安全研究

业界动态
新版师傅银行木马出来了 这次主要是更新了漏洞利用方式CVE-2016-0167

      师傅银行木马是一款Windows恶意程序,在 2015 年首次发现。师傅基于 Shiz 源代码构建,使用了 Zeus 所使用的技术。攻击者使用师傅在全球各网上银行网站窃取证书凭据,最早在俄罗斯,后来日本、英国、 意大利和其他国家也发现了它的身影。

Arbor Unit 42 研究发现,师傅作者已经在 2016 年更新了这个银行木马恶意软件。师傅银行木马现已加入多个新技术,用于感染更多的计算机,同时规避微软 Windows 系统的检测。其中包括︰

     CVE-2016-0167 Microsoft Windows 权限提升漏洞来获得系统级权限。早期版本的师傅利用 CVE-2015-0003 实现相同的目标
     使用一个 Windows atom以确定当前主机是否已经感染了师傅,以便与以前版本使用互斥
     使用“push-calc-ret” API 混淆隐藏恶意软件分析的函数调用
     使用附加的 Namecoin .bit 域

师傅银行木马的基本功能

     最初发布的师傅银行木马具有如下功能

     anti-reseach,anti-VM和anti-sandbox;
     HOOK 浏览器和web 注入解析器;
     键盘记录;
     屏幕截图;
     证书采集;
     端点分类,监控感兴趣的应用程序;
     远程控制和bot-control模块。

 

     详细分析见 http://researchcenter.paloaltonetworks.com/2017/01/unit42-2016-updates-shifu-banking-trojan/

     本文由:admin 发布,版权归属于原作者。
     如果转载,请注明出处及本文链接:
     http://toutiao.secjia.com/new-shifu-banking-trojan
     如果此文章侵权,请留言,我们进行删除。


浏览次数:

关 闭