说到银行木马,宙斯可能是有史以来最著名的一个。自从它的源代码于2011年泄露以来,网上出现了几个新的版本。这包括一个名为Terdot Zbot/Zloader的过去分叉,我们2017年广泛报道.
但最近,我们观察到另一个机器人,它的设计让人回想起ZeuS,它似乎是相当新的(在2019年11月底编译了1.0版本),正在积极开发中。
我们决定进行调查。
由于这种恶意软件的具体名称在很长一段时间内都不为研究人员所知,所以它碰巧被一个通用术语Zloader/Zbot(用于指代任何与ZeuS家族相关的恶意软件的通用名称)所引用。
我们的调查让我们发现,这是一个建立在宙斯遗产基础上的新家族,以“平安夜”的名义出售,可能是指2002年电影中使用的生化武器xXx.
最初的示例是一个下载程序,获取核心恶意模块并将其注入到各种运行的进程中。我们还可以看到几个合理的组成部分,就像在Terdot的例子中一样。
在我们最新发表的论文中,我们与HYAS,我们将深入研究这个恶意软件的功能和它的命令与控制(C2)面板。我们提供了一种基于bot配置文件中的值对示例进行聚类的方法,同时还将“Silent Night”与近年来流行的其他一些zbot(包括Terdot)进行了比较。
评论