原帖地址：dd4K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3g2%4k6h3g2C8i4K6u0W2j5$3!0E0i4K6u0r3j5#2)9J5c8X3q4Q4x3V1k6e0k6h3y4#2M7X3W2@1P5g2)9J5c8V1y4S2M7X3u0W2M7Y4m8Q4x3X3c8f1M7X3!0B7j5h3&6Q4x3X3c8d9k6h3#2G2N6X3g2K6i4K6u0V1b7h3&6@1K9g2k6A6M7Y4g2K6i4K6u0V1f1$3y4S2L8X3&6W2M7Y4y4Q4x3X3c8a6N6r3S2W2M7W2)9J5k6p5#2S2L8s2N6S2M7X3g2Q4x3X3c8X3M7X3!0E0i4K6u0V1d9r3!0K6N6q4)9J5k6o6M7@1y4K6R3$3y4q4)9J5c8R3`.`.

这个木马可以帮你杀掉你电脑中很多危险的木马，但同时会干掉你的杀软并窃取你的银行账号，而它帮你杀毒的真相只有一个——其实木马界竞争也挺激烈的。

移除杀软和宿主其他恶意软件的Carberp木马

最新的银行恶意软件Carberp自从去年出现以来已经经历了三个版本并且还在增加新特性。

据一些安全研究人员说，银行的恶意软件涉及了许多复杂的能力来隐藏在受害者的PC上。
窃取信息的恶意软件Carberp，于去年八月发现，它能窃取一系列的数据，伪装为合法的Windows文件并且移除宿主安装的所有的反病毒软件，据Seculert所说，作为最新出现的银行恶意软件，它变幻莫测并且还在增加新特性和功能。

TrustDefender防火墙认为Carberp是下一个银行大威胁，堪比SpyEye，特别是新的木马攻击工具已经超过Zenus木马成为新的武器。许多研究者称，Zenus木马，众所周知的窃取了数百万美元的银行木马的开发突然停止了，它的代码被合并到了SpyEye中。

Carberp子啊所有Windows版本上均能运行，包括Windows 7，据TrustDefender发现，它无需管理员权限，能注册自己成为一个浏览器插件来不断地监控所有的网络流量，甚至是加密的网上银行。它能注入欺骗性的HTML代码到网页中来窃取数据，Seculert说。

Carberp已经经历了三个版本，卡巴斯基实验室的恶意软件分析师Jorge Mieres告诉eWEEK。第一个版本的Carberp是个很简单的下载别的恶意软件的木马下载器，Mieres说。每个成功的版本都增加了复杂的特性。

第二代的Carberp增加了管理命令和控制僵尸网络的特性，Mieres说。Carberp是最大的“私人僵尸网”之一。工具套件还包含了一个叫做“passw.plug”的小插件，它能从感染电脑上安装的超过90个应用程序中窃取信息。

第三个也就是现在的版本新增了两个新组件来干扰计算机的安全软件。“stopav.plug”插件是已经安装的杀毒软件无法运行，“miniav.plug”插件则成为移除其他恶意软件的清洁工，Mieres说。Seculert说miniav插件可以移除其他的知名恶意软件，包括Zenus,BlackEnerg,Limbo和MyLoader。

Seculert说，Carberp能清除其他的恶意软件以防它们来干涉它的活动。

最新版本的Carberp更新了它与一个命令控制服务器交流的方法。像最先进的恶意软件一样，包括高度发杂的Zenus，之前的版本用RC4加密并且一直使用同一个加密密钥，Seculert在博客中写道。这让安全管理员轻松了许多，因为入侵检测保护系统可以分析流量并且挑出可能使用那个密钥的数据包。

Carberp开发者赶紧出招，现在的Carberp使用了一个控制服务器上注册了的随机的密钥。因为恶意软件每次都是用一个不同的密钥，所以很难检测。

这次更新同样改变了Carberp的目标群体。之前的版本目的在于荷兰和美国的银行，最新的版本定位在俄罗斯市场的用户上。

Seculert说Carberp将很有可能在未来的版本中加入扫描服务的链接，就像SpyEye和其它的攻击工具一样。

不管是哪个版本的Carberp入侵了计算机，它都收集主机操作系统、浏览器和杀软的信息，Mieres说。这让攻击者知道他们要避开哪种杀软。安全研究者已经发出警告，恶意软件开发者在把这些木马释放出来之前都会在杀软中运行样本以保证它不会被检测出来。

另外一个难题是，收集的统计数据告诉恶意软件的作者哪些杀软要被加入到“stopav.plug”中，这样Carberp就能停用它，Seculert说。

Seculert分析出统计数据是被僵尸网络收集起来的，数据显示卡巴斯基杀软的有74的使用率。

[培训]科锐逆向工程师培训第53期2025年7月8日开班！