惡意軟件分析專家最近發(fā)現(xiàn)一款Zeus網(wǎng)銀木馬的變體，在分析期間該木馬竟然完全“隱身”于殺毒引擎檢測(cè)。

[[135964]]

Zeus網(wǎng)銀木馬

Zeus也稱Zbot，2007年便為安全行業(yè)所熟知，并自此讓數(shù)百萬(wàn)人淪為刀下魚肉。因其花樣百出、用戶廣泛使得竊取銀行信息且散布CryptoLocker勒索軟件的“Gameover Zeus(GoZ)”應(yīng)運(yùn)而生。

GoZ及CryptoLocker的惡意活動(dòng)曾因執(zhí)法部門的聯(lián)合行動(dòng)中斷于2014年6月份。

無(wú)一殺毒產(chǎn)品未能識(shí)別

安全研究人員發(fā)現(xiàn)Zeus的最新變體是通過(guò)Neutrino滲透工具包傳播的，后者是一款基于網(wǎng)絡(luò)的攻擊工具，利用未修復(fù)的Flash Player瀏覽器版本插件插入惡意攻擊負(fù)載。

安全研究人員在Malwr.com的分析平臺(tái)上運(yùn)行這個(gè)Zeus變體后發(fā)現(xiàn)它創(chuàng)建了匹配銀行木馬的互斥器，當(dāng)時(shí)將該樣本上傳至VirusTotal后發(fā)現(xiàn)，沒(méi)有一款殺毒產(chǎn)品能夠識(shí)別出這款惡意軟件。

更新：Malwr.com最新報(bào)道稱至少有一款位于VirusTotal的安全解決方案標(biāo)記了這個(gè)文件。

神秘的無(wú)錫依戀公司

研究人員披露Neutrino的簽入響應(yīng)(check-in response)指向一個(gè)base64編碼的域名sells-store.com，該域名在6月1日進(jìn)行了注冊(cè)，這表明該惡意活動(dòng)是最新發(fā)動(dòng)的。

注冊(cè)者的名稱是Wuxi Yilian LLC(音譯：無(wú)錫依戀公司)，這個(gè)公司還被用來(lái)注冊(cè)其他域名，且多數(shù)用于惡意目的。