臭名昭著的银行恶意软件宙斯家族的64位版本已经被发现,这表明网络犯罪分子正在为软件业远离旧的32位架构做准备。
卡巴斯基实验室在一个32位的样本中发现了64位版本的Zeus。一份代码分析显示,该恶意软件至少从6月份开始就在互联网上传播。
卡巴斯基的首席安全研究员库尔特·鲍姆加特纳说,这项发现被认为是一个里程碑,因为Zeus及其变体的流行表明64位地下开发已经成为主流。这意味着安全行业现在有一个“确定的、真实的64位问题”。
鲍姆加特纳在接受CSOonline采访时表示:“研究人员和安全社区早就料到会有越来越多的64位恶意软件出现,而这款应用最广、问题最多的间谍软件将迎接这一挑战。”
为了确保他们创造的软件的有效性,网络罪犯通常会遵循软件的发展趋势。毕竟,入侵64位应用程序的最佳方式是使用构建在相同架构上的恶意软件。
因此,当移动到64位的预期最终发生,卡巴斯基惊讶地看到更强大的版本的宙斯这么快。这是因为目前还不需要这样一个版本。
Zeus经常通过Web浏览器完成它的脏活累活,而目前使用的大多数浏览器都是32位的。例如,卡巴斯基认为64位IE浏览用户的份额低于0.01%。IE占据了超过一半的浏览器市场,根据网络应用程序。
即使是64位操作系统,Zeus仍然可以捕获与网上银行和电汇交易相关的数据,如用户名、密码和cookie。该恶意软件还可以修改数据以掩盖其踪迹。
卡巴斯基推测,新的宙斯恶意软件可能是一个“营销噱头”。
“支持64位浏览器(是)一个很好的方式来宣传产品和吸引买家——僵尸网络的牧人。”卡巴斯基实验室专家Dmitry Tarakanov说周三的一篇博文。
最新版本的Zeus使用Tor匿名网络与命令控制服务器通信。一些32位的版本已经可以选择这种功能,但是新的恶意软件使Tor通信成为不可分割的功能。
“宙斯恶意软件有能力工作自己通过洋葱C&C域Tor网络,这意味着它现在加入了一个专有的恶意软件家族的这种能力,”Tarakanov说。
这个示例的工作方式是32位版本首先尝试将恶意代码注入浏览器。如果后者是64位的,那么Zeus将切换到该体系结构。
Zeus为其他银行恶意软件设定了标准。卡巴斯基举例说,它在浏览器中注入代码的能力已经成为几乎所有银行恶意软件家族必备的基本功能。
今年5月,杀毒软件供应商趋势科技(Trend Micro)的安全研究人员报告称,他们看到了Zeus的使用显著增加,最古老的金融恶意软件家族之一。也被称为Zbot,宙斯不再由其最初的创造者开发。
2011年,Zeus源代码在互联网上泄露,定制版本激增。在比较流行的基于zeusa的木马程序中有Citadel和GameOver。
这个故事,“宙斯恶意软件得到64位改造”最初发表方案 。