作为有史以来最臭名昭著的网银木马之一，Zeus/Zbot衍生出了诸多的变种和仿照者。当然，Zeus最大年夜的特点，就是其所扮演的“浏览器中间人”行动(man-in-the-browser)。基于此，收集垂钓者可以在不轰动到受害人的环境下，汇集到他们的小我信息，并将之用于埋没的在线生意。比来，一个新的变种又冒了出来，它的名字叫做ZeusVM。

　　ZeusVM木马会操纵图片作为钓饵并检索建设文件，而这也是它可以或许顺利得逞的首要前提。几周前，法国安然研究人员Xylitol指出了一些希罕的歹意告白勾当。而最坑人的，就是它会向统一台主机上获得所托管的JPG图象。

　　后来，他奉告MalwareBytes.org，这个新变体所利用的“埋没写进手艺”——即将歹意数据假装在现有的文件中，而不会对宿主文件造成粉碎。

　　接下往的几个礼拜，我们互换了几封邮件，并且Xylitol发现了其它几个行动表示类似的作品。出于好奇，我们对这个小手法进行了深进研究。

　　好比：上图是一张落日照，但你所不知道的是，它斑斓的外表下所隐躲着的“杀机”——用于盗取金钱的歹意代码!

　　图片阐发东西方面，我们有良多选择。可是起首，让我们找到这货的“切确副本”。然后，让我们细心做下比对。

　　找到匹配项以后，我们可以选择一幅具有不异宽高度的图片开端比对。然后，让我们把两幅图象并排放到一路……

　　是不是是发觉到了一些异常？

　　经由过程位图模式下的比对，我们可以发现，二者之间竟然有着细微的差别。而这，极有可能就是注进歹意代码的成果(额外数据)。

　　再然后，让我们切换到16进制查看器——隐含的数据当即现身。当然，如许的数据不是给人看的，我们再看下文本格局。

　　震动的是，为了故障人们的浏览，这货竟然还用Base64、RC4和XOR对代码进行了数据加密。当然，想要把它逆转过来也是可以的(好比经由过程OllyDbg调试器、或用泄漏出来的Zeus源码自行成立数据解紧缩模块)。

　　解密后的建设文件如上，此中揭示了一些被其当作方针的银行和金融机构。

　　在这些方针中，德意志银行(Deutsche Bank)是比较刺眼的。上图就是该行的登录页面(我们以它为例)。当用户在被传染的计较机上把持的时辰，木马就开端玩转“中间人”的幻术了。

　　最可恨的是，银行没法辨别这些资金是不是被不法转移，因为“顾客”被系统“准确地验证并经由过程了”。

　　当然，这不是我们第一次见到有歹意软件在无关痛痒的文件中嵌进数据。不久前，网站安然公司Sucuri也透露过“一个看似无辜的PNG文件是如安在元数据中包含歹意指令的”。

　　经由过程如许的编制，隐躲的歹意代码乃至可以或许绕过基于签名的进侵检测系统、乃至防病毒软件。因为凡是环境下，从一个网站治理员的角度来讲，“一张可以或许被正常查看的图片又有甚么标题问题呢？”

　　可是，实际就是如斯残暴、工作也就是这么简单。不管是一个看似合法的图片、歌曲、或片子文件，都有多是不!安!全!的!(防不堪防啊)

　　有趣的是，“隐写术”是一个很是古老的做法。在古希腊的时辰，就有在木头上刻字并用蜡封的真实应用，良多人也是以而被愚弄。

　　从这方面看来，坏人们其实也没有多大年夜的立异，他们只是用看似现代的编制，在故伎重演罢了。