现在,笔者发现自己的疑问有很多。对于恶意软件,笔者特别想进行更深入的了解。经过初步研究,笔者将目标锁定在两种木马Zeus和URLZone上。Stewart先生不仅同意这一观点,而且也具备足够的能力。他给笔者留下的最深刻印象是,没有一件事是肯定的,因为它总是处于不断变化的状态中。
不断变化的风险
实际上,尽管这两种木马程序包非常成功,但这并没有让他们的开发人员停止对恶意代码的改进。这种现象,被Stewart先生称之为:“不断变化的风险”。他进一步解释说,网络犯罪也是一种商业模式,为了保证收入来源,坏人也要确保其产品处于正常工作的状态。
这种不断变化的特性使得犯罪软件只能在“事后”才会被确定,这对于安全研究人员来说,是一项艰巨的任务。但是,接下来的一份事件报告显示出一条不同的路线来。不过,笔者认为大家首先要做的还是了解一下Zeus和URLZone的情况。
商业木马软件:Zeus
Zeus是一种采用了模块化程序结构的木马,并且是以商业软件的形式出售:价格需要询问才能得知,不过似乎平均价格在700美元左右。RSA信息安全公司的反欺诈中心已经发现了数百个不同的变种,每个变种每天都感染数以千计的计算机系统。
笔者不知道我们是否应该感到惊讶,Zeus包含有一份最终用户许可协议。赛门铁克的研究人员在对Zeus进行分析的时间发现了最终用户许可协议,并将内容翻译出来,如下图所示:
.png)
1、任何没有拥有发行权的商业公司或者企业不得销售相关的产品。
2、禁止对程序的二进制代码进行分析和复制。
3、禁止利用控制台功能来对其它僵尸网络进行控制或者用于其它任何目的。
4、反病毒公司和其他类似机构没有权力蓄意清除软件中的任何部分。
5、销售方承诺在软件出现错误的时间予以更新,并支持付费获得更多的新功能。
不象大多数最终用户许可协议,这份协议的内容简短而中肯。笔者必须说,在很多通常的最终用户许可协议中,笔者都没有看到过第四点。为了表明他们是非常认真的,开发团队还给出了警告(位于红色框中):
“一旦违反最终用户许可协议的情况被发现,客户将立即丧失所有的技术支持。此外,软件中的二进制代码将被立即传送到反病毒公司。”
二进制代码
刚开始,笔者并不明白该警告的意义,直到了解到Zeus实际上是一个二进制发生器。这意味着Zeus木马的每一个迭代都是不同的。这样就可以降低反病毒签名文件的效果。
银行类犯罪软件
看起来Zeus的开发目的就是从网络银行使用者那里窃取资金。这就是它最主要的功能:
· 检测输入的银行信息。
· 查看实时屏幕截图并远程控制显示器上的显示信息。
· 利用专业的键盘记录工具窃取密码和其他登录信息。
· 对窃取的信息进行加密,并利用即时通讯工具Jabber将信息传送到攻击者的服务器。
Stewart先生指出,Jabber的使用让Zeus增加了一个新层面。它允许犯罪分子实时取得登录凭据。这意味着有可能一次性密码仍然有效。RSA的FraudAction研究实验室对整个过程进行了解释:
1、攻击者利用Zeus木马的一个变种通过在线网络攻击感染到合法用户的计算机。
2、攻击者将窃取的信息发送到Zeus木马所在的服务器。
3、Jabber的即时通讯模块对服务器上的帐户数据库进行搜索,查找具体组织(通常是金融机构)对应的信息。
4、Jabber的即时传输模块将具体的帐户信息通过“发送”帐户进行传送。
5、在被盗用户的系统中,攻击者很快就可以收到来自Jabber“接收”帐户的信息。
6、依靠这些用户信息,攻击者就可以登录到该帐户中并进行欺诈性的资金转移。
笔者原来以为Zeus的自动化程度非常高。但Stewart先生纠正了笔者的错误认识,他指出Zeus在使用过程中需要用户的大量干预。具有讽刺意味的是,这就是为什么Zeus使用效果这么好的原因。网络犯罪分子可以根据新格式、银行在交易过程中的改变灵活地作出调整。屏幕截图加上
推荐阅读
10月19日,上海《青年报》的一篇名为《谷歌数字图书馆涉嫌侵犯500余名中国作家著作权——60美元赔款惹怒中国作家》的报道引起了国民的强烈反响。而站在谷歌侵权案第一战线的就是中国文字著作权协会副总干事——张洪波>>>详细阅读
本文标题:揭秘网络犯罪:他们如何入侵网络的
地址:http://www.lgo100.com/a/01/20111231/255740.html
网友点评
精彩导读
科技快报
品牌展示