|
|
|
 |
|
揭示網銀大盜——“宙斯”木馬的真相
|
|
來源: 2010-04-16 14:30:58
|
|
近日,著名安全廠商卡巴斯基實驗室發表了一篇技術分析文章,詳細分析了一種名為“宙斯”(ZeuS)的木馬所引發的互聯網疫情。宙斯木馬是一種傳染性非常強的惡意軟件,在全球各地的計算機上都能夠看到它的身影。由于ZeuS木馬易于傳播,并且能夠非常方便地竊取受感染用戶的在線數據,尤其是網上銀行賬戶等信息,這使得ZeuS木馬成為互聯網黑市上銷售量最高的間諜軟件之一。 宙斯木馬最早出現于2007年,經過多年的發展,已經變得非常強大,它使用簡單,且易于盜取在線數據,因此成為了很多網絡犯罪分子進行網絡犯罪的首選惡意軟件。那么此惡意軟件具體有何等強大之處呢?我們簡要總結如下: 重大危害: 計算機上記錄的所有信息都可以被宙斯木馬竊取(例如當你選擇記住密碼時),這些信息包括賬號、密碼以及其它各種用戶在網上鍵入的信息。 即使用戶未選擇讓計算機自動記住相關信息,木馬還會通過記錄用戶的擊鍵以及輸入順序的方式來獲取用戶的在線賬戶信息,并將竊取到的信息發送到僵尸網絡控制中心。 為了阻止鍵盤輸入信息被監視,很多網站都采用了特殊的軟鍵盤輸入技術。但是,宙斯木馬卻能夠在用戶點擊鼠標的時候截取屏幕,從而截獲用戶輸入的信息。 宙斯木馬能夠控制所有通過瀏覽器傳輸的數據,如果你試圖打開一個已經被宙斯木馬控制的網站,木馬很可能會在用戶看到網頁內容之前修改網頁代碼。修改后,網頁上會新出現一個字段,要求用戶輸入一些個人信息。例如,當用戶在訪問網上銀行網站時,要求用戶輸入用戶名和密碼或PIN碼,由于確信此網站確實是正規的銀行網站,用戶會毫不猶豫地輸入相關個人信息。但是,正規的網站不會向用戶索取此類絕密信息,就這樣,網絡罪犯通過宙斯木馬竊取到用戶的網銀賬號。 用戶在某些網站注冊時,會生成一種特殊的電子簽名,用戶每次訪問該網站時都需要驗證此簽名。如果你的瀏覽器中不包含此簽名,則無法訪問網站的全部功能。如果計算機被宙斯木馬所感染,木馬會自動查找此類簽名,將其發送給黑客。 如果黑客想要利用受感染計算機從事其他非法網絡活動(例如發送垃圾郵件),可以利用宙斯木馬遠程安裝各類所需的軟件。 也就是說,即使用戶的計算機目前沒有什么值得黑客竊取的數據,網絡罪犯也不會輕易放過用戶,他們還很可能會利用用戶的計算機從事其他網絡犯罪活動。受感染的計算機會組成僵尸網絡,統一受網絡罪犯的控制。普通用戶很可能感染此木馬幾個月,也毫不知情。 定制性強,感染量大 由于宙斯木馬能夠有效收集個人數據,組成僵尸網絡,所以能夠被用于多種網絡不法行為。幾乎所有從事網絡犯罪的人都試圖獲取此木馬。此外,對此木馬進行定制,適應不同人的需求也并不復雜。網絡罪犯還可以輕易將其加密,阻止反病毒軟件的檢測。網絡罪犯甚至可以在購買此木馬時,選擇定制一些功能,這使得此木馬在黑市中非常搶手。 下圖是2007年至2010年2月不同月份新出現的宙斯木馬新變種數量:
2009年,美國發表了一篇報告稱僅美國就發現有超過360萬臺計算機感染宙斯木馬。這還僅僅是一個大概數據,事實上數量應該會更大。而且,確切統計受感染計算機數量也非常困難,因為就算很多家用計算機用戶感染了此木馬,也渾然不知。最近被檢測到的宙斯木馬組成的大型僵尸網絡名為Kneber,位于美國,于2010年2月被確認。經研究發現,此僵尸網絡控制的計算機遍布196個國家2,500個不同組織,總計算機數量大約為76,000臺。當然,這也僅僅是冰山的一角,還有大量已感染計算機未被確認。 除了傳播數量大外,宙斯木馬的傳播范圍也非常廣泛。每個宙斯木馬配置文件都會標識出木馬入侵計算機的互聯網地址。卡巴斯基實驗室在對三千個宙斯木馬配置文件分析后發現這些地址是有規律的。我們將這些地址分為幾大類,從而確定此木馬最常用的域名類型,如下所示:
可以看到,宙斯木馬攻擊最常用的域名是一些國際域名如.org和.com。此外,很多國家的區域性域名也經常被利用。 預防措施 關于如何避免遭受宙斯木馬的侵害,首先強調的是用戶應該養成和遵循良好的互聯網使用習慣。 首先,永遠不要輕易打開陌生人發送的鏈接,包括即時通訊工具或電子郵件中的鏈接,不管其表面看起來如何安全或者具有迷惑性。此外,對于已知的看上去似乎是你所熟悉的網站鏈接也不要輕易點擊,因為鏈接迷惑和隱藏技術目前也非常常見。 另外,針對操作系統以及常用軟件,建議不要選擇讓系統或軟件記住您的常用用戶名或密碼。雖然記住用戶名和密碼很方便使用,但是也給了網絡罪犯便利,他們很容易就通過木馬獲取到存儲在系統上瀏覽器中的各種隱私信息。 卡巴斯基實驗室還建議用戶關閉瀏覽器的運行Javascript腳本選項或者在frame/frame窗口中打開任意文件的選項。當然,這樣會犧牲用戶瀏覽網頁的性能,但是安全和性能不能兩全。當然,對于完全信任的網站,用戶還可以再開啟此功能。同時,我們也建議關閉Adobe Reader中的Javascript選項。 關于在線支付以及網上銀行安全,我們建議計算機用戶再增加一項交易驗證方式,例如電話驗證。這樣,在交易時,除了需要提供用戶名和密碼外,還需要電話確認,進一步增強了安全性。此外,還可以使用一些銀行機構開發的U盾(USB設備),在交易時只有在計算機上插入U盾才可以進行,使得網絡罪犯盜取用戶的銀行賬戶錢財變得相當困難。 |
