安全分析:开源模式让木马软件更疯狂

为了让他们的恶意软件对骗子来说更有价值,恶意软件开发者正在努力转向开源模式。除了窃取金融和个人资料,恶意软开发者希望通过免费提供程序代码,扩大既有木马程序的使用范围。根据来自赛门铁克安全实验室的研究员坎迪特·维斯特的说法,在现在的木马市场中,百分之十的工具是开源的。

迁移到开放源代码的商业模式将让犯罪分子可以为他们的恶意软件增加额外的功能。“这种模式的优点是会有更多的人参与开发,因此,某个精通密码学的人可以编写一个加密插件,熟悉关注视频的人可能编写桌面控制远程流媒体的工具。”维斯特说。

开放源代码形式木马的历史可以追溯到1999年,当时死牛教派黑客集团发布了Back Orifice木马的源代码。最近,Limbo木马的开发者也公布了其源代码,以提升骗子们的使用频率,扭转占有率下降的颓势。根据来自安全厂商RSA的调查结果显示,在2007年问世后,Limbo木马迅速成为全球范围内使用最广泛的木马,但很快在2008年就被更先进的Zeus木马所取代。

主宰木马市场的是巨额的利润,被感染的计算机和窃取的金融及个人信息,在黑市上价值数百万美元。在开放源代码之前,Limbo木马工具包的通常价格为每套350美元,而Zeus木马的市价目前仍在1000到3000美元之间。

不过,RSA新技术部门总监尤里·瑞文表示,转向开源并未扭转Limbo客户减少逐渐被淘汰的命运。

“和其他任何开源项目一样,这一商业模式采取的是免费提供基础版,接下来出售更高端的版本、专业服务或定制化项目的方式。”“在刚刚宣布开源的时间,这的确是重要新闻,但不久以后人们就不想再用它了。“它已经不是最好的木马了,但因为是开源的,你可以把它当作第一个木马试用,所以它仍然适用于某些地方。”他说。

尽管基础版包含了众多功能,可以让犯罪分子在假银行网站上加入额外的PIN码选项,并记录被感染计算机上的键盘和文件操作,但Limbo的使用者数量还是在持续降低。

开源不仅没有推动Limbo的发展,反而为网络骗子带来了新的问题:开源让安全专家更容易获得恶意软件了。

“如果(木马)开放了源代码,就意味着,安全公司也可以找到这些源代码,并且更容易进行普通的启发式检测,因为他们知道里面包含了什么内容。”来自赛门铁克的维斯特说。

根据RSA瑞文的说法,大部分的计算机感染木马,都是在浏览不安全的网站时被自动下载,或是木马伪装成合法软件的安全更新,再经由社交网站传来的信息,鼓励使用者下载的情况下发生的。

这些感染方法已经证明相比传统的电子邮件链接或附件,能更有效地传播恶意软件。

RSA分析师指出,这些新方法造成木马感染率的大幅增长,该公司侦测到的木马感染事件数量,从2008年8月的613起,猛增到2009年8月的19102起。