网银木马，“银行”造

作者：趋势科技威胁分析师 Brian Cayanan

趋势科技最近发现一些可疑的网址，并且判断可能有个名为 ChromeSetup.exe 的恶意文件保存在类似Facebook 和Google 这样的域名下。

这个经由趋势科技云计算安全技术分析处理后所判断的风险引起了我们的注意。

从趋势科技云计算安全技术提供的信息来看，可以找到三个不同的二进制文件，并且这些文件都可以从下列网址下载：

•   hxxp://br.msn.com/ChromeSetup.exe
•   hxxp://www.facebook.com.br/ChromeSetup.exe
•   hxxp://www.facebook.com/ChromeSetup.exe
•   hxxp://www.globo.com.br/ChromeSetup.exe
•   hxxp://www.google.com.br/ChromeSetup.exe
•   hxxp://www.terra.com.br/ChromeSetup.exe
  
  

在仔细检查下载情况后，趋势科技发现，所有下载操作都被重定向到两个不同的 IP 地址，这些地址并非链接中所包含域名对应的合法IP 地址。更值得注意的是，我们发现下载该文件的客户主要来自拉丁美洲，绝大多数都位于巴西和秘鲁。针对ChromeSetup.exe所做的文件分析结果来看，这是一个包含多个组件的网络银行木马，我们已将其命名为TSPY_BANKER.EUIQ。

一旦在系统上运行这个文件，TSPY_BANKER.EUIQ会将受感染系统的IP 地址和操作系统信息发送到一个特定IP 地址。此外该程序还会下载一个配置文件，如果被感染用户想要访问某些银行网站，这些内容会将用户定向到假冒的钓鱼网站。

当用户打开银行网站时，TSPY_BANKER.EUIQ会劫持网页请求，并显示以下消息，骗用户以为这个网站要求用户安装安全软件，但实际上是将用户重定向到伪造的银行网站：

需要安装安全软件？其实按下确定键会打开网络银行钓鱼网站。随它会打开Internet Explorer，根据浏览器窗口标题栏显示的内容连接到新的页面。下面是一系列假网站的截图，请注意窗口的标题栏，以及网站的名称和网址中都显示有“_”字符：

假银行截图

另一方面，TSPY_BANKER.EUIQ的组件 TROJ_KILSRV.EUIQ 还会尝试删除另外一个软件：GbPlugin，这是用来保护巴西银行客户网银交易的专用安全软件。这一过程会通过gb_catchme.exe 实现，而这个程序是来自GMER 的合法工具，名为Catchme，其原本用途是用来删除恶意软件，但在这个案例中被坏人用于作恶。

进一步的调查

进一步的调查后，我们已经可以访问 TSPY_BANKER.EUIQ 用来下载配置文件的网站索引页面。除了配置文件外，这个索引页中还保存了该恶意软件所用的三个二进制文件。

索引页保存了恶意软件所用的三个二进制文件

趋势科技在调查受感染系统的 IP 地址和操作系统信息发送到的 IP 地址时，发现了一个控制面板页面，其中列出了与该攻击有关的日志信息。

在分析这个控制面板时，趋势科技注意到所保存的日志数量突然开始激增，这些被发送回来的日志在短短三小时内从400 条跃升到将近6000 条。这些记录来自3000 个独立IP 地址，通过这些信息也可以大致判断出被这个恶意软件感染的计算机数量。

被感染机器的列表

不幸的是，这台服务器很快就不能访问了。然而这突然增加的恶意软件日志文件可能意味着出现了恶意软件爆发的事件，或是网络罪犯当时正在迁移自己的服务器。同时这些信息也意味着，这次袭击针对的是巴西用户，以及巴西银行。

趋势科技在进行调查分析时还注意到银行恶意软件的变化。我们所拿到的最初几个样本会依次安装三个不同组件，但后续看到的样本已经可以用一个程序安装不同组件。看起来像好像这个恶意软件还在继续完善和优化，因此未来还可能出现新的变种。Roland 还提到，他遇到的一个可能有关联的C＆C 攻击从2011 年10 月就开始了，因此这起威胁的幕后黑手可能还是个老手。

遗失的拼图

虽然对于此次攻击，我们已经大致了解了所有相关细节，但依然有一点不是很明确，就好像差最后一块就能完成的拼图。这次攻击是如何让受害者访问类似Facebook 或Google 这样的正常网站时，将用户重定向到恶意IP 地址并下载恶意软件的？我们会继续对这一事件进行调查，并将研究结果发布到这个博客上。

网络威胁会继续进化，并通过各种可能的途径入侵我们的系统。因此传统的网页封锁技术可能无法阻止对恶意网址的访问，尤其是这些恶意网址还会使用Facebook 或Google 等合法域名作为掩护。

因此趋势科技云计算安全技术这样从全球威胁信息情报网中获取信息的做法就变得至关重要。这样的技术不仅可以让我们识别全球新出现的攻击，找出其中的关联，也可以让我们在用户环境中及时部署相应的威胁防御解决方案。

 

＠原文出处：InfoStealer Poses as Google Chrome Installer

本文版权为趋势科技所有，对于非赢利网站或媒体转载请注明作者以及原文链接。谢谢合作！


爱趋势社区--下载/论坛/分享  http://www.iqushi.com


官方微博—拿礼品/分享最新IT资讯  http://t.sina.com.cn/trendcloud


趋势科技CEO：陈怡桦EvaChen的微博  http://weibo.com/evatrendmicro