最里面的娃娃)。

“第一、二和三层像是包装,”Alvarez称,“它们包裹着第四层—这可能是其他任何恶意软件。”

Alvarez解释说攻击者可能使用另一个Vawtrak作为第四层。这种分层做法在理论上可以无限制地进行下去,创造某种非常复杂的金融恶意软件。

Vawtrak被AVG Technologies公司分析师Jakub K?oustek比作是其攻击者的瑞士军刀,因为该木马具有非常广泛的功能。

根据Koustek的AVG白皮书显示,Vawtrak支持窃取多种类型基于互联网或本地存储的登录凭证;在用户显示网页(网上银行)注入自定义代码;监视用户(键盘记录、截屏、捕获视频);对用户机器创建远程访问(VNC、SOCKS);以及自动更新。

Vawtrak最早出现在日本;在停止一段时间后,它出现在美国、德国、捷克、英国和加拿大。Heimdal Security公司还报告称该攻击的命令控制中心似乎位于俄罗斯。Vawtrak通过下载收藏夹图标来传播,收藏夹图表是包含病毒的微小的jpeg图像。

“Vawtrak使用隐写术来将更新列表隐藏在更新服务器中收藏夹图表内,” Koustek写道,“因此,这个下载乍一看似乎没有什么可疑。每个收藏夹图表的大小仅约为4KB,但这足以携带以最低有效位隐藏的更新文件。”

Vawtrak是针对金融机构的复杂僵尸网络和先进恶意软件的最新例证。根据PhishLabs的研究人员表示,最近对知名金融木马的打击行动在不经意间为创新的新金融恶意软件(例如Vawtrak)提供了传播机会。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者>更多

Maxim Tamarov
Maxim Tamarov

Maxim Tamarov是TechTarget安全网站编辑。

木马/间谍软件>更多

  • 都是套路:Pokémon GO被网络攻击者盯上了

    尽管尚未登陆中国,移动游戏Pokémon GO仍旧占据了各大科技媒体的推送头条,在游戏发布的短短一周内该款游戏已获得了超百万次的安装量。与狂热的用户群同在的是,网络攻击者也盯上了游戏玩家……

  • Dridex木马如何进行重定向攻击?

    根据IBM安全研究人员的报告显示,Dridex木马程序借用了Dyre恶意软件的一些功能和技巧,其中一个功能是执行重定向攻击的能力。那么,什么是重定向攻击,安全专业人员应该怎样做来抵御新版本的Dridex木马程序?

  • AV-C公布2015下半年评测报告 腾讯电脑管家获A+评级

    12月16日,国际权威评测机构AV-Comparatives(以下简称AV-C)公布了2015下半年“真实世界动态保护测试”的评测结果,其中,国内腾讯电脑管家(英文版)获得“Advanced+”的最佳评级。

  • 七月中旬网络安全威胁集中爆发 用户需警惕

    尽管网络防御技术不断进步,但依然难以阻挡网络威胁的持续发生。趋势科技监测发现,七月中旬的一周之内网络安全威胁集中爆发。

相关推荐

  • 如何改善银行安全性?

    金融电信协会(SWIFT)承认之前的一些攻击威胁具有“持久性、适应性和复杂性,且会停留很久”,那么,究竟是什么在攻击SWIFT网络,他们应采取哪些应对措施呢?

  • Switcher利用流氓DNS服务器攻击路由器

    如果你可利用Android木马程序来感染本地WiFi接入点,并可利用DNS劫持攻击每台连接到该网络的设备,那何必浪费时间去攻击Android设备?

  • 警惕!谷歌Adsense恶意软件悄然传播给Android用户

    卡巴斯基实验室的新研究发现Svpeng手机银行木马的新变种正被传播到Android设备,而且不需要任何用户交互……

  • 金融信息化,应用安全时不我待

    不同于互联网企业,金融行业关系到整个国家的经济命脉,一旦金融系统的核心业务出了问题,与一个互联网金融客户的核心系统出问题的严重程度完全不在一个层面。从应用出发看安全,将是未来很长一段时间内的大势所趋……

技术手册>更多

  • 企业渗透测试指南

    正确执行的渗透测试是秘密的测试,其中由咨询人员或者内部人员扮演恶意攻击者,攻击系统的安全性。因为最终目的是渗透,这种测试不会发出警告,完全保密(当然,上层管理人员同意进行测试并且理解秘密的要求)。理想的是,应该没有来自企业的支持……或者,最大限度的是指出哪些是渗透测试团队应该避免的。在本指南中将全面介绍渗透测试和道德黑客,以及渗透测试的作用和执行方式,此外,希望本指南也能为想要成为渗透测试人员,也就是道德黑客的技术人员提供帮助。

  • VPN应用指南

    虚拟专用网络 VPN(Virtual Private Network )能通过公用网络Internet建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。VPN是对企业内部网的扩展,它可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。许多公司使用VPN向公司外部的员工提供企业网络接入。本手册将围绕VPN进行全方位的讲解。

  • NAC技巧与应用

    如今网络访问控制(NAC)技术正趋向成熟,然而由于NAC的范围过于广泛,用户面对各种各样的NAC产品总是会有很多顾虑。本技术手册从网络访问控制技术、网络访问控制的选择技巧、网络访问控制的实施技巧和网络访问控制的实际应用这四个方面对网络访问技术进行了介绍,希望能给大家一些帮助。

  • Snort入侵检测工具使用指南(附软件下载)

    最好的入侵检测系统(IDS)是免费的、开源的Snort工具。它拥有大量的用户,而且有商业公司Sourcefire的支持,使得Snort成为受到欢迎的入侵检测系统工具。这个工具本身是免费的。它所需要的是一些在上面运行的硬件以及安装、配置和维护的时间。

TechTarget

最新资源
  • 存储
  • CIO
  • 数据库
  • 网络
  • 数据中心
  • 云计算