近日，卡巴斯基發(fā)現(xiàn)了一個針對銀行網(wǎng)站的新惡意軟件Neverquest。通過在銀行網(wǎng)站上植入插件代碼，如果用戶在IE或者火狐瀏覽器上訪問銀行網(wǎng)站，Neverquest能夠攻擊約100個銀行。而且使用VNC或者其他方法，Neverquest可以攻擊任何國家的任何銀行。它支持在線銀行攻擊使用的每種方法：網(wǎng)頁植入，遠程系統(tǒng)訪問，社會工程等等。

Neverquest的主要功能在使用安裝在系統(tǒng)的一個附加程序(如木馬下載器或者木馬植入器)的動態(tài)函數(shù)庫中，這種程序在%appdata%文件夾下安裝某個擴展名為.DAT(比如qevcxcw.dat)的函數(shù)庫文件。因為在注冊表“Software\Microsoft\Windows\CurrentVersion\Run.”下添加了“regsvr32.exe /s [path to library]”，這個函數(shù)庫會自動運行。然后，該程序開始從這個函數(shù)庫中啟動唯一的導(dǎo)出命令，初始化惡意程序。該程序查看電腦中是否已經(jīng)安裝它的副本，如果沒有，它會啟動VNC服務(wù)器，給命令中心發(fā)送第一個請求，以收到一個配置文件。配置文件通過一個由aPLib函數(shù)庫壓縮包打包的密鑰加密，然后傳送給命令中心。配置文件有一組惡意JavaScript文件和一個網(wǎng)站列表，當(dāng)啟動IE或者火狐瀏覽器時，將安裝相應(yīng)的腳本。

當(dāng)用戶在受感染的電腦上訪問列表中的某個網(wǎng)站，Neverquest會控制瀏覽器與服務(wù)器的連接。在獲得用戶在線銀行系統(tǒng)賬號后，黑客使用SOCKS服務(wù)器，通過VNC服務(wù)器遠程連接到受感染的電腦，然后進行在線交易，將用戶的錢轉(zhuǎn)移到自己賬戶，或者為了避嫌，轉(zhuǎn)移到其他受害者賬戶。

在所有被Neverquest盯上的網(wǎng)站中，美國富達投資集團旗下的fidelity.com最受矚目，該公司是全球最大的互助投資基金公司之一，它的網(wǎng)站為用戶提供很多方式管理在線財務(wù)。這讓惡意用戶不僅能夠?qū)F(xiàn)金轉(zhuǎn)移到自己的賬戶，還能通過被Neverquest攻擊的受害者的賬戶和錢財進行股票交易。

在2009年，卡巴斯基實驗室檢測到惡意軟件Bredolab，Neverquest使用和它一樣的自我復(fù)制方法。它有三種傳播方式：

1.Neverquest有很多數(shù)據(jù)，它們通過某些程序訪問FTP數(shù)據(jù)庫。這些程序竊取數(shù)據(jù)后，黑客使用Neutrino利用工具包，進一步傳播該惡意軟件。

2.Neverquest使用用戶郵件客戶端，在SMTP/POP會話期間竊取數(shù)據(jù)。黑客通過這些數(shù)據(jù)，大量發(fā)送包含木馬下載器附件的垃圾郵件，然后安裝Neverquest，這些郵件看起來特別像不同服務(wù)提供商的官方郵件。

3. Neverquest通過訪問很多流行的社交網(wǎng)絡(luò)服務(wù)賬戶竊取數(shù)據(jù)。