E安全7月27日讯 2017年7月，安全研究人员发现新型Ursnif银行木马利用巧妙的技术规避沙盒环境和自动化虚拟机，并根据鼠标移动检测真实用户是否在与计算机交互。

它的总体思路是检测鼠标光标的位置是否会移动，因为在安全测试与恶意软件分析环境中，鼠标光标在整个扫描和分析过程中会停留在同一位置。

提交用于分析的文件通常被重命名为它们的MD5或SHA256哈希值，且仅使用十六进制字符——0123456789ABCDEFabcdef。如果Ursnif发现本地文件包含字母、数字、字符，例如t、R或#，它便知道自己在普通PC上运行。

虚拟机运行少量进程，以及非常少的图形界面进程。如果Ursnif样本发现进程数少于50个，便会停止执行，并思考自己是否在虚拟机内。

Ursnif会获取计算机的IP地址，并将其与安全公司或数据中心（研究人员租赁虚拟机的地方）分配的IP地址列表对照。

Ursnif会检查最近打开的文件数量。虚拟机上最近打卡的文件数量通常很少，因为没有用户使用该系统执行常规任务。

这些只是Ursnif去年部署的其中一些技巧。

如果允许运行宏，Word文档会下载一个DLL文件，该文件会解压成另一个DLL文件，之后解压到第三个安装银行木马的DLL文件。

鼠标移动轨迹不仅可以用来检测是否存在真实操作用户或虚拟机，还能被用来暴力破解第二个DLL文件中的加密密钥，并用来获取第三个DLL文件。总之，Ursnif攻击者惯用这种高超 的技巧。

该版Ursnif最不寻常的部分在于，它重点提取Mozilla Thunderbird电子邮件客户端的联系人和密码，而非专注于窃取特定银行的登录凭证。

Forcepoint研究人员约吉高表示，该样本使用Thunderbird相关功能的原因尚不清楚，这可能是Ursnif攻击者首次尝试此类活动，这可能意味着Ursnif会在今后的版本中涉及更多电子邮件客户端或应用程序。