网银大盗:Carberp木马又出新变种
赛门铁克公司恶意软件分析专家最近发现了臭名昭著的网银大盗Carberp木马的新变种,该木马可以盗取网民的网银证书和敏感数据。
科普:网银大盗Carberp
Carberp是一款专门用于盗取银行信息的恶意软件,今年4月份,犯罪份子通过该恶意软件从乌克兰和俄罗斯盗取了大约169万美元,根据乌克兰安全局(SBU)发布公告称,犯罪份子还盗取了一些企业银行账户的钱。《价值50000美元的银行恶意软件源码 – Carberp》
Carberp木马新变种
赛门铁克公司的安全专家在去年12月15日发现了一种恶意活动,该活动中正在散布臭名昭著的Carberp木马的新变种。
自从2013年6月份在地下黑客市场公开Carberp木马的源代码之后,Carberp木马就开始了不断的进化历程。在12月15日,也就是Carberp木马变异之后的第二天,赛门铁克公司研究员们就在一场垃圾邮件风波中发现了该恶意软件,并被命名为Trojan.Carberp.C。
这些垃圾邮件是一个付款提醒,并包含一个伪装成发货单的恶意附件(例如:发货单.[随机数字]_2014.12.11.doc.zip)。木马的植入程序被加了Visual Basic保护壳,并以.ZIP文件作为垃圾邮件的附件。
Carberp.C最初设计时是用来获取网民的网银证书和其他敏感信息,但该新变种包含了一个插件集合,这些插件可以被注入到一个新创建的进程(svchost.exe)中来实现进一步的功能,例如改进的逃避技术。
赛门铁克安全研究人员称:
“该恶意软件也能够下载额外的插件,这些插件可以用来注入到新建的svchost.exe进程中,以此来隐藏该木马。”
研究员们检测到的一个插件能够通过hook API从受害者的Web浏览器中盗取网民敏感数据。这个木马新变种看起来非常高效,它既可以感染32位系统也可以感染64位系统,并包含了针对几种不同架构CPU的插件。
一旦受害者打开该ZIP文档,植入程序将恶意代码注入一个Windows进程,然后根据目标操作系统的类型来选择解密和解压嵌入的32位或64位模块。而当木马进入电脑之后,Carberp.C变种木马就会连接C&C服务器,然后下载更多的Payload并将其载入内存中。
Carberp.C中发现的主要组件有:
MyFault:一个Windows驱动程序,由Sysinternals开发并用于引发系统崩溃。这个模块本身并不是恶意程序,而是用于故障诊断,但是该木马的作者利用该模块实现木马被分析时蓝屏死机。
Downloader:一个Payload静默下载器(被检测为Trojan.Carberp.C)。
Carberp驱动:可以用来杀死进程并将恶意Payload载入到内存,以此来隐藏木马。(被检测为Trojan.Carberp.C)。
相关文章
- 4条评论
- 泪灼眼趣2022-06-08 14:50:28
- 断,但是该木马的作者利用该模块实现木马被分析时蓝屏死机。 Downloader:一个Payload静默下载器(被检测为Trojan.Carberp.C)。 Carberp驱动:可以用来杀死进程并将恶意Pa
- 痴者寻倌2022-06-08 20:13:20
- rp是一款专门用于盗取银行信息的恶意软件,今年4月份,犯罪份子通过该恶意软件从乌克兰和俄罗斯盗取了大约169万美元,根据乌克兰安全局(SBU)发布公告称,犯罪份子还盗取了一些
- 痛言怀桔2022-06-08 17:08:44
- 组件有: MyFault:一个Windows驱动程序,由Sysinternals开发并用于引发系统崩溃。这个模块本身并不是恶意程序,而是用于故障诊断,但是该木马的作者利用该模块实现木马被分析时蓝屏死机。 Downloader:一个Payload静默下载器(被检测为Troj
- 弦久南简2022-06-08 14:03:08
- 马就会连接C&C服务器,然后下载更多的Payload并将其载入内存中。 Carberp.C中发现的主要组件有: MyFault:一个Windows驱动程序,由Sysinternals开发并用于引发系统崩溃。这个模块本身并不是恶意程序,而是用于故障诊