新版师傅银行木马出来了 这次主要是更新了漏洞利用方式CVE-2016-0167

师傅银行木马是一款Windows恶意程序，在 2015 年首次发现。师傅基于 Shiz 源代码构建，使用了 Zeus 所使用的技术。攻击者使用师傅在全球各网上银行网站窃取证书凭据，最早在俄罗斯，后来日本、英国、 意大利和其他国家也发现了它的身影。

Arbor Unit 42 研究发现，师傅作者已经在 2016 年更新了这个银行木马恶意软件。师傅银行木马现已加入多个新技术，用于感染更多的计算机，同时规避微软 Windows 系统的检测。其中包括︰

• CVE-2016-0167 Microsoft Windows 权限提升漏洞来获得系统级权限。早期版本的师傅利用 CVE-2015-0003 实现相同的目标
• 使用一个 Windows atom以确定当前主机是否已经感染了师傅，以便与以前版本使用互斥
• 使用“push-calc-ret” API 混淆隐藏恶意软件分析的函数调用
• 使用附加的 Namecoin .bit 域

师傅银行木马的基本功能

最初发布的师傅银行木马具有如下功能

• anti-reseach，anti-VM和anti-sandbox；
• HOOK 浏览器和web 注入解析器；
• 键盘记录；
• 屏幕截图；
• 证书采集；
• 端点分类，监控感兴趣的应用程序；
• 远程控制和bot-control模块。

详细分析见 http://researchcenter.paloaltonetworks.com/2017/01/unit42-2016-updates-shifu-banking-trojan/