作為有史以來最臭名昭著的網(wǎng)銀木馬之一，Zeus/Zbot衍生出了諸多的變種和模仿者，

看似圖片 實(shí)則危險(xiǎn)：Zeus/Zbot網(wǎng)銀木馬惡意代碼深入解析病毒防范

。 當(dāng)然，Zeus最大的特點(diǎn)，就是其所扮演的“瀏覽器中間人”行為( man-in-the-browser )。基于此，網(wǎng)絡(luò)釣魚者可以在不驚動(dòng)到受害人的情況下，收集到他們的個(gè)人信息，并將之用于隱蔽的在線交易。 最近，一個(gè)新的變種又冒了出來，它的名字叫做ZeusVM。

   

    ZeusVM木馬會(huì)利用圖片作為誘餌并檢索配置文件，而這也是它能夠順利得逞的重要前提。幾周前，法國(guó)安全研究人員Xylitol指出了一些奇怪的惡意廣告活動(dòng)。而最坑人的，就是它會(huì)向同一臺(tái)主機(jī)上獲取所托管的JPG圖像。

    后來，他告訴MalwareBytes.org，這個(gè)新變體所使用的“隱蔽寫入技術(shù)”——即將惡意數(shù)據(jù)偽裝在現(xiàn)有的文件中，而不會(huì)對(duì)宿主文件造成破壞。

    接下去的幾個(gè)星期，我們交換了幾封郵件，并且Xylitol發(fā)現(xiàn)了其它幾個(gè)行為表現(xiàn)相似的作品。出于好奇，我們對(duì)這個(gè)小伎倆進(jìn)行了深入研究。

   

    比如：上圖是一張夕陽照，但你所不知道的是，它美麗的外表下所隱藏著的“殺機(jī)”——用于竊取金錢的惡意代碼！

   

    圖片分析工具方面，我們有許多選擇。但是首先，讓我們找到這貨的“精確副本”。然后，讓我們仔細(xì)做下比對(duì)。

   

    (感謝萬能的Google和圖片搜索)

    找到匹配項(xiàng)之后，我們可以選擇一幅具有相同寬高度的圖片開始比對(duì)。然后，讓我們把兩幅圖像并排放到一起……

   

    是不是察覺到了一些異樣？

    通過位圖模式下的比對(duì)，我們可以發(fā)現(xiàn)，兩者之間竟然有著細(xì)微的差異。而這，極有可能就是注入惡意代碼的結(jié)果(額外數(shù)據(jù))。

   

    再然后，讓我們切換到16進(jìn)制查看器——隱含的數(shù)據(jù)立即現(xiàn)身，

電腦資料

《看似圖片 實(shí)則危險(xiǎn)：Zeus/Zbot網(wǎng)銀木馬惡意代碼深入解析病毒防范》(http://www.lotusphilosophies.com)。當(dāng)然，這樣的數(shù)據(jù)不是給人看的，我們?cè)倏聪挛谋靖袷健?/p>

   

    震驚的是，為了妨礙人們的閱讀，這貨居然還用Base64、RC4以及XOR對(duì)代碼進(jìn)行了數(shù)據(jù)加密。當(dāng)然，想要把它逆轉(zhuǎn)過來也是可以的(比如通過OllyDbg調(diào)試器、或者用泄露出來的Zeus源碼自行創(chuàng)建數(shù)據(jù)解壓縮模塊)。

   

    解密后的配置文件如上，其中展示了一些被其當(dāng)做目標(biāo)的銀行和金融機(jī)構(gòu)。

   

    在這些目標(biāo)中，德意志銀行(Deutsche Bank)是比較扎眼的。上圖就是該行的登錄頁面(我們以它為例)。當(dāng)用戶在被感染的計(jì)算機(jī)上操作的時(shí)候，木馬就開始玩轉(zhuǎn)“中間人”的把戲了。

    最可恨的是，銀行無法區(qū)分這些資金是否被非法轉(zhuǎn)移，因?yàn)?ldquo;顧客”被系統(tǒng)“正確地驗(yàn)證并通過了”。

   

    當(dāng)然，這不是我們第一次見到有惡意軟件在無關(guān)痛癢的文件中嵌入數(shù)據(jù)。不久前，網(wǎng)站安全公司 Sucuri 也披露過“一個(gè)看似無辜的PNG文件是如何在元數(shù)據(jù)中包含惡意指令的”。

    通過這樣的方式，隱藏的惡意代碼甚至能夠繞過基于簽名的入侵檢測(cè)系統(tǒng)、甚至防病毒軟件。因?yàn)橥ǔＧ闆r下，從一個(gè)網(wǎng)站管理員的角度來說，“一張能夠被正常查看的圖片又有什么問題呢？”

    但是，現(xiàn)實(shí)就是如此殘酷、事情也就是這么簡(jiǎn)單。無論是一個(gè)看似合法的圖片、歌曲、或者電影文件，都有可能是不！安！全！的！( 防不勝防啊 )

---

    有趣的是，“隱寫術(shù)”是一個(gè)非常古老的做法。在古希臘的時(shí)候，就有在木頭上刻字并用蠟封的真實(shí)運(yùn)用，很多人也因此而被愚弄。

    從這方面看來，壞人們其實(shí)也沒有多大的創(chuàng)新，他們只是用看似現(xiàn)代的方式，在故伎重演而已。

    [編譯自： MalwareBytes.Org , via：@ jeromesegura ]

    ​