gozi-banking-trojan 注入win10 Edge浏览器

275751198

https://securityintelligence.com ... ws-10-edge-browser/

随着Windows系统的升级换代，木马也开始升级。gozi-banking-trojan获得了将自身恶意代码注入到win10 Edge 浏览器的能力。
gozi是实现向Edge浏览器注入代码的能力最新的木马，但它不是第一个具有这种能力的木马。
tinba V3一样可以注入代码到Edge浏览器，虽然它已不能够部署webinjections（也可以为Ramnit）。其中比较有名的例子是Dyre木马，据说到2015十一月，该团伙解散前成功升级部署Windows 10终端和代码注入微软Edge浏览器。
根据gozi的新能力的研究，该恶意软件的开发者已经发现使用在以前的Windows操作系统版本里相同的代码注入win10Edge浏览器的新途径。代码可以被注入microsoftedgecp.exe进程，这是Edge浏览器的进程。
在一般情况下在受gozi感染的机器，每一个进程都由Explorer.exe或它的一个子进程创建，实际上是为了保持gozi的感染，键盘记录恶意控制能力。

gozi木马是今天民间最长寿的银行木马程序。它被2007年首次发现用于开发商和网络罪犯封闭组操作。gozi瞄准了网上银行，主要是在讲英语的国家。在2010年一个小组正在进行一次重大升级时，gozi的V1的源代码被错误地通过其开发商泄露。泄漏的代码被使用在木马例如Vawtrak和Neverquest。
goziV2开始出现在民间，直到2010年底，使用新的webinjection机制攻击欧洲，英国和美国的银行。在2012年末，gozi在罪犯计划的一个主要的帮手prinimalka变异，主要对美国银行进行抢劫。
2013年、gozi的开发者增加了一个对主引导记录（MBR）rootkit驱动，通过计算机的MBR保持高持久性存活。就在同一年，美国联邦调查局抓获的一些gozi团伙，捕获到gozi团伙的活动有关的犯罪。其中一人被在九月2015起诉。
据X-Force研究，于2015五月，goziV2的开发商实施重大更新的恶意软件的webinjection方案和能力。在英国银行的攻击，gozi.V2变种全页面替换成注入银行的服务器的通信进程。狗通常注射假页面要求被害人尝试登录更改其密码，然后添加另一个社会工程屏幕要求一次性输入密码代码。
2015八月，gozi在保加利亚加入银行的目标名单。目前，该木马的源代码被认为是被一些网络犯罪派系使用因为它出现在一个有限数量的变化，正在开发和更新版本。
gozi更新的注射机构一直在变化，去年实现在保加利亚攻击银行。这个新发现的意义是，gozi项目仍然是一个活跃的和复杂的，而其新注入的能力将允许它越来越多的无缝地攻击用户更新他们的端点到Windows 10或切换到Edge浏览器。
同样重要的是要记住，不是所有的银行恶意软件的变种有这个能力。IBM X-Force研究继续关注事态发展让你跟上不断变化的威胁环境。

猥琐大叔

icedream89

ess9

3801187

pal家族

nick20010117

蜘蛛扫描kill

ericdj

GD解压杀
[mw_shl_code=css,true]Virus: Trojan.GenericKD.3037148 (Engine A)
File: 353d85e0f435e25f16e8bc8b41e5fa5c9f483fc0b14abd953e1887c6b4e8cc77
Directory: C:\Sandbox\Administrator\Specialfiles\user\current\Desktop\Special files[/mw_shl_code]

莒县小哥

360不杀    WD杀

ELOHIM

双联了。。抱歉。

ELOHIM

出身未杰身先死。
但愿变种更高级。

——————————
@莒县小哥
你好，WD的报毒名是什么呀？可以说一下嘛？