新的"Dyer“恶意软件如何绕过SSL？

Question

显然，新的戴尔恶意软件正在绕过SSL来刷银行凭证。我读到，它使用"process“连接浏览器，并在数据加密并发送到银行服务器(使用初始SSL握手中的密钥)之前查看数据。有人能详细说明这是如何实现的吗？这是在相同的威胁级别，一个键盘记录器捕捉你的击键，还是更隐蔽和危险？

Answer 1

当应用程序“使用SSL”时，它实际上加载了实现协议的系统DLL。每个进程都在其地址空间的特定区域中维护它已经加载的DLL列表以及它已经加载的位置(这是在动态链接器的管理下)；一个可以以足够的本地权限在您的系统上运行的恶意软件只会插入这些内存结构，以便当应用程序想要加载SSL实现时，它实际上被重定向到一个恶意软件控制的DLL。恶意软件将忠实地将所有调用转发给真正的SSL实现DLL，但也会保留数据的副本。

所有这些操作都在RAM中，因此不会留下永久的痕迹。当然，恶意软件仍然必须“在那里”，并且它想要抵抗重新启动，所以它通常会在某个地方留下一个钩子，修改系统DLL或可执行文件，以便在机器重新启动时再次调用它。

(没有人知道为什么任何特定的漏洞或恶意软件都会突然成为十年来最重要的新闻，并引发全球恐慌，而数十种类似甚至更危险的病毒只是从少数专家的集体"meh“飞来。“心血来潮”是一个很好的例子，一个错误正在以不可察觉的理由病毒传播。)