转载

网银大盗：Carberp木马又出新变种

赛门铁克公司恶意软件分析专家最近发现了臭名昭著的网银大盗Carberp木马的新变种，该木马可以盗取网民的网银证书和敏感数据。

FreeBuf科普：网银大盗Carberp

Carberp是一款专门用于盗取银行信息的恶意软件，今年4月份，犯罪份子通过该恶意软件从乌克兰和俄罗斯盗取了大约169万美元，根据乌克兰安全局（SBU）发布公告称，犯罪份子还盗取了一些企业银行账户的钱。《价值50000美元的银行恶意软件源码 – Carberp》

Carberp木马新变种

赛门铁克公司的安全专家在去年12月15日发现了一种恶意活动，该活动中正在散布臭名昭著的 Carberp 木马的新变种。

自从2013年6月份在地下黑客市场公开Carberp木马的源代码之后，Carberp木马就开始了不断的进化历程。在12月15日，也就是Carberp木马变异之后的第二天，赛门铁克公司研究员们就在一场垃圾邮件风波中发现了该恶意软件，并被命名为Trojan.Carberp.C。

这些垃圾邮件是一个付款提醒，并包含一个伪装成发货单的恶意附件（例如：发货单.[随机数字]_2014.12.11.doc.zip）。木马的植入程序被加了Visual Basic保护壳，并以.ZIP文件作为垃圾邮件的附件。

网银大盗：Carberp木马又出新变种

Carberp.C 最初设计时是用来获取网民的网银证书和其他敏感信息，但该新变种包含了一个插件集合，这些插件可以被注入到一个新创建的进程（svchost.exe）中来实现进一步的功能，例如改进的逃避技术。

赛门铁克安全研究人员称：

“该恶意软件也能够下载额外的插件，这些插件可以用来注入到新建的svchost.exe进程中，以此来隐藏该木马。”

研究员们检测到的一个插件能够通过hook API从受害者的Web浏览器中盗取网民敏感数据。这个木马新变种看起来非常高效，它既可以感染32位系统也可以感染64位系统，并包含了针对几种不同架构CPU的插件。

一旦受害者打开该ZIP文档，植入程序将恶意代码注入一个Windows进程，然后根据目标操作系统的类型来选择解密和解压嵌入的32位或64位模块。而当木马进入电脑之后，Carberp.C变种木马就会连接C&C服务器，然后下载更多的Payload并将其载入内存中。

Carberp.C中发现的主要组件有：

MyFault：一个Windows驱动程序，由Sysinternals开发并用于引发系统崩溃。这个模块本身并不是恶意程序，而是用于故障诊断，但是该木马的作者利用该模块实现木马被分析时蓝屏死机。 Downloader：一个Payload静默下载器（被检测为Trojan.Carberp.C）。 Carberp驱动：可以用来杀死进程并将恶意Payload载入到内存，以此来隐藏木马。（被检测为Trojan.Carberp.C）。