美国东部时间月日(北京时间月日)消息据反病毒专家日前侦测得知互联网上似乎即将发生新一轮大规模有组织的木马攻击并会因此建立许多新的待雇傀儡网络这是否是一起有组织的犯罪活动呢?
反病毒研究人员已经感觉到这起大规模有组织的黑客攻击即将开始的信号了这种攻击利用种不同的木马侵入计算机然后利用这些受感染的计算机建立起待雇傀儡网络
这种三联攻击将会是空前的因为不同的木马之间相互感染然后再去感染计算机可以使防病毒软件失效然后留下一个后门以便日后使用
国际计算机协会的恶意信息研究主管RogerThomon说这太狡猾了太可怕了它十分清楚地表明这是一群组织性极强的犯罪团伙既可以补充现有的傀儡网络又可以创建许多新的傀儡网络
Thomon说攻击波将会由WinGliederAK发起这种被称为Glieder的木马会自动下载和执行一长串硬编码地址上的任意一些文件
Glieder的任务是在病毒定义签名被创建之前就悄悄通过防病毒软件的保护层而种在受感染的计算机上以备未来使用一天中至少有种Glieder的变体被通过网络释放出来会造成严重的破坏
在安装有Windows和WindowsXP系统的计算机上GliederAK会试图关闭网络连接防火墙和WindowsXPServicePack中的安全中心服务或者令它们不能发挥作用
然后木马会迅速连接一系列网络地址下载WinFantibagA(Fantibag)发起第二轮攻击
Thomon介绍说攻击者利用受感染的计算机上的Fantibag可以确保关闭防病毒软件和其他保护软件Fantibag可以使用联网功能阻止受感染的计算机与防病毒软件供应商进行通信联系它甚至阻断了微软公司的Windows升级更新的通道确保受感染的计算机无法获得外界的帮助
一旦保护除去第三种被称为WinMitgliederCT或Mitglieder的木马就会把受感染的计算机置于攻击者的完全控制之下
一旦种木马都安装进去之后受感染的计算机就成了傀儡网络的一部分可能会被用于运行蠕虫这些蠕虫可以分为拒绝服务的攻击型蠕虫和记录键盘操作窃取重要私人信息型蠕虫
傀儡网络本身就是由许多受感染的计算机组成的集合体攻击者通过IRC通道可以远程控制这个傀儡网络
计算机协会的Thomon称三联攻击成功入侵之后木马将立即使所有的防护失效这就可能标志着基于签名技术的病毒防护时代的终结
Thomon在接受ZiffDavisInternetNews采访时说这些人已经知道如果把代码拧在一起再迅速释放就可以绕过过去的签名扫描程序这个办法的实质就是狠狠打击迅速传播破除受感染计算机的保护能力然后为所欲为
他说他认为利用Bagle族病毒代码进行的攻击只是一个有组织的犯罪团伙采取的一小部分行动我坚信我们面对的是有组织的犯罪活动他们的目的是建立一个傀儡网络或是在现在已经存在的傀儡网络上增加新的控制一旦这些傀儡网络达到一定的规模它们就会被租出去非法使用
它的背后有一个受感染的计算机黑市你的傀儡网络越大你就可以赚越多的钱Thomon说他称那些跟蹤地下黑客攻击活动的研究人员们曾经见过黑市上的标价单每台受感染的计算机价格为美分
PivXSolutioLLC的高级安全研究员ThorLarholm说他已经有足够的证据证实这种复杂的傀儡网络攻击活动是由一小帮技术高超的黑客组织的
在去年我们也曾经见过这帮家伙多么轻易地就建立起了傀儡计算机的大军我相信控制其中%的傀儡网络的不会超过个人
Larholm认为傀儡网络的所有者耻于使用主要的网络蠕虫相反只是发起了一些非常小的攻击我们再也没有见过Slammer病毒和Saer病毒发起的攻击我们目前只发现了它们的变体攻击了到台计算机全是小规模的攻击建立的傀儡网络也很小那已经可以让他们现形了
Thomon和Larholm都称他们发现待租傀儡网络是与广告软件源和间谍软件源直接联系在一起的Larholm说傀儡网络不再是仅仅为垃圾电子邮件服务了它们现在还被租来安装间谍软件
他说在安装间谍软件的基础上支付代理费这个复杂的计划建立了一个对傀儡网络控制者非常有利的市场
计算机协会的Thomon也同意这个观点我认为广告软件的构成已经越来越清晰了特别是在较大的傀儡网络上的广告软件无论什么时候如果有人出来痛骂广告软件他们都是在骂傀儡网络那么这就是问题联属网络在非法犯罪的目的下被安装了间谍软件这些傀儡网络就是其中的关键部分
YankeeGroupResearchInc公司的安全分析员AndrewJaquith称购买傀儡网络或zombie网络的使用权这种说法在业内是广为人知的Jaquith说这些zombie产生的蠕虫数量急剧上升相当有组织性
我发现这种特殊的恶意程序进化的速度非常之快它所代表的所谓的混合威胁只是现有技术更新和扭曲后的组合体Jaquith补充说
他说自己曾拥有关于zombie网络被出租出去做非法用途的独立信息并说计算机协会声称的每台受感染计算机美分的市场价格让他很吃惊
Jaquith说有趣的是恶意软件代码的一般趋势表明它们的目的不是破坏目标计算机的系统而是将它列入攻击者的傀儡网络之中
对于这帮坏蛋来说让目标活着用处更大Gray将会注意到她的计算机运行速度慢了一会儿而她并不知道那是她的计算机在释放蠕虫或者在协助进行拒绝服务型攻击
情况或者更糟糕计算机协会的Thomon说我认为这些家伙就快达成目的了
Thomon说我们有人明白防病毒软件是如何工作的而且有办法把种子穿过防火墙种进去这可不是你平常遇见的大量垃圾邮件那么简单
KaerskyLab高级技术顾问ShaneCoursen称计算机协会认为这是一小帮有组织的罪犯所为这个想法是比较可信的我们发现各种木马傀儡网络和病毒编写者之间存在着各种各样的联系
Coursen在一次采访中称恶意黑客之间展开了一场大规模的竞赛争相建立和控制大规模的傀儡网络它本来就是一种暴利的交易所以出现大规模攻击一点也不奇怪
