賽門鐵克的安全研究人員近日稱，網(wǎng)絡(luò)犯罪分子正在使用ZeuS特洛伊木馬的一種改進(jìn)版本，該版本不再需要命令與控制服務(wù)器(C&C)接收指令。

　　ZeuS僵尸網(wǎng)絡(luò)在網(wǎng)絡(luò)犯罪分子圈內(nèi)非常流行，因為它可以從受感染系統(tǒng)上盜取各類信息、文檔和注冊證書。多年來，ZeuS已成為大多數(shù)針對網(wǎng)上銀行系統(tǒng)詐騙行為的首選武器。

　　這個特洛伊木馬的源代碼已于去年在互聯(lián)網(wǎng)上秘密發(fā)布，并允許第三方進(jìn)行改進(jìn)。

　　2011年11月，安全研究人員發(fā)現(xiàn)，一個經(jīng)過大量修改的ZeuS變種能夠以P2P方式，從一臺缺少抵抗力的主機(jī)到另一臺主機(jī)進(jìn)行接力式攻擊。

　　該特洛伊版本仍可連接C&C服務(wù)器，釋放被盜信息，接收指令，只有當(dāng)服務(wù)器宕機(jī)時，才會使用P2P系統(tǒng)作為后備機(jī)制。

　　賽門鐵克最近又探測到一個新的變種，則完全不再需要C&C服務(wù)器。“僵尸網(wǎng)絡(luò)中的每個對等端都可以當(dāng)做C&C服務(wù)器來使用，雖然這些端點并非真正的C&C服務(wù)器，”賽門鐵克研究人員Andrea Lelli在周三撰寫的博客中稱。

　　“僵尸網(wǎng)絡(luò)如今能夠從其他僵尸網(wǎng)絡(luò)下載指令、配置文件并執(zhí)行。每臺受感染的電腦都可以為其他僵尸電腦提供數(shù)據(jù)，”她說。

　　為了實現(xiàn)這種功能，這一ZeuS變種的創(chuàng)建者們已將nginx Web服務(wù)器變成了特洛伊木馬，可以讓每臺受感染的電腦通過HTTP協(xié)議接收和發(fā)送數(shù)據(jù)。

　　這就讓ZeuS僵尸網(wǎng)絡(luò)變得更為靈活多變，因為它不再有安全研究人員所針對的單點故障，還能防止僵尸跟蹤系統(tǒng)如ZeusTracker干擾他們的攻擊。

　　“ZeusTracker在跟蹤和發(fā)布全球Zeus C&C服務(wù)器的IP塊地址列表方面取得了相當(dāng)可觀的成就，”Lelli說，但是Zeus僵尸將其功能切換到P2P上就意味著ZeusTracker不再可能發(fā)布精確的Zeus C&C IP塊列表了。

　　很多機(jī)構(gòu)都是靠在網(wǎng)絡(luò)層禁止Zeus流量來防止惡意軟件盜取敏感數(shù)據(jù)的。監(jiān)控C&C IP地址還能幫助企業(yè)識別自己網(wǎng)絡(luò)中受感染的電腦。

　　賽門鐵克研究人員已經(jīng)檢測到了這款新的ZeuS變種在分發(fā)偽裝成防病毒程序的惡意軟件。不過他們尚未搞清楚它是如何在沒有C&C服務(wù)器的情況下，將捕獲的信息返回給攻擊者的。

　　“分析還將繼續(xù)，我們正在努力挖掘這部分秘密，以便搞清楚新版ZeuS的整個生態(tài)鏈，”Lelli稱。