您现在的位置是:首页 > IT基础架构 > 网络与安全 >
卡巴斯基:谨防“宙斯”网银大盗
摘要近日,著名安全厂商卡巴斯基实验室发表了一篇技术分析文章,详细分析了一种名为“宙斯”(ZeuS)的木马所引发的互联网疫情。宙斯木马是一种传染性非常强的恶意软件,在全球各地的计算机上都能够看到它的身影。由于ZeuS木马易于传播,并且能够非常方便地窃取受感染用户的在线数...
近日,著名安全厂商卡巴斯基实验室发表了一篇技术分析文章,详细分析了一种名为“宙斯”(ZeuS)的木马所引发的互联网疫情。宙斯木马是一种传染性非常强的恶意软件,在全球各地的计算机上都能够看到它的身影。由于ZeuS木马易于传播,并且能够非常方便地窃取受感染用户的在线数据,尤其是网上银行账户等信息,这使得ZeuS木马成为互联网黑市上销售量最高的间谍软件之一。
宙斯木马最早出现于2007年,经过多年的发展,已经变得非常强大,它使用简单,且易于盗取在线数据,因此成为了很多网络犯罪分子进行网络犯罪的首选恶意软件。那么此恶意软件具体有何等强大之处呢?我们简要总结如下:
重大危害:
计算机上记录的所有信息都可以被宙斯木马窃取(例如当你选择记住密码时),这些信息包括账号、密码以及其它各种用户在网上键入的信息。
即使用户未选择让计算机自动记住相关信息,木马还会通过记录用户的击键以及输入顺序的方式来获取用户的在线账户信息,并将窃取到的信息发送到僵尸网络控制中心。
为了阻止键盘输入信息被监视,很多网站都采用了特殊的软键盘输入技术。但是,宙斯木马却能够在用户点击鼠标的时候截取屏幕,从而截获用户输入的信息。
宙斯木马能够控制所有通过浏览器传输的数据,如果你试图打开一个已经被宙斯木马控制的网站,木马很可能会在用户看到网页内容之前修改网页代码。修改后,网页上会新出现一个字段,要求用户输入一些个人信息。例如,当用户在访问网上银行网站时,要求用户输入用户名和密码或PIN码,由于确信此网站确实是正规的银行网站,用户会毫不犹豫地输入相关个人信息。但是,正规的网站不会向用户索取此类绝密信息,就这样,网络罪犯通过宙斯木马窃取到用户的网银账号。
用户在某些网站注册时,会生成一种特殊的电子签名,用户每次访问该网站时都需要验证此签名。如果你的浏览器中不包含此签名,则无法访问网站的全部功能。如果计算机被宙斯木马所感染,木马会自动查找此类签名,将其发送给黑客。
如果黑客想要利用受感染计算机从事其他非法网络活动(例如发送垃圾邮件),可以利用宙斯木马远程安装各类所需的软件。
也就是说,即使用户的计算机目前没有什么值得黑客窃取的数据,网络罪犯也不会轻易放过用户,他们还很可能会利用用户的计算机从事其他网络犯罪活动。受感染的计算机会组成僵尸网络,统一受网络罪犯的控制。普通用户很可能感染此木马几个月,也毫不知情。
定制性强,感染量大
由于宙斯木马能够有效收集个人数据,组成僵尸网络,所以能够被用于多种网络不法行为。几乎所有从事网络犯罪的人都试图获取此木马。此外,对此木马进行定制,适应不同人的需求也并不复杂。网络罪犯还可以轻易将其加密,阻止反病毒软件的检测。网络罪犯甚至可以在购买此木马时,选择定制一些功能,这使得此木马在黑市中非常抢手。
下图是2007年至2010年2月不同月份新出现的宙斯木马新变种数量:
2009年,美国发表了一篇报告称仅美国就发现有超过360万台计算机感染宙斯木马。这还仅仅是一个大概数据,事实上数量应该会更大。而且,确切统计受感染计算机数量也非常困难,因为就算很多家用计算机用户感染了此木马,也浑然不知。最近被检测到的宙斯木马组成的大型僵尸网络名为Kneber,位于美国,于2010年2月被确认。经研究发现,此僵尸网络控制的计算机遍布196个国家2,500个不同组织,总计算机数量大约为76,000台。当然,这也仅仅是冰山的一角,还有大量已感染计算机未被确认。
除了传播数量大外,宙斯木马的传播范围也非常广泛。每个宙斯木马配置文件都会标识出木马入侵计算机的互联网地址。卡巴斯基实验室在对三千个宙斯木马配置文件分析后发现这些地址是有规律的。我们将这些地址分为几大类,从而确定此木马最常用的域名类型,如下所示:
可以看到,宙斯木马攻击最常用的域名是一些国际域名如.org和.com。此外,很多国家的区域性域名也经常被利用。
预防措施
关于如何避免遭受宙斯木马的侵害,首先强调的是用户应该养成和遵循良好的互联网使用习惯。
首先,永远不要轻易打开陌生人发送的链接,包括即时通讯工具或电子邮件中的链接,不管其表面看起来如何安全或者具有迷惑性。此外,对于已知的看上去似乎是你所熟悉的网站链接也不要轻易点击,因为链接迷惑和隐藏技术目前也非常常见。
另外,针对操作系统以及常用软件,建议不要选择让系统或软件记住您的常用用户名或密码。虽然记住用户名和密码很方便使用,但是也给了网络罪犯便利,他们很容易就通过木马获取到存储在系统上浏览器中的各种隐私信息。
卡巴斯基实验室还建议用户关闭浏览器的运行Javascript脚本选项或者在frame/frame窗口中打开任意文件的选项。当然,这样会牺牲用户浏览网页的性能,但是安全和性能不能两全。当然,对于完全信任的网站,用户还可以再开启此功能。同时,我们也建议关闭Adobe Reader中的Javascript选项。
关于在线支付以及网上银行安全,我们建议计算机用户再增加一项交易验证方式,例如电话验证。这样,在交易时,除了需要提供用户名和密码外,还需要电话确认,进一步增强了安全性。此外,还可以使用一些银行机构开发的U盾(USB设备),在交易时只有在计算机上插入U盾才可以进行,使得网络罪犯盗取用户的银行账户钱财变得相当困难。
(本文不涉密)
责任编辑: