近日,著名安全厂商卡巴斯基实验室发表了一篇技术分析文章,详细分析了一种名为“宙斯”(ZeuS)的木马所引发的互联网疫情。宙斯木马是一种传染性非常强的恶意软件,在全球各地的计算机上都能够看到它的身影。由于ZeuS木马易于传播,并且能够非常方便地窃取受感染用户的在线数据,尤其是网上银行账户等信息,这使得ZeuS木马成为互联网黑市上销售量最高的间谍软件之一。
宙斯木马最早出现于2007年,经过多年的发展,已经变得非常强大,它使用简单,且易于盗取在线数据,因此成为了很多网络犯罪分子进行网络犯罪的首选恶意软件。那么此恶意软件具体有何等强大之处呢?我们简要总结如下:
重大危害:
l 计算机上记录的所有信息都可以被宙斯木马窃取(例如当你选择记住密码时),这些信息包括账号、密码以及其它各种用户在网上键入的信息。
l 即使用户未选择让计算机自动记住相关信息,木马还会通过记录用户的击键以及输入顺序的方式来获取用户的在线账户信息,并将窃取到的信息发送到僵尸网络控制中心。
l 为了阻止键盘输入信息被监视,很多网站都采用了特殊的软键盘输入技术。但是,宙斯木马却能够在用户点击鼠标的时候截取屏幕,从而截获用户输入的信息。
l 宙斯木马能够控制所有通过浏览器传输的数据,如果你试图打开一个已经被宙斯木马控制的网站,木马很可能会在用户看到网页内容之前修改网页代码。修改后,网页上会新出现一个字段,要求用户输入一些个人信息。例如,当用户在访问网上银行网站时,要求用户输入用户名和密码或PIN码,由于确信此网站确实是正规的银行网站,用户会毫不犹豫地输入相关个人信息。但是,正规的网站不会向用户索取此类绝密信息,就这样,网络罪犯通过宙斯木马窃取到用户的网银账号。
l 用户在某些网站注册时,会生成一种特殊的电子签名,用户每次访问该网站时都需要验证此签名。如果你的浏览器中不包含此签名,则无法访问网站的全部功能。如果计算机被宙斯木马所感染,木马会自动查找此类签名,将其发送给黑客。
l 如果黑客想要利用受感染计算机从事其他非法网络活动(例如发送垃圾邮件),可以利用宙斯木马远程安装各类所需的软件。
也就是说,即使用户的计算机目前没有什么值得黑客窃取的数据,网络罪犯也不会轻易放过用户,他们还很可能会利用用户的计算机从事其他网络犯罪活动。受感染的计算机会组成僵尸网络,统一受网络罪犯的控制。普通用户很可能感染此木马几个月,也毫不知情。
定制性强,感染量大
由于宙斯木马能够有效收集个人数据,组成僵尸网络,所以能够被用于多种网络不法行为。几乎所有从事网络犯罪的人都试图获取此木马。此外,对此木马进行定制,适应不同人的需求也并不复杂。网络罪犯还可以轻易将其加密,阻止反病毒软件的检测。网络罪犯甚至可以在购买此木马时,选择定制一些功能,这使得此木马在黑市中非常抢手。
下图是2007年至2010年2月不同月份新出现的宙斯木马新变种数量:
2009年,美国发表了一篇报告称仅美国就发现有超过360万台计算机感染宙斯木马。这还仅仅是一个大概数据,事实上数量应该会更大。而且,确切统计受感染计算机数量也非常困难,因为就算很多家用计算机用户感染了此木马,也浑然不知。最近被检测到的宙斯木马组成的大型僵尸网络名为Kneber,位于美国,于2010年2月被确认。经研究发现,此僵尸网络控制的计算机遍布196个国家2,500个不同组织,总计算机数量大约为76,000台。当然,这也仅仅是冰山的一角,还有大量已感染计算机未被确认。
除了传播数量大外,宙斯木马的传播范围也非常广泛。每个宙斯木马配置文件都会标识出木马入9
7
3
1
2
4
8
: