近日，卡巴斯基发现了一个针对银行网站的新恶意软件Neverquest。通过在银行网站上植入插件代码，如果用户在IE或者火狐浏览器上访问银行网站，Neverquest能够攻击约100个银行。而且使用VNC或者其他方法，Neverquest可以攻击任何国家的任何银行。它支持在线银行攻击使用的每种方法：网页植入，远程系统访问，社会工程等等。

Neverquest的主要功能在使用安装在系统的一个附加程序（如木马下载器或者木马植入器）的动态函数库中，这种程序在%appdata%文件夹下安装某个扩展名为.DAT（比如qevcxcw.dat）的函数库文件。因为在注册表“Software\Microsoft\Windows\CurrentVersion\Run.”下添加了“regsvr32.exe /s [path to library]”，这个函数库会自动运行。然后，该程序开始从这个函数库中启动唯一的导出命令，初始化恶意程序。该程序查看电脑中是否已经安装它的副本，如果没有，它会启动VNC服务器，给命令中心发送第一个请求，以收到一个配置文件。配置文件通过一个由aPLib函数库压缩包打包的密钥加密，然后传送给命令中心。配置文件有一组恶意JavaScript文件和一个网站列表，当启动IE或者火狐浏览器时，将安装相应的脚本。

当用户在受感染的电脑上访问列表中的某个网站，Neverquest会控制浏览器与服务器的连接。在获得用户在线银行系统账号后，黑客使用SOCKS服务器，通过VNC服务器远程连接到受感染的电脑，然后进行在线交易，将用户的钱转移到自己账户，或者为了避嫌，转移到其他受害者账户。

在所有被Neverquest盯上的网站中，美国富达投资集团旗下的fidelity.com最受瞩目，该公司是全球最大的互助投资基金公司之一，它的网站为用户提供很多方式管理在线财务。这让恶意用户不仅能够将现金转移到自己的账户，还能通过被Neverquest攻击的受害者的账户和钱财进行股票交易。

在2009年，卡巴斯基实验室检测到恶意软件Bredolab，Neverquest使用和它一样的自我复制方法。它有三种传播方式：1.Neverquest有很多数据，它们通过某些程序访问FTP数据库。这些程序窃取数据后，黑客使用Neutrino利用工具包，进一步传播该恶意软件。2.Neverquest使用用户邮件客户端，在SMTP/POP会话期间窃取数据。黑客通过这些数据，大量发送包含木马下载器附件的垃圾邮件，然后安装Neverquest，这些邮件看起来特别像不同服务提供商的官方邮件。3. Neverquest通过访问很多流行的社交网络服务账户窃取数据。

图：Neverquest恶意程序的传播方法

在11月初，卡巴斯基实验室发现在黑客论坛有帖子讨论买卖数据库以访问银行账户，和其他可打开和管理账户的文件，黑客将被窃钱财发送到这些账户。11月中旬，卡巴斯基实验室在全球发现了几千个可能的Neverquest感染案例。这种新威胁比较新鲜，黑客还不能完全利用。但鉴于它的自我复制功能，受害用户在短期内可能会急剧增多。圣诞节和元旦假期的前一周通常是恶意用户活动的高发期。年末，预计可能会有大规模Neverquest攻击，使用户遭受在线现金盗窃。

恶意软件层出不穷，之前像ZeuS和Carberp这样占据主导地位的恶意软件大肆流行，导致用户惨重损失，最近又出现Neverquest。面对重重威胁，卡巴斯基提供独特的Safe Money技术，保证网上金融信息安全。无论用户何时登录网上银行、网上支付系统网站或网上购物网站，Safe Money都可保护资金和个人信息安全。目前Safe Money已经集成到卡巴斯基个人版产品：卡巴斯基安全软件2014和卡巴斯基安全软件多设备版中，而卡巴斯基对于金融企业也有对应的保护产品。