一名年仅20岁的大学生，开发的每一个网银木马在黑市的售卖价均超过300美刀，2年时间谋取了大量不义之财。听起来不可思议?他就是巴西最大的恶意软件制造者——Lordfenix。

年仅20岁的木马开发者

Lordfenix是一名巴西的计算机系学生，今年20岁。我们最早发现他的恶意活动是在2013年4月。当时他正在在论坛发帖寻求其他程序员共同开发网银木马。

巴西最大银行木马制造者：年仅20岁的大学生Lordfenix

下面是他2013年9月在Facebook上发的炫富图，卖木马真心赚了不少

巴西最大银行木马制造者：年仅20岁的大学生Lordfenix

木马分析

asTSPY_BANKER.NJH是Lordfenix制作的网银木马之一。当用户打开任意银行的url，木马会根据url进行锁定，锁定目标包括Banco de银行，Caixa银行，和巴西汇丰银行。

如果用户使用的是Google Chrome浏览器，网银木马会立即关闭当前浏览器窗口并显示一个错误信息，然后重新打开一个伪造的——整个切换过程非常迅速以至于用户根本不会察觉，所以整个程序运行过程可以忽略不计。如果用户的浏览器是IE或FireFox，原窗口会保持开启，但依然会出现错误信息并弹出伪造窗口。

巴西最大银行木马制造者：年仅20岁的大学生Lordfenix

伪造浏览器窗口

巴西最大银行木马制造者：年仅20岁的大学生Lordfenix

伪造的HSBC网银

巴西最大银行木马制造者：年仅20岁的大学生Lordfenix

伪造的Banco de网银

当用户在伪造网银的“钓鱼”页面中下面输入用户名密码，这些信息将通过邮件的方式发送给攻击者。

为了绕过杀毒软件的查杀，网银木马会自动终止GbpSV.exe进程。GbpSV.exe是浏览器安全软件G-Buster的相关进程，许多巴西银行使用这个安全程序保护用户的交易安全。

免费版

Lordfenix对自己的能力非常自信，我们发现他为其地下论坛的成员免费提供全功能的网银木马源代码。Lordfenix声称他的开源木马可以窃取4家银行的用户信息。但是如果想要“搞定”

其他银行就得收费了。

巴西最大银行木马制造者：年仅20岁的大学生Lordfenix

Lordfenix论坛中发布的免费网银木马源代码

Lordfenix还通过聊天工具Skype上的个人签名售卖网银木马。

巴西最大银行木马制造者：年仅20岁的大学生Lordfenix

Lordfenix何能快速“致富”

根据趋势科技的调查数据，自2013年4月以来，Lordfenix开发了超过100种网银木马，这其中还不包括他开发的其他恶意工具。每个网银木马均价值为1000雷亚尔(约320美元)，这使得他在短时间内获得了巨额财富。

除了开发并售卖出网银木马，还有一些其他的因素促使Lordfenix能够如此快的“致富”：

1、巴西有巨大的网上银行用户，仅在2013年，就有高达约51%的银行交易通过网上银行完成的。

2、巴西对网络犯罪的打击力度并不大，法律仍然不够健全
原文：http://netsecurity.51cto.com/art/201507/482467.htm

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)