近日,卡巴斯基发现了一个针对银行网站的新恶意软件Neverquest。通过在银行网站上植入插件代码,如果用户在IE或者火狐浏览器上访问银行网站,Neverquest能够攻击约100个银行。而且使用VNC或者其他方法,Neverquest可以攻击任何国家的任何银行。它支持在线银行攻击使用的每种方法:网页植入,远程系统访问,社会工程等等。
Neverquest的主要功能在使用安装在系统的一个附加程序(如木马下载器或者木马植入器)的动态函数库中,这种程序在%appdata%文件夹下安装某个扩展名为.DAT(比如qevcxcw.dat)的函数库文件。因为在注册表“Software\Microsoft\Windows\CurrentVersion\Run.”下添加了“regsvr32.exe /s [path to library]”,这个函数库会自动运行。然后,该程序开始从这个函数库中启动唯一的导出命令,初始化恶意程序。该程序查看电脑中是否已经安装它的副本,如果没有,它会启动VNC服务器,给命令中心发送第一个请求,以收到一个配置文件。配置文件通过一个由aPLib函数库压缩包打包的密钥加密,然后传送给命令中心。配置文件有一组恶意JavaScript文件和一个网站列表,当启动IE或者火狐浏览器时,将安装相应的脚本。
当用户在受感染的电脑上访问列表中的某个网站,Neverquest会控制浏览器与服务器的连接。在获得用户在线银行系统账号后,黑客使用SOCKS服务器,通过VNC服务器远程连接到受感染的电脑,然后进行在线交易,将用户的钱转移到自己账户,或者为了避嫌,转移到其他受害者账户。
在所有被Neverquest盯上的网站中,美国富达投资集团旗下的fidelity.com最受瞩目,该公司是全球最大的互助投资基金公司之一,它的网站为用户提供很多方式管理在线财务。这让恶意用户不仅能够将现金转移到自己的账户,还能通过被Neverquest攻击的受害者的账户和钱财进行股票交易。
在2009年,卡巴斯基实验室检测到恶意软件Bredolab,Neverquest使用和它一样的自我复制方法。它有三种传播方式:
1.Neverquest有很多数据,它们通过某些程序访问FTP数据库。这些程序窃取数据后,黑客使用Neutrino利用工具包,进一步传播该恶意软件。
2.Neverquest使用用户邮件客户端,在SMTP/POP会话期间窃取数据。黑客通过这些数据,大量发送包含木马下载器附件的垃圾邮件,然后安装Neverquest,这些邮件看起来特别像不同服务提供商的官方邮件。
3. Neverquest通过访问很多流行的社交网络服务账户窃取数据。