【TechTarget中国原创】木马家族成员——Zeus僵尸网络被网络犯罪份子广泛地利用来攻击已装有数据窃取恶意软件的受害者。因特网服务提供商(ISP)本周将托管的一些疑似Zeus僵尸网络命令和控制的服务器关闭了,导致僵尸网络的暂时中断。
哈萨克斯坦Troyak组织机构的服务器据称控制了垃圾邮件和恶意软件僵尸网络,于本周二被暂时关闭。Troyak被认为聚集了25%的命令和控制服务器,它们和感染了Zeus的计算机相连。最近被Cisco收购的ScanSafe发现在关闭那些服务器之前恶意流量直线上升,这表明僵尸网络的控制者可能已经知道他们的操作会遭到破坏。
如今已成为Cisco成员的ScanSafe高级安全研究员Mary Landesman说:“数据似乎暗示他们已收到某种形式的预警,如果真是这样的话,那么他们可能已利用充足的机会来更新他们的木马。”
这次对Zeus的破坏是暂时的。Landesman说,Troyak断网时的所有连接将在这家ISP收购新的上游供应商之际被重新连接上。
她表示:“我们检查了那些IP地址,当Troyak重新联网之后它们又复活了。”
Zeus作为一种自动攻击工具,是木马家族的大成员。上个月发现的75GB存储区被认定为是Zeus感染的黑客聚点源。这一存储区内包含了多种敏感数据,从银行账户证书到社会安全号码和电邮密码。
Landesman称:“它的公开可用性导致了Zeus及其僵尸网络的蔓延。恶意软件已从窃取网银证书的网络钓鱼发展为更为狡诈的针对银行的攻击。”
据估计,160万已感染的机器可组成成百上千的Zeus僵尸网络。2007年,一伙德国网络犯罪份子利用Zeus对多个欧洲银行实行欺诈,窃取金额达2千万美元。如今Zeus僵尸网络的目标银行成千上万,专家称它已成为银行业的一大瘟疫。木马通常先对银行账户表格做手脚,而后在向用户显示假的账户余额的掩盖下进行转账。
让安全研究员疑惑的是Troyak起先是如何被攻克的。EMC公司的安全部门RSA的研究员报告称,上游设备的关闭可能是迫于法律压力或其操作人员导致的。“Troyak”据称是俄罗斯俚语“木马”的意思,这似乎暗示Troyak组织可能不是个合法的组织机构。
RSA在报告中称,“AS-Troyak的关闭可能是由于技术故障,虽然这种情况的可能性很小,因为这种恶意操作通常不会出现单点故障。”
这起Troyak事件类似于2008年发生的McColo关闭事件,那次事件中上游供应商关闭了该托管服务商的网络访问。那时,研究员预测垃圾邮件和恶意软件有可能会死灰复燃,事实证明的确如此。
“在这一行中我们发现很多人通过这类的网络犯罪方式来捞钱,在他们停止赚钱或其客户成本受损之前,他们是不会罢手的。对许多黑客来说,这是他们谋生的最可行方式。”