第二：對它的配置文件進行分析后表明：該木馬的目標群為那些網(wǎng)上銀行系統(tǒng)，涵蓋150多種銀行中20多種支付系統(tǒng)，波及15個國家。英國、西班牙、美國。俄羅斯、日本以及意大利，是它分布的主要地段。

卡巴斯基實驗室的產(chǎn)品，可以用于檢測這種新型的針對銀行的木馬：Trojan-Banker.Win32.Chthonic。

該木馬很明顯是ZeusVM得進化版，但是它已經(jīng)有了很大的改動。這款名為閃靈的木馬與仙女座僵尸軟件有著相同的加密器，和宙斯AES和宙斯V2木馬有著相同加密算法，連虛擬機都和ZeusVM以及KINS用的非常相似。

感染

我們獲悉了一些可能與感染了Trojan-Banker.Win32.Chthonic機器關(guān)聯(lián)的技術(shù)。

1.發(fā)送帶有exp的郵件。

2.使用仙女座僵尸軟件（卡巴斯基編號：Backdoor.Win32.Androm）下載閃靈木馬。

當黑客發(fā)送包含該exp的消息時，黑客會特制一個RTF文檔，然后使用office軟件配合這個編號為CVE-2014-1761的漏洞對受害者進行打擊。由于該文件有著DOC得擴展名，因此多了一些隱蔽性。

在成功利用exp后，木馬下載者會被自動導入受害者電腦。在上面的例子中，該文件放置在被黑的網(wǎng)站上：hxxp://valtex-guma.com.ua/docs/tasklost.exe。

仙女座僵尸軟件會下載hxxp://globalblinds.org/BATH/lider.exe（某下載者軟件）。

下載木馬

一旦被下載下來，這款下載者會把自身代碼注入到msiexec.exe進程中。似乎該款下載者是基于仙女座僵尸軟件源碼的，盡管它們用的是不同的交互協(xié)議。

閃靈下載者包含一個加密的配置文件（加密手法與KINS和ZeusVM類似）。配置文件中包含的主要數(shù)據(jù)有：С&С服務(wù)器列表，16比特位的RC4加密的key，UserAgent，以及僵尸網(wǎng)絡(luò)ID。

　　在解密配置文件后，每個獨立部分會保存在一堆，格式如下：

這樣做不會傳遞指針。僵尸軟件通過使用RtlWalkHeap函數(shù)，檢測每一堆元素來尋找必要的值。此間會匹配其初始化的與魔術(shù)值相關(guān)的4個比特位。

這款下載者會把一個類周四木馬的系統(tǒng)數(shù)據(jù)包放置在一起（local_ip, bot_id, botnet_id, os_info, lang_info, bot_uptime以及其他）。先用XorWithNextByte對其進行加密，然后使用RC4再做一次加密。接下來，這個包文件會被發(fā)給在配置文件里其中一個C&C服務(wù)器地址。

在回應(yīng)報文中，該木馬收到了一個擴展加載器--類宙斯木馬的模塊，它并非標準PE文件，但是加載器部分對內(nèi)存做了映射：可執(zhí)行代碼，重定位表，入口點，出口函數(shù)，導入表。

這里需要指出的是，導入部分只包括API函數(shù)hash值。導入表則采用了Stolen Bytes的方法，并使用了該加載器里專用于此的反匯編程序。當然，以前我們也看到過仙女座僵尸軟件中類似的導入功能。

該加載器擴展中還包括一個使用虛擬機加密的配置文件，其用于導入該木馬的主模塊，然后轉(zhuǎn)而下載其他所有模塊。然而，該加載器使用的AES加密，部分使用UCL打包。主模塊會加載其他模塊，然后使用與閃靈下載者相似的方法導入表，可以看出，這款宙斯變種借用了部分仙女座僵尸軟件的功能。

閃靈木馬加載的整個序列如下，其中包括上述的模塊：

　　模塊

Trojan-Banker.Win32.Chthonic有著模塊化的結(jié)構(gòu)。至今為止，我們發(fā)現(xiàn)的模塊如下：

令人印象深刻的是，該木馬會通過多種技術(shù)竊取網(wǎng)絡(luò)銀行認證信息。此外VNC和cam記錄器模塊可以讓黑客遠程連接受害者電腦，并且使用它進行交易。當然，如果該電腦有攝像頭和麥克風的話，錄視頻和錄音也是沒問題的。

注入

Web網(wǎng)頁注入是閃靈木馬的主要武器之一，它們可以讓木馬把代碼和圖像插入到瀏覽器加載的頁面中。這能讓黑客輕松獲得受害者的電話號碼，一次性口令和PIN碼，登錄信息和密碼也逃不過它的魔掌。

舉個例子，該木馬會隱藏某日本網(wǎng)上銀行的警告，并生成腳本讓黑客可以輕松用受害者賬號進行各種交易：

該腳本也可以彈出各類欺騙性窗口，讓黑客獲得需要的信息。下圖是一個假冒的警告信息，要求受害者輸入TAN：

我們分析俄羅斯銀行的案例時，發(fā)現(xiàn)一個不同尋常的Web網(wǎng)頁注入。當打開網(wǎng)上銀行的網(wǎng)頁時，整個網(wǎng)頁都是欺騙性內(nèi)容，并不同于普通攻擊里只會做一部分，從技術(shù)角度來分析，該木馬創(chuàng)建了一個iframe，把整個網(wǎng)頁都覆蓋掉了。

下面是注入代碼的片段，在title和body標簽之間的東西全被替換了：

　　腳本內(nèi)容如下：

此外，如果注射網(wǎng)頁成功，該僵尸軟件收到命令建立隱藏后門連接，用于接受和記錄。

　　覆蓋率

下圖是我們研究出來的，有著不同配置文件的僵尸網(wǎng)絡(luò)樣本。其中，黑客似乎特別鐘情于英國，西班牙，美國，俄羅斯，日本，以及意大利。

值得注意的是，盡管以上清單里波及量看起來很大，但是許多WEB注入的代碼片段已經(jīng)失效，這是因為大部分銀行已經(jīng)改變了網(wǎng)頁結(jié)構(gòu)，甚至連域名都改了。還有，我們過去曾在一些軟件如宙斯V2中，看見過以上部分代碼片段。

總結(jié)

我們可以看出，宙斯木馬仍然是積極發(fā)展的，并且正在不斷采用新型的技術(shù)。當然，這得感謝宙斯的源碼被人放了出來，從此以后大家都在借用類似的框架，然后做出新的東西。這款新木馬“閃靈”，是宙斯的變種，它借鑒了宙斯的AES加密，借鑒了類似ZeusVM和KINS使用的虛擬機，以及仙女座僵尸軟件的下載者。

這意味著在不久將來，我們很快能看見宙斯的新型變種。

一些MD5值