近期發(fā)現(xiàn)的一個名為KRBanker(Korea+Banker=KRBanker)的木馬，將韓國金融機(jī)構(gòu)的終端用戶作為了主要的感染目標(biāo)。

根據(jù)nProtect的報(bào)告，目前出現(xiàn)了一個名為KRBanker的入侵型木馬，能夠關(guān)閉殺毒軟件，封鎖對安全網(wǎng)站的訪問，甚至能夠禁止被感染主機(jī)中其他惡意軟件和黑客的通信活動。

一旦被KRBanker木馬感染，它會向命令和控制服務(wù)器(C&C)發(fā)送ping請求，同時(shí)還會發(fā)送感染主機(jī)的情況。然后它會下載一些加密文件到被感染的主機(jī)中。

在KRBanker的最新變種中，它能夠根據(jù)一份列表來掃描與金融機(jī)構(gòu)，殺毒軟件有關(guān)的DLL文件并打上任意操作碼的補(bǔ)丁。

KRBanker還會從目標(biāo)主機(jī)的NPKI目錄中收集數(shù)字認(rèn)證信息。這些獨(dú)一無二的數(shù)字認(rèn)證通常會在與金融有關(guān)的場景中使用，比如銀行交易，信用卡，保險(xiǎn)等等。

黑客會收集數(shù)字認(rèn)證，密碼，賬戶詳細(xì)信息以及截屏信息從而獲得欺詐性的權(quán)限來訪問受害者的賬戶。

在分析了KRBanker之后發(fā)現(xiàn)，該木馬盡管通信結(jié)點(diǎn)分部在全球，但主要都集中在韓國境內(nèi)。與此同時(shí)nProtect也迅速升級了他們的殺毒軟件來對抗這一新型木馬。