Ramnit蠕蟲變種已成為嚴重威脅銀行的惡意軟件
最初曾被一些安全公司忽視的蠕蟲,現在已經成為了銀行所面臨的嚴重威脅。
專家表示,Ramnit蠕蟲背后的網絡犯罪分子已經將該蠕蟲變為可以使銀行帳戶資金流失的以金融為中心的惡意軟件,通過使用部分公開發布的宙斯(Zeus)惡意代碼使其更有效。
Ramnit于2010年出現,據安全專家稱,最初使用的老一代惡意技術主要是感染微軟Windows可執行文件。一旦被感染,該惡意軟件就被用來竊取并保存FTP憑據和瀏覽器的cookie。
臺式機安全廠商Trusteer(位于波士頓)公司的安全研究人員,在最近幾個星期已經確定了在Ramnit蠕蟲中建立新攻擊的方法。Trusteer分析了增加的惡意代碼,懷疑它來自于宙斯木馬家族。它支持瀏覽器中間人攻擊(man-in-the-browser attacks),讓犯罪分子可以繞過雙因素認證,修改網頁,以及隱蔽的插入銀行交易。
“由于宙斯源代碼是免費的,且宙斯和Ramnit的財務規范方法和配置方案具有相似性,我們懷疑惡意軟件的作者將部分宙斯與Ramnit整合了,”Trusteer高級研究員Ayelet Heyman寫道。
現在還不確定修改過的Ramnit惡意軟件是否也可以成功地用于其他外部攻擊。它具有讓銀行帳戶資金流失的能力,而“用戶和主機應用是無法察覺的”,Heyman這樣寫道。研究人員一直在密切監測Ramnit的早期版本,因為某些變種中包含一個后門,以等待遠程攻擊者的指令。
五月份的時候,Ramnit被添加到了Microsoft惡意軟件刪除工具列表中。在超過52,000的感染中,它排在列表的前25名。“在十大被檢測出來的寄生型病毒威脅家族中,Ramnit排在第四位,”微軟在其的惡意軟件防護中心博客中這樣寫道。寄生型病毒是感染計算機的老方法。它使用的可執行文件,從而讓用戶無法察覺,但它往往會導致機器緩慢或崩潰的。
根據微軟,在過去幾年,Ramnit的作者一直在嘗試代碼變化,建設蠕蟲病毒模塊,用USB和網絡設備來傳播它。將宙斯代碼的整合是該作者最新的方法。
根據宙斯攻擊工具包在五月的源代碼泄漏,安全專家警告說,新的宙斯BOT運營商(bot operators)將浮出水面。此外,因為可以訪問源代碼,這使得惡意代碼的作者可以改進惡意軟件或者增加功能。本月早些時候,宙斯的對手SpyEye源代碼被泄露,研究人員已經發現合并后的代碼,顯示了SpyEye和宙斯惡意軟件變種的特點。
【編輯推薦】
