2013年初RSA研究人員發(fā)現(xiàn)一個(gè)商業(yè)銀行木馬，名為KINS，該惡意軟件在俄羅斯的一個(gè)地下黑市論壇被公布。

據(jù)RSA專家表示，盡管從KINS源碼來看，該木馬不是基于以往的惡意軟件開發(fā)，但是它與之前的幾款木馬如Citadel、Zeus、SpyEye等有許多相似之處，包括一個(gè)主文件加載DLL文件，Zeus的Web注射、SpyEye的Anti-Rapport插件功能等。

另外一個(gè)有趣的特點(diǎn)是，俄羅斯用戶用戶的PC或金融機(jī)構(gòu)不會(huì)被該軟件攻擊，可能是由于KINS的開發(fā)者居住在這些國(guó)家,因此不希望引起本地執(zhí)法部門的注意。

KINS惡意軟件具有模塊化結(jié)構(gòu)，基本功能包括bootkit、dropper、DLLS和兼容Zeus Web注射，作者設(shè)置的價(jià)格是基本版本5000美元，每2000美元增加額外的模塊和插件。

RSA研究員表示Bootkit組件是KINS最有趣的特點(diǎn)，之前沒有發(fā)現(xiàn)和它相似的軟件中存在該功能，該組件感染了Volume Boot Record (VBR)引導(dǎo)代碼，嵌入內(nèi)核，成為系統(tǒng)的一部分。

KINS主要特點(diǎn)如下：

架構(gòu)類似Zeus/SpyEye，一個(gè)主文件和集成基于DLL的插件

兼容Zeus Web注射功能，和SpyEye相同

自帶Anti-Rapport插件功能，該功能在SpyEye同樣存在

和SpyEye一樣使用了RDP協(xié)議

使用起來不需要任何技術(shù)知識(shí)，很傻瓜化

俄羅斯用戶不會(huì)被感染，該功能由Citadel木馬在2013年1月首次推出

持續(xù)更新，保持免殺

使用了流行的exp利用包如Neutrino中最復(fù)雜的功能

內(nèi)置Bootkit模式，感染VBR引導(dǎo)代碼

Win8和x64操作系統(tǒng)無壓力