Hackernews编译，转载请注明出处：

...

据外媒报道，日前，微软发出警告，称大规模恶意软件运动正在目标对准终端用户的银行资料。微软指出，作为使用Emoter恶意软件新运动的一部分，大量带有数百个独特附件的电子邮件被发送给用户。据了解，Emotet银行木马最早是在2014年被安全研究人员发现的。

...

据外媒 11 月 18 日报道，网络安全公司趋势科技（Trend Micro）研究人员于近期发现银行木马 Emotet 出现新型变种，能够规避安全检测的同时窃取银行凭证等用户敏感信息。

Emotet 又名 Geodo，是目前流行的一款银行木马，首次曝光于 2014 年 6 月，其主要以 “ 嗅探 ” 网络活动窃取用户私人数据闻名。随着开发人员的不断优化，其影响规模可与 Dridex 和 Feodo 媲美。Emotet 主要通过附带恶意链接的垃圾邮件进行肆意分发，一旦用户点击触发后攻击者将可通过该恶意软件窃取用户重要凭证。

研究显示，黑客可通过恶意软件 Emotet 的 "dropper" 模块接口 "RunPE" 访问系统网络的基本输入输出流程、设备用户名称，以及系统上存储的特定文件。不过，由于 RunPE 的利用太过频繁，因此开发人员改用一条鲜为人知的 CreateTimerQueueTimer 接口，从而规避安全软件检测。

CreateTimerQueueTimer 是一个 Windows 应用程序编程接口（API），其主要为轻量级对象创建队列以便在指定的时间内选择回调函数。此外，该 API 接口允许 Emotet 每秒执行一次操作，从而检测该恶意软件是否运行于沙箱之中以规避安全监测。据悉，银行木马 Hancitor 和 VAWTRAK 早已利用该接口开展攻击活动。

...