新惡意軟體Neverquest威脅銀行網站安全

近日，卡巴斯基發現了一個針對銀行網站的新惡意軟體Neverquest。 通過在銀行網站上植入外掛程式代碼，如果使用者在IE或者火狐瀏覽器上訪問銀行網站，Neverquest能夠攻擊約100個銀行。 而且使用VNC或者其他方法，Neverquest可以攻擊任何國家的任何銀行。 它支援線上銀行攻擊使用的每種方法：網頁植入，遠端系統訪問，社交工程等等。 Neverquest的主要功能在使用安裝在系統的一個附加程式(如木馬下載器或者木馬植入器)的動態函式程式庫中，這種程式在%appdata%資料夾下安裝某個副檔名為. DAT(比如qevcxcw.dat)的函式程式庫檔。 因為在註冊表「Software\Microsoft\Windows\CurrentVersion\Run.」 下添加了「regsvr32.exe /s [path to library]」，這個函式程式庫會自動運行。 然後，該程式開始從這個函式程式庫中啟動唯一的匯出命令，初始化惡意程式。 該程式查看電腦中是否已經安裝它的副本，如果沒有，它會啟動VNC伺服器，給命令中心發送第一個請求，以收到一個設定檔。 設定檔通過一個由aPLib函式程式庫壓縮包打包的金鑰加密，然後傳送給命令中心。 設定檔有一組惡意JavaScript檔和一個網站清單，當啟動IE或者火狐瀏覽器時，將安裝相應的腳本。 當使用者在受感染的電腦上訪問清單中的某個網站，Neverquest會控制瀏覽器與伺服器的連接。 在獲得使用者線上銀行系統帳號後，駭客使用SOCKS伺服器，通過VNC伺服器遠端連線到受感染的電腦，然後進行線上交易，將使用者的錢轉移到自己帳戶，或者為了避嫌，轉移到其他受害者帳戶。 在所有被Neverquest盯上的網站中，美國富達投資集團旗下的fidelity.com最受矚目，該公司是全球最大的互助投資基金公司之一，它的網站為使用者提供很多方式管理線上財務。 這讓惡意使用者不僅能夠將現金轉移到自己的帳戶，還能通過被Neverquest攻擊的受害者的帳戶和錢財進行股票交易。 在2009年，卡巴斯基實驗室檢測到惡意軟體Bredolab，Neverquest使用和它一樣的自我複製方法。 它有三種傳播方式：1. Neverquest有很多資料，它們通過某些程式訪問FTP資料庫。 這些程式竊取資料後，駭客使用Neutrino利用工具組，進一步傳播該惡意軟體。 2.Neverquest使用使用者郵件用戶端，在SMTP/POP會話期間竊取資料。 駭客通過這些資料，大量發送包含木馬下載器附件的垃圾郵件，然後安裝Neverquest，這些郵件看起來特別像不同服務提供者的官方郵件。 3. Neverquest通過訪問很多流行的社交網路服務帳戶竊取資料。 【編輯推薦】 如何識別和阻止新興的PDF惡意軟體攻擊? 惡意軟體分析師：企業資料洩露事故往往未受披露 惡意軟體檢測走向末路 如何尋找替代品? 美國安部利用惡意軟體滲透網路 惡意軟體偽裝成IIS模組載入 多數防毒產品免殺【責任編輯：藍雨淚 TEL：（010）68476606】 原文：新惡意軟體Neverquest威脅銀行網站安全 返回網路安全首頁