Bolek银行木马：金融恶意软件市场的新威胁

王楠w_n

Bolek是一款新的银行木马，衍生自泄露的Carberp和Zeus源代码。恶意软件编写者混合了二者的代码，形成了一款全新的银行木马，目前正威胁俄罗斯银行的客户安全。

CERT Poland研究人员在5月中旬首次发现了该木马。他们在调查一次起源于波兰的钓鱼事件时发现Bolek和Carberp的KBot模块略有相似。美国安全公司PhishMe就Bolek的运行模式进行了一次综合调查，发现Bolek和Carberp确实存在明显的相似之处。

Bolek是最近出现在金融恶意软件市场上的新型威胁。

6月初，Dr.Web和Arbor Networks安全厂商展开了调查，Arbor报告着重研究Bolek的C&C服务器通信，而Dr.Web则主要关注Bolek的运行模式以及同Carberp甚至原始的Zeus银行木马的相同点。

Dr.Web报告指出，该木马完全可以应对当前银行的生态系统，它通过注入网络浏览器进程从在线银行应用中获取登录凭证，截取用户界面，捕获网络流量，记录键盘输入，或者创建本地代理服务器来获取感染机器中的文件。

Bolek可以攻击Microsoft Internet Explorer、Google Chrome、Opera和Mozilla Firefox，并且自带嵌入式的密码抓取工具Mimikatz。

Bolek与Carberp和Zeus的相似点

Bolek仿照Carberp的部分，包括一个自定义的虚拟文件系统，存储那些用于逃避安全检测软件的各种操作文件。对应Zeus，Bolek主要借鉴的是其强大的注入机制，使其可以成功入侵浏览器进程，并在用户访问在线银行时控制整个网页。

另外，该木马可以感染Windows32位和64位系统，一旦收到远程服务器指令，会通过RDP（远程桌面协议）打开设备与攻击者的反向连接。

Bolek也可以通过感染其他文件进行传播

Dr.Web的研究人员最感兴趣的并不是Bolek的这些致命性的功能。Bolek感染后，其服务器会向木马发送一个命令，该命令可以激活类蠕虫自我传播机制。这使得该木马可以传播到相同文件系统或优盘的其他文件中。它可以感染32位或64位可执行文件，这些文件一旦移动到其他设备中便会帮助Bolek传播。

研究人员称：

“Trojan.Bolik.1的主要功能是窃取机密信息，Trojan.Bolik.1的功能和架构都十分复杂，因此Windows用户一旦被感染，将会造成严重后果。”