尽管不是新的木马，但以其主要的可执行文件_qakbot.dll命名的Qakbot木马，却具有一些之前很少在金融犯罪软件中出现的独特属性。对于金融企业而言，Qakbot不再只是一笑而过的事。

　　我们对Qakbot的最新研究表明，它的触发列表几乎完全包含了美国的大型金融机构，还有几个非美国机构的实例。此外，Qakbot还是第一款“偏爱”这些金融机构企业/公司账户的木马。Qakbot为什么要局限于此?为什么不扩大到公司账户之外，侵害普通消费者?答案就是经济，Qakbot的目标就是骗取更多的金钱，而这要远远超过一般私人网上账户中能够获取的金额。虽然Qakbot并不是第一款也不是唯一一款针对这些账户的木马，但它却是唯一一款在设计上严格表现出有这类“偏爱”的木马。

　　到底什么是Qakbot?

　　Qakbot木马究竟是如何从企业银行账户中获取金钱的?目前仍在调查之中。令人惊讶的是，我们并没有追踪到HTML或JavaScript代码注入，也没有追踪到通常用于规避保护这些高资产账户的双因素认证机制的浏览器中间人攻击。不过，我们怀疑Qakbot确实有某种可实时完成攻击的模块，否则它就不会针对企业账户了。

　　Qakbot木马的另一个独特属性就是它的扮装。 Qakbot是终极多面手，它设计成像蠕虫一样的传播，每次可以感染多台机器，同时却又像普通的银行木马一样窃取数据。Qakbot将共享网络作为其攻击目标，同时其把可执行文件复制到共享目录中;而一种能让其在企业网络上传播的技术，使每台连接到此类网络的计算机都极易受到攻击。虽然它并不是完全原创的，但蠕虫/木马的结合却是非常罕见和有效的。

　　Qakbot还是一个组织发电机。它是第一个在客户端侧将目标凭证从其他窃取的信息中分离出来，而不是放在卸放区的木马。在受害者计算机上将目标凭证与其他信息区分开之后，目标凭证就被发送到Qakbot的卸放服务器，而Qakbot没有特别针对的、从实体窃取的凭证，则利用劫持的FTP账户上传到合法的FTP服务器上。

　　Qakbot所窃取信息的绝对数量及其细节令人咋舌。每次受感染的用户访问实体网站时，木马就会将受害者计算机上传输的数据组织到3个独立的文件中：系统信息(IP地址，DNS服务器，国家，州，城市，安装的应用软件等;见图1 )，Seclog(HTTP/S POST请求;见图 2)，和受保护存储区(保存在Internet Explorer受保护存储区中的信息，以及自动完成的凭证，包括用户名，密码，以及浏览器历史;见图 3)。这些文件按每个用户进行组织，同时连同全面的系统和用户账户信息。何必为每台受感染计算机上定义的每个用户账户汇集如此广泛的系统数据?所有的这些信息很可能由Qakbot的作者汇集起来以备将来之用。

　　Qakbot木马迄今为止最著名的受害者是英国公共资助的医疗保健系统国家卫生服务(NHS)。Qakbot感染了超过1100台电脑，但却没有证据表明病人数据遭到了侵害，来自Facebook，Twitter，Hotmail，Gmail和雅虎的4GB的个人资料被发现通过NHS受监控的服务器传出。