根据theVerge报道,俄罗斯的一种恶意软件在高峰时期劫持了50万台电脑。它可以记录这些电脑上的所有操作,干各种坏事。例如截获银行密码,组织僵尸网络等等。这个恶意软件在网络上潜伏了多年一直未被发现,直到近日,由安全公司Proofpoint 的Wayne Huang 发现了这个恶意软件和它背后的利益组织。
Huang 老师公布了他的调查结果,并且全面分析了这个利益组织的结构。如图,从安全突破到钓鱼欺诈,每个环节都牵涉了不同的利益人和组织。这当然不是一个新的僵尸网络结构,但是Huang 提供的资料还是可以让人们脑洞大开,从中窥视到我们计算机网络的一些隐患,以及这种组织的战略。Huang 说:“他们很少做大规模的黑客工作,他们不掀起大浪,所以也很少有人发现。但是他们却因此,建立起一个巨大的僵尸网络。”
这个利益组织的第一步,是向黑客购买一些网站管理员账户。有了这些账户之后,接着他们会给网站添加木马病毒,连网站管理员本身也无法察觉。这样,一些普通的网站,就变成了这个组织的钓鱼网站,从这里该组织可以获得一些用户的信息,并且还会主动监视银行密码。
作为被病毒网站的管理员,他们实际上不知道自己的网站已经被感人病毒。
大部分被感染的网站还是会进行反病毒扫描,但是都没有效果。该组织在添加木马之前,会检查一个名为Scan4U 的数据库,从而避开反病毒扫描。如果被反病毒扫描发现,这个组织也会及时修改病毒代码,以确保躲过扫描。简单的说,他们会不断的与反病毒竞争,力图在反病毒库更新之前,进行更新。
同时,该组织还会分析钓鱼网站来访用户,如果发现该用户是一个反病毒专家(例如Huang 老师)或者反病毒扫描机器人的话,他们会对这些用户和机器人进行隔离,提供给他们未安装病毒的网站版本进行访问。该组织也有一分内部的“黑名单”,里面有各个安全公司的IP 地址,反病毒机器人的特征等等。
最后,当该真正的钓鱼用户上钩时,病毒会向他们进行进行渗透,使用各种计算机漏洞,例如PDF、Java、Flash、IE等等劫持这些个人电脑,最终形成可怕的僵尸网络。
不过,该组织也不是完全密不透风的。Huang 老师也找到了一些突破点,得到了一些证据。简单的说,这就是一个斗智斗勇的过程。Huang 老师成功的在组织发现他,并且屏蔽他之前取得了一些证据。但,目前来说证据有限,还不足以很快让这个组织暴露出真面目,并且绳之以法。Huang 说:“我希望有更多的人看到我这份报道,特别是那些网站管理员,他们有时候不太相信自己的网站已经被注入木马。”
[oioi via theverge]