最初曾被一些安全公司忽视的蠕虫,现在已经成为了银行所面临的严重威胁。
专家表示,Ramnit蠕虫背后的网络犯罪分子已经将该蠕虫变为可以使银行帐户资金流失的以金融为中心的恶意软件,通过使用部分公开发布的宙斯(Zeus)恶意代码使其更有效。
Ramnit于2010年出现,据安全专家称,最初使用的老一代恶意技术主要是感染微软Windows可执行文件。一旦被感染,该恶意软件就被用来窃取并保存FTP凭据和浏览器的cookie。
安全厂商Trusteer公司的安全研究人员,在最近几个星期已经确定了在Ramnit蠕虫中建立新攻击的方法。Trusteer分析了增加的恶意代码,怀疑它来自于宙斯木马家族。它支持浏览器中间人攻击(man-in-the-browser attacks),让犯罪分子可以绕过双因素认证,修改网页,以及隐蔽的插入银行交易。
“由于宙斯源代码是免费的,且宙斯和Ramnit的财务规范方法和配置方案具有相似性,我们怀疑恶意软件的作者将部分宙斯与Ramnit整合了,”Trusteer高级研究员Ayelet Heyman写道。
现在还不确定修改过的Ramnit恶意软件是否也可以成功地用于其他外部攻击。它具有让银行帐户资金流失的能力,而“用户和主机应用是无法察觉的”,Heyman这样写道。研究人员一直在密切监测Ramnit的早期版本,因为某些变种中包含一个后门,以等待远程攻击者的指令。
五月份的时候,Ramnit被添加到了Microsoft恶意软件删除工具列表中。在超过52,000的感染中,它排在列表的前25名。“在十大被检测出来的寄生型病毒威胁家族中,Ramnit排在第四位,”微软在其的恶意软件防护中心博客中这样写道。寄生型病毒是感染计算机的老方法。它使用的可执行文件,从而让用户无法察觉,但它往往会导致机器缓慢或崩溃的。
根据微软,在过去几年,Ramnit的作者一直在尝试代码变化,建设蠕虫病毒模块,用USB和网络设备来传播它。将宙斯代码的整合是该作者最新的方法。
根据宙斯攻击工具包在五月的源代码泄漏,安全专家警告说,新的宙斯BOT运营商(bot operators)将浮出水面。此外,因为可以访问源代码,这使得恶意代码的作者可以改进恶意软件或者增加功能。本月早些时候,宙斯的对手SpyEye源代码被泄露,研究人员已经发现合并后的代码,显示了SpyEye和宙斯恶意软件变种的特点。