近期發(fā)現(xiàn)的一個(gè)名為KRBanker(Korea+Banker=KRBanker)的木馬，將韓國(guó)金融機(jī)構(gòu)的終端用戶作為了主要的感染目標(biāo)。

根據(jù)nProtect的報(bào)告，目前出現(xiàn)了一個(gè)名為KRBanker的入侵型木馬，能夠關(guān)閉殺毒軟件，封鎖對(duì)安全網(wǎng)站的訪問(wèn)，甚至能夠禁止被感染主機(jī)中其他惡意軟件和黑客的通信活動(dòng)。

一旦被KRBanker木馬感染，它會(huì)向命令和控制服務(wù)器(C&C)發(fā)送ping請(qǐng)求，同時(shí)還會(huì)發(fā)送感染主機(jī)的情況。然后它會(huì)下載一些加密文件到被感染的主機(jī)中。

在KRBanker的最新變種中，它能夠根據(jù)一份列表來(lái)掃描與金融機(jī)構(gòu)，殺毒軟件有關(guān)的DLL文件并打上任意操作碼的補(bǔ)丁。

KRBanker還會(huì)從目標(biāo)主機(jī)的NPKI目錄中收集數(shù)字認(rèn)證信息。這些獨(dú)一無(wú)二的數(shù)字認(rèn)證通常會(huì)在與金融有關(guān)的場(chǎng)景中使用，比如銀行交易，信用卡，保險(xiǎn)等等。

黑客會(huì)收集數(shù)字認(rèn)證，密碼，賬戶詳細(xì)信息以及截屏信息從而獲得欺詐性的權(quán)限來(lái)訪問(wèn)受害者的賬戶。

在分析了KRBanker之后發(fā)現(xiàn)，該木馬盡管通信結(jié)點(diǎn)分部在全球，但主要都集中在韓國(guó)境內(nèi)。與此同時(shí)nProtect也迅速升級(jí)了他們的殺毒軟件來(lái)對(duì)抗這一新型木馬。