俄罗斯恶意软件劫持了50万台电脑

[-]
根据theVerge报道，俄罗斯的一种恶意软件在高峰时期劫持了50万台电脑。它可以记录这些电脑上的所有操作，干各种坏事。例如截获银行密码，组织僵尸网络等等。这个恶意软件在网络上潜伏了多年一直未被发现，直到近日，由安全公司Proofpoint 的Wayne Huang 发现了这个恶意软件和它背后的利益组织。

Huang 老师公布了他的调查结果，并且全面分析了这个利益组织的结构。如图，从安全突破到钓鱼欺诈，每个环节都牵涉了不同的利益人和组织。这当然不是一个新的僵尸网络结构，但是Huang 提供的资料还是可以让人们脑洞大开，从中窥视到我们计算机网络的一些隐患，以及这种组织的战略。Huang 说：“他们很少做大规模的黑客工作，他们不掀起大浪，所以也很少有人发现。但是他们却因此，建立起一个巨大的僵尸网络。”

这个利益组织的第一步，是向黑客购买一些网站管理员账户。有了这些账户之后，接着他们会给网站添加木马病毒，连网站管理员本身也无法察觉。这样，一些普通的网站，就变成了这个组织的钓鱼网站，从这里该组织可以获得一些用户的信息，并且还会主动监视银行密码。

作为被病毒网站的管理员，他们实际上不知道自己的网站已经被感人病毒。

大部分被感染的网站还是会进行反病毒扫描，但是都没有效果。该组织在添加木马之前，会检查一个名为Scan4U 的数据库，从而避开反病毒扫描。如果被反病毒扫描发现，这个组织也会及时修改病毒代码，以确保躲过扫描。简单的说，他们会不断的与反病毒竞争，力图在反病毒库更新之前，进行更新。

同时，该组织还会分析钓鱼网站来访用户，如果发现该用户是一个反病毒专家(例如Huang 老师)或者反病毒扫描机器人的话，他们会对这些用户和机器人进行隔离，提供给他们未安装病毒的网站版本进行访问。该组织也有一分内部的“黑名单”，里面有各个安全公司的IP 地址，反病毒机器人的特征等等。

最后，当该真正的钓鱼用户上钩时，病毒会向他们进行进行渗透，使用各种计算机漏洞，例如PDF、Java、Flash、IE等等劫持这些个人电脑，最终形成可怕的僵尸网络。

不过，该组织也不是完全密不透风的。Huang 老师也找到了一些突破点，得到了一些证据。简单的说，这就是一个斗智斗勇的过程。Huang 老师成功的在组织发现他，并且屏蔽他之前取得了一些证据。但，目前来说证据有限，还不足以很快让这个组织暴露出真面目，并且绳之以法。Huang 说：“我希望有更多的人看到我这份报道，特别是那些网站管理员，他们有时候不太相信自己的网站已经被注入木马。”

本文译自 theverge，由 oioi 编辑发布。