近日，卡巴斯基發(fā)現(xiàn)了一個(gè)針對銀行網(wǎng)站的新惡意軟件Neverquest。通過在銀行網(wǎng)站上植入插件代碼，如果用戶在IE或者火狐瀏覽器上訪問銀行網(wǎng)站，Neverquest能夠攻擊約100個(gè)銀行。而且使用VNC或者其他方法，Neverquest可以攻擊任何國家的任何銀行。它支持在線銀行攻擊使用的每種方法：網(wǎng)頁植入，遠(yuǎn)程系統(tǒng)訪問，社會(huì)工程等等。

Neverquest的主要功能在使用安裝在系統(tǒng)的一個(gè)附加程序(如木馬下載器或者木馬植入器)的動(dòng)態(tài)函數(shù)庫中，這種程序在%appdata%文件夾下安裝某個(gè)擴(kuò)展名為.DAT(比如qevcxcw.dat)的函數(shù)庫文件。因?yàn)樵谧员?ldquo;Software\Microsoft\Windows\CurrentVersion\Run.”下添加了“regsvr32.exe /s [path to library]”，這個(gè)函數(shù)庫會(huì)自動(dòng)運(yùn)行。然后，該程序開始從這個(gè)函數(shù)庫中啟動(dòng)唯一的導(dǎo)出命令，初始化惡意程序。該程序查看電腦中是否已經(jīng)安裝它的副本，如果沒有，它會(huì)啟動(dòng)VNC服務(wù)器，給命令中心發(fā)送第一個(gè)請求，以收到一個(gè)配置文件。配置文件通過一個(gè)由aPLib函數(shù)庫壓縮包打包的密鑰加密，然后傳送給命令中心。配置文件有一組惡意JavaScript文件和一個(gè)網(wǎng)站列表，當(dāng)啟動(dòng)IE或者火狐瀏覽器時(shí)，將安裝相應(yīng)的腳本。

當(dāng)用戶在受感染的電腦上訪問列表中的某個(gè)網(wǎng)站，Neverquest會(huì)控制瀏覽器與服務(wù)器的連接。在獲得用戶在線銀行系統(tǒng)賬號(hào)后，黑客使用SOCKS服務(wù)器，通過VNC服務(wù)器遠(yuǎn)程連接到受感染的電腦，然后進(jìn)行在線交易，將用戶的錢轉(zhuǎn)移到自己賬戶，或者為了避嫌，轉(zhuǎn)移到其他受害者賬戶。

在所有被Neverquest盯上的網(wǎng)站中，美國富達(dá)投資集團(tuán)旗下的fidelity.com最受矚目，該公司是全球最大的互助投資基金公司之一，它的網(wǎng)站為用戶提供很多方式管理在線財(cái)務(wù)。這讓惡意用戶不僅能夠?qū)F(xiàn)金轉(zhuǎn)移到自己的賬戶，還能通過被Neverquest攻擊的受害者的賬戶和錢財(cái)進(jìn)行股票交易。

在2009年，卡巴斯基實(shí)驗(yàn)室檢測到惡意軟件Bredolab，Neverquest使用和它一樣的自我復(fù)制方法。它有三種傳播方式：

1.Neverquest有很多數(shù)據(jù)，它們通過某些程序訪問FTP數(shù)據(jù)庫。這些程序竊取數(shù)據(jù)后，黑客使用Neutrino利用工具包，進(jìn)一步傳播該惡意軟件。

2.Neverquest使用用戶郵件客戶端，在SMTP/POP會(huì)話期間竊取數(shù)據(jù)。黑客通過這些數(shù)據(jù)，大量發(fā)送包含木馬下載器附件的垃圾郵件，然后安裝Neverquest，這些郵件看起來特別像不同服務(wù)提供商的官方郵件。

3. Neverquest通過訪問很多流行的社交網(wǎng)絡(luò)服務(wù)賬戶竊取數(shù)據(jù)。