四处狩猎的ZeuS木马


        感谢互联网的高速发展,使得我们可以通过网络迅速、便捷地购买商品或服务。我们生活在一个多么美好的时代!生活变得无比便利,你甚至走不出户就可以进行日常购物,或者购买一部游艇,或者在一个遥远的国家置办房产等等,通过互联网可做的事简直数不胜数!今天,通过网络进行证券交易或进行企业交易也已经非常普遍。

        通常,要享受以上各种服务时,我们必须首先登录相应系统,然后选择和确定将钱汇入哪个账号。

        钱啊钱!只要涉及到钱,肯定就会有存心不良的人试图染指。更糟的是,有人会想尽办法将这些不属于自己的钱据为己有。电子货币世界中这种事情屡见不鲜。网络骗子和诈骗者会想尽各种办法窃取他人的钱财,其中最保险的办法无疑是欺骗在线支付系统,让其认为骗子即是某个合法账户的持有人。如果成功,网络诈骗者就可以对受害者账号中的钱款任意处置了。

        最常见的让系统确认某用户为在线支付账号合法授权人的办法是提供用户姓名(或者信用卡号码,或已注册化名等)以及正确的密码(或PIN码、授权代码等)。通常,通过上述信息,系统就可以确认登录用户为授权用户。但是,网络诈骗者是如何获取到用户的这些私人信息的呢?因为他们拥有一种强大的“武器”:木马程序。这些恶意程序仿佛网络罪犯手中的撬棍,能够铲除层层苦难,让网络罪犯获取到他们想要得到的信息,而丢失信息的用户甚至都不知道数据已经被盗。

伺机行动……

        当用户在广阔的互联网世界冲浪时,如果不采取必要的防护措施,很容易就会被恶意程序所感染。这是因为我们所使用的软件以及操作系统都非常复杂,而这些软件或系统也包括了一些脆弱的部分,但未经特殊训练的人是无法看到的。但是,这些弱点在一些特殊情况下却能够导致严重问题或错误。例如,有些数据可能不是软件开发者所提倡的,但这些错误却能够使得被某些人所利用,在用户系统上运行恶意程序。恶意程序种类以及大小各不相同,但最常见的还是木马程序。

        如果用户未经过考虑就点击电子邮件或者即时通讯工具中的链接,或者访问一个未知的网站(有时候可能是知名网站,但已经被恶意程序所攻陷),就面临着将恶意软件下载到计算机上的风险。恶意软件会在用户毫不察觉的情况下,隐蔽地从事恶意行为。为了欺骗用户,让他们认为恶意软件的行为是正常合法的,木马通常会将自身代码注入到系统服务中,或者将自身伪装成重要的系统服务。

        如果计算机本身没有安装反病毒软件的话,一旦木马进入系统就开始运行,并常驻系统。木马功能强大,甚至能够“监视”用户的行为、用户开启的软件以及用户键入以及接收到的各种数据。

        在一些安全警惕性较差的用户所使用的计算机上经常能够发现多种恶意程序,其中最常见的是一种被称为ZBot的木马间谍软件。此名称是ZeuS木马的首字母和单词“bot”的组合,表示此恶意程序是一种网络机器人程序,即能够自动执行任务的程序。而这种恶意程序所执行的任务就是窃取受感染计算机上的个人数据。

危险的特性

        ZBot(ZeuS)家族木马最早出现于2007年,由于此类恶意程序配置简单,而且能够有效地盗取用户的在线数据,使得ZeuS木马成为互联网黑市上传播范围最广,销售量最高的间谍软件。

        让我们仔细分析一下为何此木马造成如此大的威胁呢?下面,我们简要介绍一下此恶意程序在受感染系统中的行为:

  • 任何“记录”于计算机上的信息(例如当你选中“记住我的密码”选项时),都可以被ZeuS木马窃取,这些信息包括账号、密码以及其它各种用户在网上键入的信息。
  • 即使用户未选择让计算机自动记住相关信息,木马还会通过记录用户的击键以及输入顺序的方式来获取用户的在线账户信息,并将窃取到的信息发送到僵尸网络控制中心。
  • 为了阻止键盘输入信息被监视,很多网站都采用了特殊的软键盘输入技术。用户通过鼠标左键点击虚拟键盘上的健进行密码的输入,整个过程在屏幕上可见。针对此情况,ZeuS木马采用一套独特的机制截获用户数据,一旦用户按下鼠标左键,ZeuS木马就开始截屏,这样用户在虚拟键盘上输入的信息都可以被木马所记录。
  • 宙斯木马能够控制所有通过浏览器传输的数据,如果你试图打开一个已经被宙斯木马控制的网站,木马很可能会在用户看到网页内容之前修改网页代码。修改后,网页上会新出现一个字段,要求用户输入一些个人信息。例如,当用户在访问网上银行网站时,要求用户输入用户名和密码或PIN码,由于确信此网站确实是正规的银行网站,用户会毫不犹豫地输入相关个人信息。但是,正规的网站不会向用户索取此类绝密信息,就这样,网络罪犯通过宙斯木马窃取到用户的网银账号。
  • 用户在某些网站注册时,会生成一种特殊的电子签名,用户每次访问该网站时都需要验证此签名。如果你的浏览器中不包含此签名,则无法访问网站的全部功能。如果计算机被宙斯木马所感染,木马会自动查找此类签名,将其发送给黑客。
  • 如果黑客想要利用受感染计算机从事其他非法网络活动(例如发送垃圾邮件),可以利用宙斯木马远程安装各类所需的软件。

        即使用户的计算机目前没有什么值得黑客窃取的数据,网络罪犯也不会轻易放过用户,他们还很可能会利用用户的计算机从事其他网络犯罪活动。

        受感染的计算机会组成僵尸网络,统一受网络罪犯的控制。被控制的受感染计算机就好像人们手中的玩偶,任人摆布。但是,受感染计算机用户通常还毫不知情,不知道自己计算机已经被劫持用来发送垃圾邮件或者偷偷访问其他网络资源。受害者可能被感染数月,也不知道自己被网络罪犯利用了。

变化无常、传播广泛

        ZeuS木马能够非常有效地窃取用户的数据,并且可组成僵尸网络,所以能够被用于多种网络不法行为。这使得ZeuS木马成为网络罪犯首选的做案工具。

        现在,几乎所有从事网络犯罪的人都试图获取此木马。此外,对此木马进行定制,适应不同人的需求也并不复杂。网络罪犯还可以轻易将其加密,阻止反病毒软件的检测。网络罪犯甚至可以在购买此木马时,选择定制一些功能,这使得此木马在黑市中非常抢手。

此类木马的传播范围较为广泛。下图是此木马每月出现的新变种数量统计:

 новое окно
2007年-2010年新发现的ZeuS木马变种数量

        2007年秋季之前,ZeuS木马仅靠其编写者进行销售和传播。到2007年中期,木马作者停止了销售。 但是,到那时候,很多黑客们还是已经掌握了ZeuS木马的基础代码。

        关于僵尸网络的详情,请阅读下面两篇文章:

        一些网络罪犯开始着手修改此木马的代码,传播其变种。从2007年10月开始,ZeuS木马的变种数量开始大幅上升。到2008年,此木马已经形成稳定的客户群。直到当年9月,此木马的活动均没有显著的波动,保持着每月500种新变种的上升趋势。

        ZeuS木马的显著增长出现于2008年末,正好处于全球经济情况全面下滑时期。很多程序员以及高级计算机用户都在经济危机中丢掉了工作。在这种情况下,有人试图通过“不正当”手段在互联网上进行诈骗,从而增加收入,并不出乎人们的意料。那么,他们应该求助于谁呢?不必说,他们很可能会求助于ZeuS木马的销售者,因为这种木马已经被证明非常有效。

        ZeuS木马变种数量于2009年5月达到历史最高,新变种数量达到5,079个。可以试着想象一下,每月有5,000个此木马的不同版本出现于互联网上!如此快速的繁衍,使得ZeuS木马成为恶意程序中的“销售冠军”。由于用来将此木马代码进行加密的算法后来已经被很多人所熟知,很多反病毒系统逐渐能够识别此木马,并且将其加入了反病毒数据库中。

但是,恶意程序作者也在不断升级他们的加密算法,使得这些恶意程序很难被发现。例如,20009年初,恶意程序编写者注意到ZeuS木马的需求量很大,所以决定在最初版本的ZeuS基础上进行一些大的改动。尤其是要改进其加密算法、程序代码以及配置文件。

        ZeuS木马还会定期更改其外观。一旦感染系统,它会利用多个互联网地址进行自我升级。一旦感染计算机上被新的木马变种所代替,以往用于对付旧变种的安全措施将变得无效。面对这种情况,就需要有极快的反应和应对措施,即要求反病毒软件公司的分析人员必须时刻关注这些恶意程序的变化。一旦木马采用了一种新的加密算法,就需要反病毒分析专家快速反应,给出针对此新变种的应对方案。

        ZeuS木马从诞生到现在,已经有超过40,000个变种。从庞大的变种数量以及其用于向僵尸计算机发送指令的不同地址数量(即命令控制中心)来看,ZeuS已然是当前最为流行的恶意程序之一。

感染规模

        要了解ZeuS木马所造成的感染规模情况,让我们先来了解一下被此木马感染后受控于网络罪犯的计算机数量。

        2009年,一篇报告称仅美国就发现有超过360万台计算机感染宙斯木马。这还仅仅是一个大概数据,事实上数量应该会更大。而且,确切统计受感染计算机数量也非常困难,因为就算很多家用计算机用户感染了此木马,也浑然不知。

        2009年初,曾经发生过一起奇怪的事件,当时有大约100,000台计算机突然无法启动,而且都是同一段时间内发生的此类现象。稍后,证实这些计算机曾经被ZeuS木马所感染,组成过僵尸网络,计算机无法启动是因为僵尸网络控制中心向计算机发送了指令,摧毁了计算机的操作系统(这是事实——ZeuS木马能够实现这些功能)。相关专家一直试图解开此次事件发生的原因,最终认为有两种可能:(1)僵尸网络的命令控制中心被某个黑客攻陷,此黑客发送了摧毁计算机系统的指令,目的是陷害此僵尸网络的“主人”。或者(2)此指令是由僵尸网络主人自己所发送,因为其已经获取到了他想要得到的信息。如果是后一种情况,网络罪犯可能是想为自己争取更多的时间从窃取到的用户账户中洗劫钱款,因为这时候受害用户们可能正在忙于修复被损坏的系统。但是,第一种可能发生的几率则更大一些。为什么呢?事实上,当时有某个ZeuS僵尸网络运营者在网上相关论坛寻求过帮助,询问如何保护自己运营的僵尸网络不被未授权访问。因为其他黑客入侵了他的僵尸网络控制中心,造成他失去了对上万台计算机的控制。(这类事件在黑客圈内很常见。)此外,令人惊奇的是,此网络罪犯似乎对这次损失不以为然,因为他又迅速建立了两个僵尸网络,其中分别包含超过30,000台和3,000台受感染计算机。

        最近被检测到由ZeuS木马组成的大型僵尸网络名为Kneber,位于美国,于2010年2月被确认。经研究发现,此僵尸网络控制的计算机遍布196个国家2,500个不同组织,总计算机数量大约为76,000台。

        当然,这也仅仅是冰山的一角。被ZeuS木马感染的个例经常又引发出成千上万的被感染计算机,预计所有被ZeuS木马所感染从而组成僵尸网络的计算机总数超过百万。

“首选域名”

        每个ZeuS配置文件中都包含一些互联网地址,木马会监视这些网址。一旦用户感染配置文件中包含的网址并且输入数据时,ZeuS木马会将这些数据截获,并发送给网络罪犯。

        卡巴斯基实验室在对三千个宙斯木马配置文件分析后发现这些地址是有规律的。

        我们将这些地址分为几大类,从而确定此木马最常用的域名类型,如下所示:

 новое окно
最易遭受ZeuS木马攻击的域名

        可以看到,最容易遭受攻击的是一些国际域名如.org和.com,这些域名大部分都掌握在一些组织或者大型公司手中。

        何种类型的.com网站最容易遭受ZeuS的攻击呢?木马又是在用户访问那些网站时截获数据呢?以下是14个最易遭受攻击的国际网站:

 новое окно
最容易遭受ZeuS攻击的.com域名

        在最易遭受恶意攻击的11个.com域名资源中,只有3个不是银行这类的相关金融机构,而是商业互联网服务提供商。其中,Paypal.com利用信用卡和借记卡的形式可以将在线支付中的虚拟货币同现实货币联系起来。同PayPal类似,E-gold.com也允许用户建立虚拟支付的账号,用于在网上进行黄金和其他贵重金属交易。eBey.com则是一个非常流行的在线拍卖网站,同样使用在线账号让用户对商品拍卖。余下的网站则是一些洲际银行,同样提供互联网银行服务或其他类型的在线银行服务(允许用户在线管理自己的银行账户)。

        最易遭受恶意攻击的国家域名分别为于西班牙和英国注册的域名。由于这些国家所拥有的在线金融管理服务最多,所以最能引起网络罪犯的注意。这两个国家分别拥有大约20个银行业务相关的网站,这些网站的用户访问量差别也不大,而其他国家仅有少量此类网站注册本国域名。

        但是,上述数据也不能表明西班牙和英国的网络罪犯数量比其他国家的多。事实上,网络罪犯更倾向于窃取其他国家公民或者组织的钱财,虽然盗窃案发生地是在本国的管辖范围,但要将居住在另一个国家的罪犯送上本国的法庭,执法机构必然会遇到法律上的阻碍。

受灾严重的地区

        除了容易遭受攻击的URL地址外,我们还收集了木马感染来源以及被窃信息被发往的互联网地址数据。经过分析,我们绘制了一幅ZeuS木马服务器的地理分布图,如下:

 новое окно
ZeuS木马服务器分布图

        如图所示,这些被用来充当僵尸网络服务器的地址遍布全球。但是相对来说,网络罪犯更倾向于将这些服务器设在欧洲、北美、俄罗斯以及中国地区。原因很简单,因为这些国家都具有一个共同点,即互联网托管服务较为发达。


ZeuS僵尸网络命令控制中心最为集中的区域

        通常,要确定网络罪犯的地理位置非常困难,而且也并非特别重要。“恶意程序编写者”的概念也不具备任何地域或国界区别。所谓的“恶意程序编写者”有可能来自瑞典、中国或阿根廷,而他可能此刻正坐在火奴鲁鲁的某个咖啡厅。他从事网络犯罪所注册的网站域名有可能是.ru(例如microsoftwindowsxp.ru),但这个域名的服务器却隶属用意大利的互联网服务提供商。

保护措施

        那么,有什么简便的方法可以保护我们的计算机不受ZeuS木马的侵害呢?下面是一些很实用的技巧,其实读者们应该可以发现,这些技巧主要还是一些标准的互联网安全守则。

        首先,永远不要轻易打开陌生人发送的未知链接,包括即时通讯工具或电子邮件中的链接,不管其表面看起来如何安全或者具有迷惑性。网络罪犯通常都精通基本的心理学,经常会利用普通用户的弱点或天真,诱使他们访问自己控制的恶意网站。此外,还经常能够看到URL地址通过调换字符伪装成常见的合法的网络地址的情况,例如:hxxp://www.vkontkate.ru. 这种欺骗手段近期很常见。所以,当你遇到一些包含‘Abibas’田径服或者‘Panascanic’音箱信息的时候,一定要谨慎,不要被网络罪犯所欺骗。

        又是,我们所接收到的信息中可能会包含一些中性文字,表明看上去很像是输入所发送的,例如:“Hi!周末的旅行还好吧?我告诉你一条不可思议的消息,点击:http://rss.lenta-news.ru/subj/vesti.exe”。请注意这类信息末尾的.exe文件后缀,这表明此文件是Windows操作系统下的可执行文件。表明上看,此链接指向的网站应该是一个新闻网站,但如果你点击了此链接,访问的却是恶意网站。而且不仅仅可执行文件,其他文件包括.pdf(Adobe Reader)、.ppt(微软Power Point)、.swf(Adobe Flash)以及其他一些格式的文件都可能包含恶意程序。这类格式的文档通常结构复杂,打开的时候需要复杂的程序运算。此外,这类文档的开发者赋予了此类文档添加程序代码的机制(例如javascript)。网络罪犯可以在此类文档中植入数据,造成用户在打开这些文档时程序发生错误,从而让恶意程序有机会在计算机上运行。如果你安装的反病毒软件,并且经常定时更新,则可以很好的保护自身安全。因为反病毒软件会检测到程序或文档中的威胁,阻止恶意程序启动。或者程序开发者发现程序的漏洞,会通过反病毒软件及时提醒用户安装补丁。

        在电子邮件、MS Word文档或者其他类似的文档以及网页中,一个链接的真实地址往往会被隐藏。用户能看到的仅仅是该链接的简单介绍,而这些介绍内容取决于链接发送者,他可以选择任何显示内容,以达到吸引用户点击的目的。这种情况下,要查看真实的地址(虽然地址也可以假冒),只有将鼠标放置在链接处才能显示出来,或者会显示在浏览器的底端。 如果通过这两种方式都无法产看真实链接地址,可以查看一下链接的属性。如果你不确认此链接具体指向哪个网站,最好还是不要点击!

        你是否很习惯自己的操作系统呢?它记录了很多你的信息,帮助你处理很多事情。每次你使用时,系统不会频繁要求你确认,或者每次操作时都提示你输入密码,你可以很快速地访问到自己的数据。对于你的系统,你感觉到非常熟悉,并且对其上面运行的程序也非常信任。但如果上面有一个恶意程序,那么所谓的安全感就完全没有了。网络罪犯通过恶意程序同样可以快速地访问到你的数据,给用户造成损失。例如,任何你所使用的浏览器“记住”的信息,都可以被恶意程序所访问。而且实际上,系统越方便,遭受攻击的风险也越大。所以,我们强烈建议用户尽量不要使用浏览器的“记住密码”等之类的功能。

        此外,还建议用户关闭浏览器的运行Javascript脚本选项或者在frame/frame窗口中打开任意文件的选项。当然,这样会牺牲用户浏览网页的性能,但是安全和性能不能两全。当然,对于完全信任的网站,用户还可以再开启此功能。同时,我们也建议关闭Adobe Reader中的Javascript选项。

        目前,主要有两种方式可以确保在线支付的安全。第一种是通过电话对在线支付进行确认。所以,支付成功除了需要登录名和密码外,还需要一个电话号码。这样,使得网络罪犯很难获取到你的钱财。网络罪犯如果想要从事不法行为,除了要窃取你的用户名和密码外,还必须要获取到你的电话号码,这一步是很难通过互联网实现的。这种保护手段听上去很奇怪,并且确认方式也相对简单,但是此方法应用却不广泛。另外一种方式主要被银行所广法使用,即发放给用户(即银行客户)U盾(一种USB设备)。在进行在线交易时,必须将U盾连接到计算机上,从而确认使用网上银行的是客户本人。但是应该明白,这些U盾所采用的加密技术都相似,总有一天网络罪犯会破解这种基于USB的设备。

        最后,我们希望您能够享受安全的网络生活,享受科技以及互联网带来的各种便利。同时,我们也提醒用户一定要保持警惕性,了解必要的安全常识,就好像我们在日常生活中应该注意的一样!



 

2010年4月30日