据外媒 11 月 18 日报道，网络安全公司趋势科技（Trend Micro）研究人员于近期发现银行木马 Emotet 出现新型变种，能够规避安全检测的同时窃取银行凭证等用户敏感信息。 [出自:jiwo.org]

Emotet 又名 Geodo，是目前流行的一款银行木马，首次曝光于 2014 年 6 月，其主要以 “ 嗅探 ” 网络活动窃取用户私人数据闻名。随着开发人员的不断优化，其影响规模可与 Dridex 和 Feodo 媲美。Emotet 主要通过附带恶意链接的垃圾邮件进行肆意分发，一旦用户点击触发后攻击者将可通过该恶意软件窃取用户重要凭证。

研究显示，黑客可通过恶意软件 Emotet 的 “dropper” 模块接口 “RunPE” 访问系统网络的基本输入输出流程、设备用户名称，以及系统上存储的特定文件。不过，由于 RunPE 的利用太过频繁，因此开发人员改用一条鲜为人知的 CreateTimerQueueTimer 接口，从而规避安全软件检测。

CreateTimerQueueTimer 是一个 Windows 应用程序编程接口（API），其主要为轻量级对象创建队列以便在指定的时间内选择回调函数。此外，该 API 接口允许 Emotet 每秒执行一次操作，从而检测该恶意软件是否运行于沙箱之中以规避安全监测。据悉，银行木马 Hancitor 和 VAWTRAK 早已利用该接口开展攻击活动。

值得注意的是，若该恶意软件入侵目标设备后发现没有管理员特权，则会创建一个自启动服务以便维护其在受害设备上的持久性，重命名并重启系统后进行加密操作，随后通过  POST 请求将数据发送到指定的 C＆C 服务器。

目前，趋势科技就此次事件发布了恶意软件最新变种的“攻击指标”（IoCs），其安全研究人员 MalwareTech 随后也发表了有关 Emotet  C＆C 服务器的具体细节并表示，攻击者通过被黑网站代理 C＆C 服务器以规避安全监测的手法极其普遍，这些被黑网站通常都是运行多年的合法网站，就连安全公司很难将其标记为恶意服务器。