現(xiàn)在，筆者發(fā)現(xiàn)自己的疑問有很多。對于惡意軟件，筆者特別想進(jìn)行更深入的了解。經(jīng)過初步研究，筆者將目標(biāo)鎖定在兩種木馬Zeus和URLZone上。Stewart先生不僅同意這一觀點(diǎn)，而且也具備足夠的能力。他給筆者留下的最深刻印象是，沒有一件事是肯定的，因?yàn)樗�總是處于不斷變化的狀態(tài)中。

現(xiàn)在，筆者發(fā)現(xiàn)自己的疑問有很多。對于惡意軟件，筆者特別想進(jìn)行更深入的了解。經(jīng)過初步研究，筆者將目標(biāo)鎖定在兩種木馬Zeus和URLZone上。Stewart先生不僅同意這一觀點(diǎn)，而且也具備足夠的能力。他給筆者留下的最深刻印象是，沒有一件事是肯定的，因?yàn)樗�總是處于不斷變化的狀態(tài)中。

不斷變化的風(fēng)險(xiǎn)

實(shí)際上，盡管這兩種木馬程序包非常成功，但這并沒有讓他們的開發(fā)人員停止對惡意代碼的改進(jìn)。這種現(xiàn)象，被Stewart先生稱之為：“不斷變化的風(fēng)險(xiǎn)”。他進(jìn)一步解釋說，網(wǎng)絡(luò)犯罪也是一種商業(yè)模式，為了保證收入來源，壞人也要確保其產(chǎn)品處于正常工作的狀態(tài)。

這種不斷變化的特性使得犯罪軟件只能在“事后”才會(huì)被確定，這對于安全研究人員來說，是一項(xiàng)艱巨的任務(wù)。但是，接下來的一份事件報(bào)告顯示出一條不同的路線來。不過，筆者認(rèn)為大家首先要做的還是了解一下Zeus和URLZone的情況。

商業(yè)木馬軟件：Zeus

Zeus是一種采用了模塊化程序結(jié)構(gòu)的木馬，并且是以商業(yè)軟件的形式出售：價(jià)格需要詢問才能得知，不過似乎平均價(jià)格在700美元左右。RSA信息安全公司的反欺詐中心已經(jīng)發(fā)現(xiàn)了數(shù)百個(gè)不同的變種，每個(gè)變種每天都感染數(shù)以千計(jì)的計(jì)算機(jī)系統(tǒng)。

筆者不知道我們是否應(yīng)該感到驚訝，Zeus包含有一份最終用戶許可協(xié)議。賽門鐵克的研究人員在對Zeus進(jìn)行分析的時(shí)間發(fā)現(xiàn)了最終用戶許可協(xié)議，并將內(nèi)容翻譯出來，如下圖所示：

1、任何沒有擁有發(fā)行權(quán)的商業(yè)公司或者企業(yè)不得銷售相關(guān)的產(chǎn)品。

2、禁止對程序的二進(jìn)制代碼進(jìn)行分析和復(fù)制。

3、禁止利用控制臺功能來對其它僵尸網(wǎng)絡(luò)進(jìn)行控制或者用于其它任何目的。

4、反病毒公司和其他類似機(jī)構(gòu)沒有權(quán)力蓄意清除軟件中的任何部分。

5、銷售方承諾在軟件出現(xiàn)錯(cuò)誤的時(shí)間予以更新，并支持付費(fèi)獲得更多的新功能。

不象大多數(shù)最終用戶許可協(xié)議，這份協(xié)議的內(nèi)容簡短而中肯。筆者必須說，在很多通常的最終用戶許可協(xié)議中，筆者都沒有看到過第四點(diǎn)。為了表明他們是非常認(rèn)真的，開發(fā)團(tuán)隊(duì)還給出了警告（位于紅色框中）：

“一旦違反最終用戶許可協(xié)議的情況被發(fā)現(xiàn)，客戶將立即喪失所有的技術(shù)支持。此外，軟件中的二進(jìn)制代碼將被立即傳送到反病毒公司。”

二進(jìn)制代碼

剛開始，筆者并不明白該警告的意義，直到了解到Zeus實(shí)際上是一個(gè)二進(jìn)制發(fā)生器。這意味著Zeus木馬的每一個(gè)迭代都是不同的。這樣就可以降低反病毒簽名文件的效果。

銀行類犯罪軟件

看起來Zeus的開發(fā)目的就是從網(wǎng)絡(luò)銀行使用者那里竊取資金。這就是它最主要的功能：

· 檢測輸入的銀行信息。

· 查看實(shí)時(shí)屏幕截圖并遠(yuǎn)程控制顯示器上的顯示信息。

· 利用專業(yè)的鍵盤記錄工具竊取密碼和其他登錄信息。

· 對竊取的信息進(jìn)行加密，并利用即時(shí)通訊工具Jabber將信息傳送到攻擊者的服務(wù)器。

Stewart先生指出，Jabber的使用讓Zeus增加了一個(gè)新層面。它允許犯罪分子實(shí)時(shí)取得登錄憑據(jù)。這意味著有可能一次性密碼仍然有效。RSA的FraudAction研究實(shí)驗(yàn)室對整個(gè)過程進(jìn)行了解釋：

1、攻擊者利用Zeus木馬的一個(gè)變種通過在線網(wǎng)絡(luò)攻擊感染到合法用戶的計(jì)算機(jī)。

2、攻擊者將竊取的信息發(fā)送到Zeus木馬所在的服務(wù)器。

3、Jabber的即時(shí)通訊模塊對服務(wù)器上的帳戶數(shù)據(jù)庫進(jìn)行搜索，查找具體組織（通常是金融機(jī)構(gòu)）對應(yīng)的信息。

4、Jabber的即時(shí)傳輸模塊將具體的帳戶信息通過“發(fā)送”帳戶進(jìn)行傳送。

5、在被盜用戶的系統(tǒng)中，攻擊者很快就可以收到來自Jabber“接收”帳戶的信息。

6、依靠這些用戶信息，攻擊者就可以登錄到該帳戶中并進(jìn)行欺詐性的資金轉(zhuǎn)移。

筆者原來以為Zeus的自動(dòng)化程度非常高。但Stewart先生糾正了筆者的錯(cuò)誤認(rèn)識，他指出Zeus在使用過程中需要用戶的大量干預(yù)。具有諷刺意味的是，這就是為什么Zeus使用效果這么好的原因。網(wǎng)絡(luò)犯罪分子可以根據(jù)新格式、銀行在交易過程中的改變靈活地作出調(diào)整。屏幕截圖加上

　　推薦閱讀

　　中國文字著作權(quán)協(xié)會(huì)稱將通過訴訟向谷歌維權(quán)

10月19日，上海《青年報(bào)》的一篇名為《谷歌數(shù)字圖書館涉嫌侵犯500余名中國作家著作權(quán)——60美元賠款惹怒中國作家》的報(bào)道引起了國民的強(qiáng)烈反響。而站在谷歌侵權(quán)案第一戰(zhàn)線的就是中國文字著作權(quán)協(xié)會(huì)副總干事——張洪波>>>詳細(xì)閱讀

本文標(biāo)題：揭秘網(wǎng)絡(luò)犯罪：他們?nèi)绾稳肭志W(wǎng)絡(luò)的

地址：http://m.sdlzkt.com/a/01/20111231/255740.html

 1/2    1  2 下一頁