近日,卡巴斯基發現瞭一個針對銀行網站的新惡意軟件Neverquest。通過在銀行網站上植入插件代碼,如果用戶在IE或者火狐瀏覽器上訪問銀行網站,Neverquest能夠攻擊約100個銀行。而且使用VNC或者其他方法,Neverquest可以攻擊任何國傢的任何銀行。它支持在線銀行攻擊使用的每種方法:網頁植入,遠程系統訪問,社會工程等等。
Neverquest的主要功能在使用安裝在系統的一個附加程序(如木馬下載器或者木馬植入器)的動態函數庫中,這種程序在%appdata%文件夾下安裝某個擴展名為.DAT(比如qevcxcw.dat)的函數庫文件。因為在註冊表“SoftwareMicrosoftWindowsCurrentVersionRun.”下添加瞭“regsvr32.exe /s [path to library]”,這個函數庫會自動運行。然後,該程序開始從這個函數庫中啟動唯一的導出命令,初始化惡意程序。該程序查看電腦中是否已經安裝它的副本,如果沒有,它會啟動VNC服務器,給命令中心發送第一個請求,以收到一個配置文件。配置文件通過一個由aPLib函數庫壓縮包打包的密鑰加密,然後傳送給命令中心。配置文件有一組惡意JavaScript文件和一個網站列表,當啟動IE或者火狐瀏覽器時,將安裝相應的腳本。
當用戶在受感染的電腦上訪問列表中的某個網站,Neverquest會控制瀏覽器與服務器的連接。在獲得用戶在線銀行系統賬號後,黑客使用SOCKS服務器,通過VNC服務器遠程連接到受感染的電腦,然後進行在線交易,將用戶的錢轉移到自己賬戶,或者為瞭避嫌,轉移到其他受害者賬戶。
在所有被Neverquest盯上的網站中,美國富達投資集團旗下的fidelity.com最受矚目,該公司是全球最大的互助投資基金公司之一,它的網站為用戶提供很多方式管理在線財務。這讓惡意用戶不僅能夠將現金轉移到自己的賬戶,還能通過被Neverquest攻擊的受害者的賬戶和錢財進行股票交易。
在2009年,卡巴斯基實驗室檢測到惡意軟件Bredolab,Neverquest使用和它一樣的自我復制方法。它有三種傳播方式:1.Neverquest有很多數據,它們通過某些程序訪問FTP數據庫。這些程序竊取數據後,黑客使用Neutrino利用工具包,進一步傳播該惡意軟件。2.Neverquest使用用戶郵件客戶端,在SMTP/POP會話期間竊取數據。黑客通過這些數據,大量發送包含木馬下載器附件的垃圾郵件,然後安裝Neverquest,這些郵件看起來特別像不同服務提供商的官方郵件。3.Neverquest通過訪問很多流行的社交網絡服務賬戶竊取數據。
Orignal From: 新惡意軟件Neverquest攻擊百餘銀行
留言列表
