Bolek是一款新的銀行木馬，衍生自泄露的Carberp和Zeus源代碼。惡意軟件編寫(xiě)者混合了二者的代碼，形成了一款全新的銀行木馬，目前正威脅俄羅斯銀行的客戶安全。

　　CERT Poland研究人員在5月中旬首次發(fā)現(xiàn)了該木馬。他們?cè)谡{(diào)查一次起源于波蘭的釣魚(yú)事件時(shí)發(fā)現(xiàn)Bolek和Carberp的KBot模塊略有相似。美國(guó)安全公司PhishMe就Bolek的運(yùn)行模式進(jìn)行了一次綜合調(diào)查，發(fā)現(xiàn)Bolek和Carberp確實(shí)存在明顯的相似之處。

　　Bolek是最近出現(xiàn)在金融惡意軟件市場(chǎng)上的新型威脅。

　　6月初，Dr.Web和Arbor Networks安全廠商展開(kāi)了調(diào)查，Arbor報(bào)告著重研究Bolek的C&C服務(wù)器通信，而Dr.Web則主要關(guān)注Bolek的運(yùn)行模式以及同Carberp甚至原始的Zeus銀行木馬的相同點(diǎn)。

　　Dr.Web報(bào)告指出，該木馬完全可以應(yīng)對(duì)當(dāng)前銀行的生態(tài)系統(tǒng)，它通過(guò)注入網(wǎng)絡(luò)瀏覽器進(jìn)程從在線銀行應(yīng)用中獲取登錄憑證，截取用戶界面，捕獲網(wǎng)絡(luò)流量，記錄鍵盤(pán)輸入，或者創(chuàng)建本地代理服務(wù)器來(lái)獲取感染機(jī)器中的文件。

　　Bolek可以攻擊Microsoft Internet Explorer、Google Chrome、Opera和Mozilla Firefox，并且自帶嵌入式的密碼抓取工具M(jìn)imikatz。

　　Bolek與Carberp和Zeus的相似點(diǎn)

　　Bolek仿照Carberp的部分，包括一個(gè)自定義的虛擬文件系統(tǒng)，存儲(chǔ)那些用于逃避安全檢測(cè)軟件的各種操作文件。對(duì)應(yīng)Zeus，Bolek主要借鑒的是其強(qiáng)大的注入機(jī)制，使其可以成功入侵瀏覽器進(jìn)程，并在用戶訪問(wèn)在線銀行時(shí)控制整個(gè)網(wǎng)頁(yè)。

　　另外，該木馬可以感染W(wǎng)indows32位和64位系統(tǒng)，一旦收到遠(yuǎn)程服務(wù)器指令，會(huì)通過(guò)RDP(遠(yuǎn)程桌面協(xié)議)打開(kāi)設(shè)備與攻擊者的反向連接。

　　Bolek也可以通過(guò)感染其他文件進(jìn)行傳播

　　Dr.Web的研究人員最感興趣的并不是Bolek的這些致命性的功能。Bolek感染后，其服務(wù)器會(huì)向木馬發(fā)送一個(gè)命令，該命令可以激活類蠕蟲(chóng)自我傳播機(jī)制。這使得該木馬可以傳播到相同文件系統(tǒng)或優(yōu)盤(pán)的其他文件中。它可以感染32位或64位可執(zhí)行文件，這些文件一旦移動(dòng)到其他設(shè)備中便會(huì)幫助Bolek傳播。

　　研究人員稱：“Trojan.Bolik.1的主要功能是竊取機(jī)密信息，Trojan.Bolik.1的功能和架構(gòu)都十分復(fù)雜，因此Windows用戶一旦被感染，將會(huì)造成嚴(yán)重后果?！?