2009-03-20 01:21:08
RSA FraudAction研究實驗室根據對Sinowal木馬,也稱為Torpig和Mebroot,進行的跟蹤和研究,結果另人大吃一驚,這可能是欺詐者曾經創建的最普遍和最先進的犯罪軟件。
最近我們發現,追溯到2006年2月,Sinowal木馬已經破壞並竊取了大約30萬個網上銀行帳戶的登錄憑証,以及相同數量的信用卡和借記卡。其他如電子郵件和眾多網站的FTP帳戶等信息,也受到了損害和盜竊。
Sinowal一直是業內謠言和猜測的話題,但關于其來源地信息卻知之甚少。人們通常更了解其他木馬程序的來源。有的聲稱,它是俄羅斯網上團伙擁有和操縱的,即臭名昭著的俄羅斯商業網(RBN)。我們的數據証實了Sinowal木馬在過去確實與RBN有著極為緊密的聯系,但我們的研究表明,目前Sinowal的托管設施可能已經發生了變化,不再與RBN有關。
那麼,為什麼Sinowal對于連接互聯網的用戶來說,是最為嚴重的威脅之一?
簡而言之,Sinowal在沒有任何痕跡的情況下感染受害者的電腦。Sinowal背後的犯罪分子不僅創建了極其先進的惡意犯罪軟件,而且還維護著一個極其隱蔽和可靠的通信基礎設施。這個基礎設施已經讓Sinowal收集並傳送了將近三年的信息。此外,盜竊的數據在一個組織良好的數據倉庫中得到了系統的組織。近三年的時間,對于一個網上團伙維持其生命周期和操控,以有效利用一個木馬程序來說,已經是一個非常非常長的時間了。
我們很少遇到自2006年以來,一直在不斷竊取和收集個人信息和支付卡數據的犯罪軟件。除了其漫長的生命期外,Sinowal也有著巨大幅度的演變──它的攻擊率從今年的3月到9月有了急劇的攀升。
Sinowal木馬的創建者會定期發布新的變種,並登記成千上萬的互聯網域名作為其通信資源。這樣做的目的是為了能使木馬不間斷地掌控受感染的計算機。
Sinowal如何運作的研究成果
如同其他木馬,Sinowal使用了HTML注入功能,有效地將新的網頁或信息字段注入到受害者的互聯網瀏覽器──而這些注入的內容對受害者來說,看起來像是合法的網頁。比如,Sinowal能夠假冒對不知情的受害者提示輸入個人信息,如社會安全號碼和其他詳細信息,而他們的銀行卻在以前承諾過永遠不會要求在網上提供這些個人信息。即使這樣的提示並不是盜竊憑証和其他信息的新方法──對我們危害最大的是那些導致Sinowal實際啟動這一提示和其他功能的大量URL“觸發器”(雖然像這樣的提示並不是什麼竊取憑証或其它信息的新方法──但對我們危害最大的其實是那些數量龐大的URL“觸發器”,這些“觸發器”真正喚起Sinowal並彈出類似的這種提示或其它功能。):Sinowal被超過2700個特
沒有留言:
張貼留言