银行木马Emotet出现新型变种股票股价，可规避检测窃取用户金融凭证

据外媒11月18日报导，络安全公司趋势科技（TrendMicro）研讨人员于近期发现银行木马Emotet呈现新式变种，可以躲避安全检测的一起盗取银行凭据等用户灵敏信息。

Emotet又叫Geodo，是现在盛行的一款银行木马，初次曝光于2014年6月，其首要以“嗅探”络活动盗取用户私家数据出名。跟着开发人员的不断优化，其影响规划可与Dridex和Feodo比美。Emotet首要经过顺便歹意链接的垃圾邮件进行任意分发，一旦用户点击触发后进犯者将可经过该歹意软件盗取用户重要凭据。

研讨显现，黑客可经过歹意软件Emotet的“dropper”模块接口“RunPE”拜访体系络的根本输入输出流程、设备用户称号，以及体系上存储的特定文件。不过，因为RunPE的使用过分频频，因而开发人员改用一条不为人知的CreateTimerQueueTimer接口，然后躲避安全软件检测。

CreateTimerQueueTimer是一个Windows应用程序编程接口（API），其首要为轻量级方针创立行列以便在指定的时间内挑选回调函数。此外，该API接口答应Emotet每秒履行一次操作，然后检测该歹意软件是否运转于沙箱之中以躲避安全监测。据悉，银行木马Hancitor和VAWTRAK早已使用该接口展开进犯活动。

值得注意的是，若该歹意软件侵略方针设备后发现没有管理员特权，则会创立一个自启动服务以便保护其在受害设备上的持久性，重命名并重启体系后进行加密操作，随后经过POST恳求将数据发送到指定的C＆C服务器。

现在，趋势科技就此次事情发布了歹意软件最新变种的“进犯目标”（IoCs），其安全研讨人员MalwareTech随后也宣布了有关EmotetC＆C服务器的详细细节并表明，进犯者经过被黑站署理C＆C服务器以躲避安全监测的方法极端遍及，这些被黑站一般都是运转多年的合法站，就连安全公司很难将其符号为歹意服务器。