宙斯金融恶意软件已经更新P-P(对等)的功能,使得更具弹性,采取向下努力,并给出了其控制器在如何运行他们的欺诈经营的灵活性。
臭名昭著的银行木马程序的新版本被发现和分析由瑞士安全专家 Roman Hüssy,abuse.ch宙斯和SpyEye跟踪服务的创造者。
一年前,从反病毒厂商趋势科技的安全研究人员设法配成LICAT链接文件感染宙斯,得出结论,它作为一个交付平台的木马,目的是延长其感染。
LICAT使用一种特殊的算法生成随机的域名,以类似的方式更新Conficker蠕虫的目的。它的创造者事先知道哪些域的恶意软件会检查某一特定日期,可以注册他们,如果他们需要分发一个新的版本。
一旦安装在计算机上,宙斯的新变种查询一个硬编码IP地址对应于其他受感染的系统。木马下载更新从他们的IP设置,如果这些计算机同时运行的新版本,它自我更新。
宙斯是一个地下市场上最古老和最流行的犯罪软件工具包。直到今年该木马可能只有被收购的大笔资金从原来的作者。然而,几个月前的源代码网上泄露,现在任何人都可以用正确的知识创建的恶意软件的变体。
Hüssy认为,这个新版本是一个自定义生成一个特定的诈骗团伙或一个网络犯罪集团的极少数使用。幸运的是,变种仍然依赖于单个域接收命令,并提交数据被盗,这使研究人员能够暂时劫持的僵尸网络,至少要等到更新的P - P系统通过使用另一个域。
使用这种方法,这是作为sinkholing,Hüssy计数在24小时内的10万个唯一的IP地址。这并不反映的僵尸网络的确切规模,因为感染局域网中的计算机可以在互联网上使用相同的IP,而另一些可能获得新的IP地址,每次重新启动他们的互联网服务提供商分配给他们。
据最近的一份报告,从安全厂商Trusteer,Zeus和SpyEye是金融机构所面临的最大威胁,该公司估计,宙斯的感染人数超过SpyEye的四分之一。