近日，Canthink网络安全研究员发现了一种名为MnuBot的新型银行木马，它使用了一些非典型技巧在受感染主机上避免检测。

据悉，这个木马是用Delphi编写的，目前仅以传播巴西为目标进行传播，其用来掩盖流量的奇怪技巧引起了Canthink团队的兴趣。Canthink研究人员表示，这种新的银行木马是通过远程Microsoft SQL（MSSQL）数据库来控制的。

这不是典型的做法，大多数恶意软件通过ping远程定制的Web服务器（pinging remote custom-crafted web servers）或Web应用程序来操作，并且仅在极少数情况下恶意软件实际上直接连接到数据库。

而这个新型恶意软件的源代码包含加密的凭证，以连接到远程MSSQL数据库。在受害者的计算机上，恶意软件在与初始化远程服务器的连接之前便动态解密这些值。恶意软件与其C＆C服务器之间的所有通信均以SQL流量的形式出现。这包括查询新命令和命令本身。

“最有可能的是，MnuBot的作者想要逃避基于恶意软件流量的常规防病毒检测，为此，他们决定用看似无辜的Microsoft SQL流量来包装他们的恶意网络通信。”不过这种设计还有其他优点：由于恶意软件会定期从MSSQL服务器检索其配置文件，并且没有使用此数据作为固定代码（hardwired），这使得MnuBot作者随时可以进行全面控制，从而允许他们推动更新，以便与新银行进行瞬间数据交换。

此外，如果MnuBot团队认为安全研究员、银行员工或执法机构正在追踪他们的MSSQL数据库，那么恶意软件就会变得完全没有响应，连研究人员都无法对其进行反向工程，以研究其攻击例程。

MnuBot实际上由两个组件组成：第一部分是首先感染受害者的部分，它的主要作用是检查AppData Roaming文件夹中是否有名为Desk.txt的文件，这种文件的存在表明受害者已经受到感染。如果不是这样，这个MnuBot组件将创建这个文件，并打开一个新的桌面环境，使它将在用户的视图中隐藏起来。

而有关此隐藏桌面的数据存储在Desk.txt文件内，因此第二阶段恶意软件知道在哪里操作，它更类似于全功能远程访问木马（RAT），这是与MSSQL数据库进行通信的组件，根据收到的指令它可以：