网络银行木马家族，一箭双雕偷点资

　　两只网络银行木马家族 BANKER木马的垃圾信息最近现身了。第一款的垃圾信息含有恶意连结的图片，在点击后使用者不但看不到想看的图片，反而会遭TSPY_BANKER.OCN感染。第一只木马是利用了附件的程序文件(见图1)。

　　第二只 TSPY_BANKER.MTX 木马有两个组件，一个在窃取与银行交易相关的资料，另一个则窃取电子邮件帐号资料(见图2)。

　　图1.垃圾邮件样本1

　　图2.垃圾邮件样本2

　　不过这只木马可能互相有关联，因为它们从使用者处所偷盗的资料最后被投掷在相同的网络服务主机处：

　　{BLOCKED}unicaobr.com/phps/procopspro.php

　　{BLOCKED}unicaobr.com/working/lisinho.php

　　前往webcomunicaobr.com网站可看到更多的细节如下：

　　IP: 69.162.102.130 服务主机位在美国

　　ASN: AS46475 LIMESTONENETWORKS Limestone Networks Inc. Primary ASN

　　ns1.brasilrevenda.com

　　ns2.brasilrevenda.com

　　再往下挖深一点，我们看到3个页面显示出受雇用的垃圾邮件散发者到目前为止所感染到的系统数量(见图3)，一式被盗资料被传送前往的PHP服务列表(见图4)，及一式受感染主机下载的加密资料文件案列表(见图5)。

　　图3.受垃圾邮件感染者列表

　　图4.受感染的PHP服务列表

　　图5.恶意文件案列表

　　在未来数天内将会看到更多从该网站服务发出的垃圾邮件，不过不需要担心，因为杀毒软件的主动式云端截毒服务 SPN( Smart Protection Network)、防堵垃圾邮件、恶意文件案及网域接触到使用者，并会阻止下载已被Trend Micro侦测辨识出的恶意文件案TSPY_BANKER.OCN及TSPY_BANKER.MTX。