美國已將創造Vawtrak(又名NeverQuest或Snifula)惡意軟件的黑客Stanislav Vitaliyevich Lisov驅逐回俄羅斯。

俄羅斯男子Lisov曾利用Vawtrak盜取了數百萬張證件，還包括這些證件的用戶名、密碼以及一些密保問答等信息。

Vawtrak是一種強大的新變種軟件，被研究人員認為是全球系統最危險的惡意代碼之一，它可以不留痕跡地竊取我們的個人信息，隨意訪問我們的網上銀行和其他金融賬戶。

讓我們來看一看AVG公司的研究員Jakub Kroustek對這個變種軟件Vawtrak的詳細分析：

Vawtrak是通過在Tor網絡上分布的加密圖標發送和接收數據，以竊取財務信息，FTP憑證，私鑰并從受害者的PC中隱藏(將更新文件藏在網站圖標中，每個圖標約為4 kB)其活動來執行銀行交易，然后通過惡意軟件下載器(例如Zemot，Chaintor)，漏洞利用工具包或通過偷渡式下載(例如垃圾郵件附件或惡意鏈接)感染受害者。

AVG檢測到Vawtrak可以采用多種方法來竊取受害者的密碼(例如：第一種方法基于監視Web瀏覽器發送的數據;第二種方法由Pony密碼竊取模塊提供);并使用Tor2Web代理從其開發人員處接收更新,從安全的角度來看，通過使用Tor2web代理，它可以訪問Tor上隱藏的Web服務來托管更新，而無需安裝Torbrowser等專業軟件，此外，Vawtrak與遠程服務器的通信是通過SSL完成的，這進一步增加了操作的隱秘性。

在進入受害者的機器后，Vawtrak將會執行以下操作：

• 禁用防病毒保護
• 與遠程C&C服務器通信
• 從遠程服務器執行命令，發送被盜的信息
• 下載其自身的新版本和Web注入框架
• 將具有標準API的函數注入到新流程中
• 竊取密碼，數字證書，瀏覽器歷史記錄和cookie
• 記錄擊鍵
• 在AVI視頻中捕獲用戶在桌面上的操作
• 打開VNC11(虛擬網絡計算)通道，遠程控制受感染的計算機
• 創建 SOCKS12 代理服務器，通過受害者的計算機進行通信
• 更改或刪除瀏覽器設置(例如禁用Firefox SPDY13)和歷史記錄

[[331140]]

這樣黑客就可以利用Vawtrak成功控制受感染的設備以登錄受害者的在線銀行帳戶，然后將資金轉入該帳戶并進行一些線上交易活動。 

Vawtrak支持在 Internet Explorer，Firefox和Chrome三種主要瀏覽器中運行，其中在加拿大，捷克共和國，美國，英國和德國受到Vawtrak惡意軟件的感染較多。

對于此類惡意軟件的威脅，建議大家首先在電腦上安裝信譽良好的安全防護軟件，此外應該將它保持在最新版本以防止安全漏洞，最后請遠離非法網站，刪除來自不明人士的郵件，以及不要理會提出幫你更新 Java、Flash Player 及相似程序的通知。

這次事件跨度很長，早從2012年6月開始，Lisov就一直運營著Vawtrak，并且管理著數百萬個登錄憑據被盜的服務器，Lisov和他的同謀利用Vawtrak至少竊取了440萬美元。

Lisov于2017年1月在西班牙被捕，一年后他被引渡到美國。終于在2019年11月，他對有關使用惡意軟件獲取銀行憑證和從銀行帳戶中竊取資金的指控認罪，于是在美國紐約南區被檢察官杰弗里·伯曼(Geoffrey S.Berman)判處4年的監禁和3年的有監督釋放，并被勒令沒收5萬美元且支付近一百萬美元的賠償。

今年6月10日Lisov從賓夕法尼亞州的一所監獄被轉移,并在移民拘留所拘留了6天，然后他于6月16日被送到紐約肯尼迪國際機場，登上了飛往莫斯科的航班。

俄羅斯駐紐約總領事館發言人阿列克謝·托波爾斯基(Alexei Topolsky)表示：“Lisov抵達謝列梅捷沃國際機場時沒有帶手銬，他的妻子達里亞·利索娃(Darya Lisova)早已在機場等待，并歡迎他回家。”