【eNet硅谷动力消息】美国东部时间6月5日(北京时间6月5日)消息:据反病毒专家日前侦测得知,互联网上似乎即将发生新一轮大规模、有组织的木马攻击,并会因此建立许多新的待雇傀儡网络。这是否是一起有组织的犯罪活动呢?
反病毒研究人员已经感觉到这起大规模、有组织的黑客攻击即将开始的信号了,这种攻击利用3种不同的木马侵入计算机然后利用这些受感染的计算机建立起待雇傀儡网络。
这种三联攻击将会是“空前的”,因为不同的木马之间相互感染然后再去感染计算机,可以使防病毒软件失效,然后留下一个后门以便日后使用。
国际计算机协会的恶意信息研究主管Roger Thompson说:“这太狡猾了,太可怕了。”“它十分清楚地表明这是一群组织性极强的犯罪团伙,既可以补充现有的傀儡网络,又可以创建许多新的傀儡网络。
Thompson说,攻击波将会由Win32.Glieder.AK发起,这种被称为Glieder的木马会自动下载和执行一长串硬编码地址上的任意一些文件。
Glieder的任务是在病毒定义签名被创建之前就悄悄通过防病毒软件的保护层而种在受感染的计算机上以备未来使用。一天中至少有8种Glieder的变体被通过网络释放出来,会造成严重的破坏。
在安装有 Windows 2000 和 Windows XP系统的计算机上,Glieder.AK会试图关闭网络连接防火墙和Windows XP Service Pack 2中的安全中心服务或者令它们不能发挥作用。
然后木马会迅速连接一系列网络地址,下载Win32.Fantibag.A (Fantibag)发起第二轮攻击。
Thompson介绍说攻击者利用受感染的计算机上的Fantibag可以确保关闭防病毒软件和其他保护软件。Fantibag可以使用联网功能阻止受感染的计算机与防病毒软件供应商进行通信联系。它甚至阻断了微软公司的 Windows升级更新的通道,确保受感染的计算机无法获得外界的帮助。
一旦保护除去,第三种被称为Win32.Mitglieder.CT或Mitglieder的木马就会把受感染的计算机置于攻击者的完全控制之下。
一旦3种木马都安装进去之后,受感染的计算机就成了傀儡网络的一部分,可能会被用于运行蠕虫,这些蠕虫可以分为拒绝服务的攻击型蠕虫和记录键盘操作窃取重要私人信息型蠕虫。
傀儡网络本身就是由许多受感染的计算机组成的集合体,攻击者通过IRC通道可以远程控制这个傀儡网络。
计算机协会的Thompson称,三联攻击成功入侵之后,木马将立即使所有的防护失效,这就可能标志着基于签名技术的病毒防护时代的终结。
Thompson在接受Ziff Davis Internet News采访时说:“这些人已经知道如果把代码拧在一起再迅速释放就可以绕过过去的签名扫描程序。这个办法的实质就是狠狠打击、迅速传播、破除受感染计算机的保护能力然后为所欲为。”
他说他认为利用Bagle族病毒代码进行的攻击只是一个有组织的犯罪团伙采取的一小部分行动。“我坚信我们面对的是有组织的犯罪活动。他们的目的是建立一个傀儡网络,或是在现在已经存在的傀儡网络上增加新的控制。一旦这些傀儡网络达到一定的规模,它们就会被租出去非法使用。”
“它的背后有一个受感染的计算机黑市。你的傀儡网络越大,你就可以赚越多的钱。”Thompson说。他称那些跟踪地下黑客攻击活动的研究人员们曾经见过黑市上的标价单,每台受感染的计算机价格为5美分。
PivX Solutions LLC的高级安全研究员Thor Larholm说,他已经有足够的证据证实这种复杂的傀儡网络攻击活动是由一小帮技术高超的黑客组织的。
“在去年,我们也曾经见过这帮家伙多么轻易地就建立起了傀儡计算机的大军。我相信控制其中95%的傀儡网络的不会超过200个人。”
Larholm认为傀儡网络的所有者耻于使用主要的网络蠕虫,相反只是发起了一些非常小的攻击。“我们再也没有见过Slammer病毒和Sasser病毒发起的攻击。我们目前只发现了它们的变体攻击了20到30台计算机。全是小规模的攻击,建立的傀儡网络也很小,那已经可以让他们现形了。”
Thompson和 Larholm都称他们发现待租傀儡网络是与广告软件源和间谍软件源直接联系在一起的。Larholm说:“傀儡网络不再是仅仅为垃圾电子邮件服务了。它们现在还被租来安装间谍软件。”
他说,在安装间谍软件的基础上支付代理费,这个复杂的计划建立了一个对傀儡网络控制者非常有利的市场。
计算机协会的Thompson也同意这个观点。“我认为广告软件的构成已经越来越清晰了,特别是在较大的傀儡网络上的广告软件。无论什么时候如果有人出来痛骂广告软件,他们都是在骂傀儡网络。那么,这就是问题。联属网络在非法犯罪的目的下被安装了间谍软件,这些傀儡网络就是其中的关键部分。”
Yankee Group Research Inc.公司的安全分析员Andrew Jaquith称,购买傀儡网络或zombie网络的使用权这种说法在业内是广为人知的。Jaquith说:“这些zombie产生的蠕虫数量急剧上升。相当有组织性。”
“我发现这种特殊的恶意程序进化的速度非常之快。它所代表的所谓的“混合威胁”只是现有技术更新和扭曲后的组合体。”Jaquith补充说。
他说自己曾拥有关于zombie网络被出租出去做非法用途的独立信息,并说计算机协会声称的每台受感染计算机5美分的市场价格让他很吃惊。
Jaquith说,“有趣的是恶意软件代码的一般趋势表明它们的目的不是破坏目标计算机的系统而是将它列入攻击者的傀儡网络之中。”
“对于这帮坏蛋来说,让目标活着用处更大。Granny将会注意到她的计算机运行速度慢了一会儿,而她并不知道那是她的计算机在释放蠕虫或者在协助进行拒绝服务型攻击。”
情况或者更糟糕,计算机协会的Thompson说:“我认为这些家伙就快达成目的了。”
Thompson说。“我们有人明白防病毒软件是如何工作的,而且有办法把‘种子’穿过防火墙种进去。这可不是你平常遇见的大量垃圾邮件那么简单。”
Kaspersky Lab高级技术顾问Shane Coursen称,计算机协会认为这是一小帮有组织的罪犯所为,这个想法是比较可信的。“我们发现各种木马、傀儡网络和病毒编写者之间存在着各种各样的联系。”
Coursen 在一次采访中称,恶意黑客之间展开了一场大规模的竞赛,争相建立和控制大规模的傀儡网络。“它本来就是一种暴利的交易,所以出现大规模攻击一点也不奇怪。”
【责任编辑 胡滢】
|
|
|
