部分報導已經顯示ZeuS/ZBOT這隻惡名遠播的網路銀行惡意軟體現在開始將目標放在64位元的系統。根據趨勢科技的調查,已經證實了一些32位元的 ZBOT 樣本(偵測為TSPY_ZBOT.AAMV)確實有嵌入一個64位元版本(偵測為TSPY64_ZBOT.AANP)。然而,我們的調查也確認該惡意軟體其他一些值得注意的行為,包括它對安全軟體的閃躲技術。
下面是 TSPY_ZBOT.AAMV 擷取出程式碼的截圖,它會和64位元的 ZBOT 一起注入:
圖一、32位元的ZBOT截圖
檢查了這些程式碼,64位元版本可以被看作是惡意軟體文字區塊(可執行碼)的一部分。
圖二、被注入64位元ZBOT的截圖
就跟其他ZBOT變種一樣,TSPY_ZBOT.AAMV會將自己的程式碼注入到正常的程序explorer.exe裡。如果正在運行的程序是64位元的,惡意軟體會載入64位元版本的惡意軟體。如果不是,它會繼續執行32位元版本。
這 ZBOT 變種另一個值得注意的特點是它的 Tor 元件,可以用來隱藏惡意軟體和指揮與控制(C&C)伺服器間的通訊。該元件被嵌入在注入程式碼的底層,也有著32位元和64位元的版本。要啟動這個元件,惡意軟體先中斷svchost.exe程序,將Tor元件程式碼注入後再將程序恢復。經過這樣的動作,就可以隱藏Tor的執行。它用下列參數加以啟動:
“%System%\svchost.exe” –HiddenServiceDir “%APPDATA%\tor\hidden_service” –HiddenServicePort “1080 127.0.0.1:{random port 1}” –HiddenServicePort “5900 127.0.0.1: {random port 2}” 繼續閱讀