Vawtrak归来:多层银行木马程序再度出现

日期:2015-4-7作者:Maxim Tamarov翻译:邹铮来源:TechTarget中国 英文

【TechTarget中国原创】

臭名昭著银行木马程序Vawtrak再度出现,主要针对金融服务公司,该木马程序像俄罗斯套娃般有多层复杂性,并通过各种复杂的战术来给企业构成威胁。

丹麦网络安全公司Heimdal Security最近发现在加拿大15家金融机构接连遭受攻击,超过15000台机器受到影响。Heimdal称,最新版本的Vawtrak能够捕捉视频和截图,并使用中间人攻击来捕获未加密流量。

由于其相互依赖性和复杂性,Fortinet研究人员Raul Alvarez把这个类似Zeus的银行木马的分层可执行文件比作俄罗斯套娃。

“每个‘娃娃’(可执行的二进制文件)都有自己的一套算法和功能,导致生成下一个可执行文件,”Alvarez在博客中写道,“每个二进制文件(除了最后一个)对下一个文件的产生发挥着重要的作用。”

根据Alvarez称,第一个可执行二进制文件(外层娃娃)从其覆盖部分产生第二个可执行二进制文件,而第二个可执行二进制文件(第二个娃娃)则解压缩大块数据来生成第三个可执行二进制文件。第三个可执行二进制文件(第三个娃娃)利用其资源部分生成最终的可执行二进制文件(最里面的娃娃)。

“第一、二和三层像是包装,”Alvarez称,“它们包裹着第四层—这可能是其他任何恶意软件。”

Alvarez解释说攻击者可能使用另一个Vawtrak作为第四层。这种分层做法在理论上可以无限制地进行下去,创造某种非常复杂的金融恶意软件。

Vawtrak被AVG Technologies公司分析师Jakub K?oustek比作是其攻击者的瑞士军刀,因为该木马具有非常广泛的功能。

根据Koustek的AVG白皮书显示,Vawtrak支持窃取多种类型基于互联网或本地存储的登录凭证;在用户显示网页(网上银行)注入自定义代码;监视用户(键盘记录、截屏、捕获视频);对用户机器创建远程访问(VNC、SOCKS);以及自动更新。

Vawtrak最早出现在日本;在停止一段时间后,它出现在美国、德国、捷克、英国和加拿大。Heimdal Security公司还报告称该攻击的命令控制中心似乎位于俄罗斯。Vawtrak通过下载收藏夹图标来传播,收藏夹图表是包含病毒的微小的jpeg图像。

“Vawtrak使用隐写术来将更新列表隐藏在更新服务器中收藏夹图表内,” Koustek写道,“因此,这个下载乍一看似乎没有什么可疑。每个收藏夹图表的大小仅约为4KB,但这足以携带以最低有效位隐藏的更新文件。”

Vawtrak是针对金融机构的复杂僵尸网络和先进恶意软件的最新例证。根据PhishLabs的研究人员表示,最近对知名金融木马的打击行动在不经意间为创新的新金融恶意软件(例如Vawtrak)提供了传播机会。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者>更多

Maxim Tamarov
Maxim Tamarov

Maxim Tamarov是TechTarget安全网站编辑。

木马/间谍软件>更多

  • 都是套路:Pokémon GO被网络攻击者盯上了

    尽管尚未登陆中国,移动游戏Pokémon GO仍旧占据了各大科技媒体的推送头条,在游戏发布的短短一周内该款游戏已获得了超百万次的安装量。与狂热的用户群同在的是,网络攻击者也盯上了游戏玩家……

  • Dridex木马如何进行重定向攻击?

    根据IBM安全研究人员的报告显示,Dridex木马程序借用了Dyre恶意软件的一些功能和技巧,其中一个功能是执行重定向攻击的能力。那么,什么是重定向攻击,安全专业人员应该怎样做来抵御新版本的Dridex木马程序?

  • AV-C公布2015下半年评测报告 腾讯电脑管家获A+评级

    12月16日,国际权威评测机构AV-Comparatives(以下简称AV-C)公布了2015下半年“真实世界动态保护测试”的评测结果,其中,国内腾讯电脑管家(英文版)获得“Advanced+”的最佳评级。

  • 七月中旬网络安全威胁集中爆发 用户需警惕

    尽管网络防御技术不断进步,但依然难以阻挡网络威胁的持续发生。趋势科技监测发现,七月中旬的一周之内网络安全威胁集中爆发。

相关推荐

  • 如何改善银行安全性?

    金融电信协会(SWIFT)承认之前的一些攻击威胁具有“持久性、适应性和复杂性,且会停留很久”,那么,究竟是什么在攻击SWIFT网络,他们应采取哪些应对措施呢?

  • Switcher利用流氓DNS服务器攻击路由器

    如果你可利用Android木马程序来感染本地WiFi接入点,并可利用DNS劫持攻击每台连接到该网络的设备,那何必浪费时间去攻击Android设备?

  • 警惕!谷歌Adsense恶意软件悄然传播给Android用户

    卡巴斯基实验室的新研究发现Svpeng手机银行木马的新变种正被传播到Android设备,而且不需要任何用户交互……

  • 金融信息化,应用安全时不我待

    不同于互联网企业,金融行业关系到整个国家的经济命脉,一旦金融系统的核心业务出了问题,与一个互联网金融客户的核心系统出问题的严重程度完全不在一个层面。从应用出发看安全,将是未来很长一段时间内的大势所趋……

技术手册>更多

  • SQL注入攻击

    SQL注入是一种安全漏洞。它是对数据库驱动的应用程序攻击的一个特定类型。在这种攻击中,攻击者操纵网站基于Web的界面,迫使数据库执行不良SQL代码。攻击者可以利用这个安全漏洞向网络表格输入框中添加SQL代码以获得访问权。而今天的SQL注入攻击者查找漏洞的技术更加先进。他们使用各种工具加快开发进程。

  • 跨站脚本攻击防御

    跨站脚本攻击(cross-site scripting,XSS)是Web开发人员面对的严重安全问题。这种攻击允许恶意网站操作人员滥用Web用户对不相关的第三方网站的信任,在终端用户系统上执行任意脚本。XSS攻击发生时,恶意人士在其他用户的浏览器中运行恶意浏览器脚本。本专题将介绍跨站脚本攻击(XSS)以及如何进行防御。

  • 虚拟化安全综述

    虚拟化是数据中心的流行技术,它起源于20世纪60年代。它是把昂贵的计算机资源的利用最大化的方式。典型的服务器的利用率不足40%,虚拟化可以更有效地利用技术资源,并节约固定费用。虚拟化的最大优势是,它允许管理员从中央区域为个人电脑和客户设备提供软件。虚拟化不需要管理员对一般任务进行分别考虑。服务器的关机可以带动多用户的关机。

  • 09年安全走向预测

    2009年的安全形势与经济危机虽然没有直接关系,但是也会受到影响,例如企业的合并、安全预算的缩减、裁员、安全设备的选择等等,那么在新年中,安全形势将会发生哪些变化呢?在本专题中,TechTarget中国的安全专家将会与大家共享对未来的IT安全形势的看法。

TechTarget

最新资源
  • 存储
  • CIO
  • 数据库
  • 网络
  • 数据中心
  • 云计算