近日,趋势科技的安全专家们发现一种名为VAWTRAK的网银木马增长迅速,该木马大量使用恶意Word宏和Windows Powershell脚本,攻击者们已经利用该木马瞄准了花旗、汇丰、摩根大通、美国银行在内的国际金融机构。
背景信息
2015年初,微软恶意软件防护中心(MMPC)发布警报,提示大量使用宏来传播恶意代码的恶意软件增长迅猛。MMPC的专家们发现,基于宏功能的恶意软件正在大量增加,其中最活跃的当属恶意软件Adnel和Tarbir。
早在去年,安全研究人员们就发现攻击者开始使用Windows PowerShell指令shell并通过恶意宏下载器来传播恶意软件ROVNIX。而现在,人们则发现攻击者正在使用微软Word中的恶意宏来传播网银木马VAWTRAK。
趋势科技在2014年6月份首次注意到网银木马VAWTRAK利用Windows系统中称为“软件限制策略(SRP)”的特性阻止受害系统运行大部分的安全软件,这些安全软件包括趋势科技Antivirus、ESET、赛门铁克AVG、微软、因特尔等53种知名安全软件。当时该网银木马瞄准了日本、德国、英国和瑞士的银行客户。
而近日,攻击者们正利用该木马攻击金融机构,包括美国银行、巴克莱银行、花旗银行、汇丰银行、劳埃德银行和摩根大通集团。
木马功能及攻击流程
攻击链以网络钓鱼邮件开始,用来传播VAWTRAK网银木马的诈骗信息都经过精心制作,以使得它们看起来好像来自联邦邮件公司。
在基于Windows宏感染的其他事例中可以观察到,当邮件收件人打开文档时将首先看到一些乱七八糟的符号,然后会提示受害者为了正确查看该消息需要启用宏。
在趋势科技发布的一篇报告中说道:
收件人一旦启用了宏,一个批处理文件将会被植入到受害者电脑上,此外还包含有一个.VBS文件和PowerShell脚本文件。该批处理文件用来执行.VBS文件,然后会提示运行PowerShell脚本,PowerShell文件最后会下载VAWTRAK木马变种,该木马目前被杀毒软件识别为“BKDR_VAWTRAK.DOKR”。
此外,该木马还可以从最常见的浏览器中窃取敏感数据,并能窃取文件传输协议(FTP)的客户端帐户信息,以及如FileZilla这种文件管理器软件信息。
此外,BKDR_VAWTRAK.DOKR可以绕过如一次性密码(OTP)令牌这种双因子身份验证,并且还具有像自动传输系统(ATS)这样的功能。VAWTRAK恶意软件的ssl绕过和ATS功能依赖于它接收到的配置文件,配置文件中包括注入到Web浏览器并用于ATS和SSL的脚本。
除此之外,它还能通过表单抓取、截图、站点注入等方法来窃取信息,这些目标站点包括亚马逊、Facebook、开心农场、谷歌、Gmail、雅虎邮箱和推特。
专家们强调,自从VAWTRAK木马在2013年8月份首次曝光以来,一直在不断进化,该网银木马“地位”很高,甚至可以被认为是“黑色生态圈”中的一个特权工具。
怎么删除复合在文档上的特洛伊木马啊?
是复合文档还是附和在文档上?
1、复合文档中的木马,一般指Word、Excel中包含的病毒,宏病毒巨多。 用杀毒软件一般能够清除。 不能清除的,关闭Word宏功能,直接打开后,将其中内联的文件删除即可。
2、一般TXT文件中的木马。 找到相关语句,删除即可。 不删除也没关系,木马不会发作。
3、其他格式,如HTML、JS等,都可以用记事本等打开,删除可疑语句即可。
工商银行网站被恶意转换
可能是Host文件被恶意修改了先说下什么是Host文件一、什么是Hosts表文件 Hosts表文件是一个没有扩展名的文件,但是它属于文本文件格式的文件。 你可以使用记事本程序对其进行编辑。 Hosts表文件中存放的是一些常用的网站主机的域名和其对应的IP地址。 当我们在使用浏览器浏览一个网站时,在地址栏中输入网站的域名并回车后,系统必须通过某种渠道将这个域名转换为其对应的唯一的IP地址,这项工作通常是由DNS(域名解析服务器)服务器来完成的。 而在系统将域名将给DNS服务器处理之前总是先在检查本地的Hosts表文件,看其中是否已经有相应的域名与IP地址的对应关系,如果有就会直接采用,因而会节约大量时间。 正因为这个原因,假如Hosts表文件中的某个域名与IP地址产生了错误的对应,当你在浏览器中输入这个域名试图打开其对应的网页时,就会出现打不开的情况,而那些没有映射错,或是没有在Hosts表中有相应记录的网站则可以正常地打开。 这就是上面我们提到的为什么有些网址不能打开,而在其他电脑中可以顺利地打开的原因之所在。 很多恶意程序经常会闹这样的恶作剧。 然后我们就要来到关键的这步了,怎么解决,用什么方法解决。 二、HSOT文件位置Windows 9X系统 在“C:\Windows目录”Windows NT/2000系统在“c:\windows\system32\drivers\etc”Windows XP系统 C:\WINDOWS\system32\drivers\etc【解决方法】找到Host文件,直接用记事本将其打开,然后将除了“#”开头的其它行内容全部删除,例如“127.0.0.1 ”,最后单击“文件→保存”将其保存即可。 当然,你也可以选择性地删除那些被屏蔽了的而你又想访问的网站,这样其他被屏蔽的网站则不会受影响。 如果你嫌上述手工方法太笨拙,你也可以通过专门的工具来达到目的。
trojan.win32.edog.bl是什么病毒?
“机器狗变种G()”病毒:警惕程度★★★,木马病毒,通过网络传播,依赖系统:Windows NT/2000/XP/2003。 这是一个木马病毒。 病毒运行后会用病毒自带的EXE文件替换掉正常的系统文件,系统启动时就会运行该病毒文件,以此试图关闭多种主流杀毒软件和安全工具。 病毒还会解除杀毒软件和安全工具对IE的保护,利用IE浏览器从黑客指定网站对病毒本身进行更新,给用户计算机安全造成很大危害。 反病毒专家建议电脑用户采取以下措施预防该病毒:1、安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级,瑞星杀毒软件每天至少升级三次;2、使用“瑞星系统安全漏洞扫描”,打好补丁,弥补系统漏洞;3、不浏览不良网站,不随意下载安装可疑插件;4、不接收QQ、MSN、Email等传来的可疑文件;5、上网时打开杀毒软件实时监控功能;6、把网银、网游、QQ等重要软件加入到“瑞星帐号保险柜”中,可以有效保护密码安全;
发表评论