新恶意软件Neverquest威胁银行网站安全

近日，卡巴斯基发现了一个针对银行网站的新恶意软件Neverquest。通过在银行网站上植入插件代码，如果用户在IE或者火狐浏览器上访问银行网站，Neverquest能够攻击约100个银行。而且使用VNC或者其他方法，Neverquest可以攻击任何国家的任何银行。它支持在线银行攻击使用的每种方法：网页植入，远程系统访问，社会工程等等。　　

Neverquest的主要功能在使用安装在系统的一个附加程序(如木马下载器或者木马植入器)的动态函数库中，这种程序在%appdata%文件夹下安装某个扩展名为。DAT(比如qevcxcw.dat)的函数库文件。因为在注册表“Software\Microsoft\Windows\CurrentVersion\Run.”下添加了“regsvr32.exe /s [path to library]”，这个函数库会自动运行。然后，该程序开始从这个函数库中启动唯一的导出命令，初始化恶意程序。该程序查看电脑中是否已经安装它的副本，如果没有，它会启动VNC服务器，给命令中心发送第一个请求，以收到一个配置文件。配置文件通过一个由aPLib函数库压缩包打包的密钥加密，然后传送给命令中心。配置文件有一组恶意JavaScript文件和一个网站列表，当启动IE或者火狐浏览器时，将安装相应的脚本。　　

当用户在受感染的电脑上访问列表中的某个网站，Neverquest会控制浏览器与服务器的连接。在获得用户在线银行系统账号后，黑客使用SOCKS服务器，通过VNC服务器远程连接到受感染的电脑，然后进行在线交易，将用户的钱转移到自己账户，或者为了避嫌，转移到其他受害者账户。　　

在所有被Neverquest盯上的网站中，美国富达投资集团旗下的fidelity.com最受瞩目，该公司是全球最大的互助投资基金公司之一，它的网站为用户提供很多方式管理在线财务。这让恶意用户不仅能够将现金转移到自己的账户，还能通过被Neverquest攻击的受害者的账户和钱财进行股票交易。　　

在2009年，卡巴斯基实验室检测到恶意软件Bredolab，Neverquest使用和它一样的自我复制方法。它有三种传播方式：1.Neverquest有很多数据，它们通过某些程序访问FTP数据库。这些程序窃取数据后，黑客使用Neutrino利用工具包，进一步传播该恶意软件。2.Neverquest使用用户邮件客户端，在SMTP/POP会话期间窃取数据。黑客通过这些数据，大量发送包含木马下载器附件的垃圾邮件，然后安装Neverquest，这些邮件看起来特别像不同服务提供商的官方邮件。3.Neverquest通过访问很多流行的社交网络服务账户窃取数据。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友