第二：对它的配置文件进行分析后表明：该木马的目标群为那些网上银行系统，涵盖150多种银行中20多种支付系统，波及15个国家。英国、西班牙、美国。俄罗斯、日本以及意大利，是它分布的主要地段。

　　卡巴斯基实验室的产品，可以用于检测这种新型的针对银行的木马：Trojan-Banker.Win32.Chthonic。

　　该木马很明显是ZeusVM得进化版，但是它已经有了很大的改动。这款名为闪灵的木马与仙女座僵尸软件有着相同的加密器，和宙斯AES和宙斯V2木马有着相同加密算法，连虚拟机都和ZeusVM以及KINS用的非常相似。

　　感染

　　我们获悉了一些可能与感染了Trojan-Banker.Win32.Chthonic机器关联的技术。

　　1.发送带有exp的邮件。

　　2.使用仙女座僵尸软件（卡巴斯基编号：Backdoor.Win32.Androm）下载闪灵木马。

　　当黑客发送包含该exp的消息时，黑客会特制一个RTF文档，然后使用office软件配合这个编号为CVE-2014-1761的漏洞对受害者进行打击。由于该文件有着DOC得扩展名，因此多了一些隐蔽性。

　　在成功利用exp后，木马下载者会被自动导入受害者电脑。在上面的例子中，该文件放置在被黑的网站上：hxxp：//valtex-guma.com.ua/docs/tasklost.exe。

　　仙女座僵尸软件会下载hxxp：//globalblinds.org/BATH/lider.exe（某下载者软件）。

　　下载木马

　　一旦被下载下来，这款下载者会把自身代码注入到msiexec.exe进程中。似乎该款下载者是基于仙女座僵尸软件源码的，尽管它们用的是不同的交互协议。

　　闪灵下载者包含一个加密的配置文件（加密手法与KINS和ZeusVM类似）。配置文件中包含的主要数据有：С&С服务器列表，16比特位的RC4加密的key，UserAgent，以及僵尸网络ID。

　　在解密配置文件后，每个独立部分会保存在一堆，格式如下：

　　这样做不会传递指针。僵尸软件通过使用RtlWalkHeap函数，检测每一堆元素来寻找必要的值。此间会匹配其初始化的与魔术值相关的4个比特位。

　　这款下载者会把一个类周四木马的系统数据包放置在一起（local_ip， bot_id， botnet_id， os_info， lang_info， bot_uptime以及其他）。先用XorWithNextByte对其进行加密，然后使用RC4再做一次加密。接下来，这个包文件会被发给在配置文件里其中一个C&C服务器地址。

　　在回应报文中，该木马收到了一个扩展加载器–类宙斯木马的模块，它并非标准PE文件，但是加载器部分对内存做了映射：可执行代码，重定位表，入口点，出口函数，导入表。

　　这里需要指出的是，导入部分只包括API函数hash值。导入表则采用了Stolen Bytes的方法，并使用了该加载器里专用于此的反汇编程序。当然，以前我们也看到过仙女座僵尸软件中类似的导入功能。

　　该加载器扩展中还包括一个使用虚拟机加密的配置文件，其用于导入该木马的主模块，然后转而下载其他所有模块。然而，该加载器使用的AES加密，部分使用UCL打包。主模块会加载其他模块，然后使用与闪灵下载者相似的方法导入表，可以看出，这款宙斯变种借用了部分仙女座僵尸软件的功能。

　　闪灵木马加载的整个序列如下，其中包括上述的模块：

　　Trojan-Banker.Win32.Chthonic有着模块化的结构。至今为止，我们发现的模块如下：

　　令人印象深刻的是，该木马会通过多种技术窃取网络银行认证信息。此外VNC和cam记录器模块可以让黑客远程连接受害者电脑，并且使用它进行交易。当然，如果该电脑有摄像头和麦克风的话，录视频和录音也是没问题的。

　　注入

　　Web网页注入是闪灵木马的主要武器之一，它们可以让木马把代码和图像插入到浏览器加载的页面中。这能让黑客轻松获得受害者的电话号码，一次性口令和PIN码，登录信息和密码也逃不过它的魔掌。

　　举个例子，该木马会隐藏某日本网上银行的警告，并生成脚本让黑客可以轻松用受害者账号进行各种交易：

　　该脚本也可以弹出各类欺骗性窗口，让黑客获得需要的信息。下图是一个假冒的警告信息，要求受害者输入TAN：

　　我们分析俄罗斯银行的案例时，发现一个不同寻常的Web网页注入。当打开网上银行的网页时，整个网页都是欺骗性内容，并不同于普通攻击里只会做一部分，从技术角度来分析，该木马创建了一个iframe，把整个网页都覆盖掉了。

　　下面是注入代码的片段，在title和body标签之间的东西全被替换了：

　　此外，如果注射网页成功，该僵尸软件收到命令建立隐藏后门连接，用于接受和记录。

　　覆盖率

　　下图是我们研究出来的，有着不同配置文件的僵尸网络样本。其中，黑客似乎特别钟情于英国，西班牙，美国，俄罗斯，日本，以及意大利。

　　值得注意的是，尽管以上清单里波及量看起来很大，但是许多WEB注入的代码片段已经失效，这是因为大部分银行已经改变了网页结构，甚至连域名都改了。还有，我们过去曾在一些软件如宙斯V2中，看见过以上部分代码片段。

　　总结

　　我们可以看出，宙斯木马仍然是积极发展的，并且正在不断采用新型的技术。当然，这得感谢宙斯的源码被人放了出来，从此以后大家都在借用类似的框架，然后做出新的东西。这款新木马“闪灵”，是宙斯的变种，它借鉴了宙斯的AES加密，借鉴了类似ZeusVM和KINS使用的虚拟机，以及仙女座僵尸软件的下载者。

　　这意味着在不久将来，我们很快能看见宙斯的新型变种。