近期發(fā)現(xiàn)的一個名為KRBanker(Korea+Banker=KRBanker)的木馬，將韓國金融機構的終端用戶作為了主要的感染目標。

根據nProtect的報告，目前出現(xiàn)了一個名為KRBanker的入侵型木馬，能夠關閉殺毒軟件，封鎖對安全網站的訪問，甚至能夠禁止被感染主機中其他惡意軟件和黑客的通信活動。

一旦被KRBanker木馬感染，它會向命令和控制服務器(C&C)發(fā)送ping請求，同時還會發(fā)送感染主機的情況。然后它會下載一些加密文件到被感染的主機中。

在KRBanker的最新變種中，它能夠根據一份列表來掃描與金融機構，殺毒軟件有關的DLL文件并打上任意操作碼的補丁。

KRBanker還會從目標主機的NPKI目錄中收集數字認證信息。這些獨一無二的數字認證通常會在與金融有關的場景中使用，比如銀行交易，信用卡，保險等等。

黑客會收集數字認證，密碼，賬戶詳細信息以及截屏信息從而獲得欺詐性的權限來訪問受害者的賬戶。

在分析了KRBanker之后發(fā)現(xiàn)，該木馬盡管通信結點分部在全球，但主要都集中在韓國境內。與此同時nProtect也迅速升級了他們的殺毒軟件來對抗這一新型木馬。