网络银行木马DYRE知多少（1）

watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQvaXF1c2hp/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center" alt="">

双11购物狂欢虽已过去。但购物热潮却并未退却。而这也带来了每年都会在这段时候出现的网络犯罪活动：

趋势科技已经看到大量伪造的银行电子邮件。也看到其它类型的垃圾邮件威胁，包含KELIHOS，VAWTRACK，甚至某些形式的419骗局。

趋势科技也目睹了银行恶意软件的添加。这个恶意软件家族变种试图窃取敏感信息，如银行认证信息和电子邮件账号具体数据。它们会利用信息窃取技术，一般会伪造跟银行站点一模一样的钓鱼网页，用来窃取用户的银行信息，如username称、password或卡号。再将窃来的信息发送到一个预先设定的电子邮件地址，代管server的暂存区或通过HTTP POST发送到一个网址去。

这一系列的文章着重于一个特定银行恶意软件。被侦測为TSPY_BANKER.DYR。在深入了解恶意软件本身后，我们会将这恶意软件威胁放入整个生态系，加上其连接的垃圾邮件。甚至包裹骡子诈骗（指将包裹寄送到别的地方的人，就跟“驴子”一样）。

这些人非常easy落入骗局。由于打着“easy致富”的名号。

关于DYR的一切

这被侦測的恶意软件跟DYRE（也被称为DYREZA，DYRANGES或BATTDIL）有关。

TSPY_BANKER.DYR跟DYRE变种有很多相似之处，能够从其行为看出：

1、能够通过浏览器注入来进行中间人攻击。此外也能够进行浏览器截图，窃取个人认证信息，并窃取如浏览器版本号等信息。

2、它窃取银行认证信息和监视对特定银行进行在线交易时的联机。

3、它会植入一个配置文件（通过C&C更新），里面包括了目标银行列表和bot ID（由计算机名称、操作系统版本号和一组32个字符标识符所组成），目标银行包括了国际、美国和欧洲银行。

4、它利用NAT会话传输应用程序（STUN）。一种位在NAT网络内之终端主机找出其公开IP地址的方法。它常被实时语音、视频通话和其它信息服务应用程序用来找出公开IP地址或是可被因特网所见的IP地址。

犯罪分子使用这样的方法来知道其恶意软件的确切位置（并可能知道谁试着去加以运行）。

（图1：STUN的截图）

5、它还能够下载一个VNC模块。

看看其网络行为来确认上面所描写叙述的细节：使用默认好的字符串格式来连到C&Cserver的443port。连接STUNserver；接受对内联机。

尽管没有出如今以下的截图，其所使用的用户代理版本号是Opera/9.80。

watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQvaXF1c2hp/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center" alt="">

（图2：TSPY_BANKER.DYR的网络行为）

进入点

我们如今知道这个恶意软件会做什么。但它怎样进入和感染系统呢？

看看C&Cserver联机（port443）。这个port是HTTPS，意思是网络交易中涉及证书。从窃取的封包中取出证书后。我们能够拿到两个证书。

第一个证书自称来自Google，跟真正的Google证书相比較，你能够看出两者间的差异。

watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQvaXF1c2hp/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center" alt="">

（图3：假的 Google证书）

watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQvaXF1c2hp/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center" alt="">

（图4：真的Google证书）

同一时候，第二个证书包括一个特定值。这事实上是用OpenSSL做出自签证证书时的默认输入数据。

watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQvaXF1c2hp/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center" alt="">

（图5：第二个可疑证书）

（图6：默认数据输入）

在SSL和HTTPS的设计中。一个可信任站点的特点之中的一个是须要有经过可信任认证机构（CA）认证的证书。使用（或反复使用）上面所显示的同样证书清楚地指出站点本身不值得信赖。

类似的嫌疑犯

我们决定交叉比对反复使用这些证书和会存取同样性质恶意软件的其它站点，并找到了两个被我们侦測为TSPY_ZBOT.WCDA和TROJ_UPATRE.WCDA的档案。接着我们检查了它们和我们原本的恶意软件（TSPY_BANKER.DYR）是否有共同之处，看看这两个档案的网络活动。

watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQvaXF1c2hp/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center" alt="">

（图7：感染TSPY_ZBOT.WCDA系统的网络活动）

我们也检查HTTP标头来看看还有什么问题。找到了对C&Cserver的HTTP GET请求。

watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQvaXF1c2hp/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center" alt="">

（图8：HTTP GET请求）

上述的网络活动有些惊人的相似之处，即：

1、DYR会连到STUNserver。和TSPY_ZBOT.WCDA一样。

2、DYR和TROJ_UPATRE.WCDA有着相似的联机，有恶意软件名称/版本号在HTTP/S请求中，还有其它相关网址字符串；

3、两者都会试着在对外通信时使用假的用户代理字符串；

4、反复使用伪HTTP/S证书；

垃圾邮件联机

感染后的行为并非TSPY_BANKER.DYR和TSPY_ZBOT.WCDA及TROJ_UPATRE.WCDA之间唯一的相似之处。它们也用同样的方法抵达。我们交叉比对同样时段内的此类恶意软件活动，找到这封垃圾电子邮件。

（图9：垃圾电子邮件样本）

这封电子邮件假装来自苏格兰皇家银行（RBS），分析后显示下面事项：

1、它用zip作为附件文件，解开后出现带有PDF图示，称为RBS_Account_Documents.scr的档案。此档案被侦測为TROJ_UPATRE.WCDA。

2、接着被植入的档案是exe，被我们侦測为TSPY_ZBOT.WCDA。

3、其实，HTTP GET请求 /ProfilePics/0809uk1.zip（如图 8所看到的）能够被解读为：

0809 ——可能是9月8日，我们看到全部的这些恶意软件和垃圾邮件的日期。

UK ——可能是指英国，RBS总部的大概位置。

感染系统是DYR恶意软件的最后一步了吗？并非。

除了窃取银行认证信息，DYR恶意软件还涉及还有一种威胁——包裹骡子诈骗。相关细节将在以后的文章中继续讨论，敬请期待。