赛门铁克的安全研究人员近日称，网络犯罪分子正在使用ZeuS特洛伊木马的一种改进版本，该版本不再需要命令与控制服务器(C&C)接收指令。

　　ZeuS僵尸网络在网络犯罪分子圈内非常流行，因为它可以从受感染系统上盗取各类信息、文档和注册证书。多年来，ZeuS已成为大多数针对网上银行系统诈骗行为的首选武器。

　　这个特洛伊木马的源代码已于去年在互联网上秘密发布，并允许第三方进行改进。

　　2011年11月，安全研究人员发现，一个经过大量修改的ZeuS变种能够以P2P方式，从一台缺少抵抗力的主机到另一台主机进行接力式攻击。

　　该特洛伊版本仍可连接C&C服务器，释放被盗信息，接收指令，只有当服务器宕机时，才会使用P2P系统作为后备机制。

　　赛门铁克最近又探测到一个新的变种，则完全不再需要C&C服务器。“僵尸网络中的每个对等端都可以当做C&C服务器来使用，虽然这些端点并非真正的C&C服务器，”赛门铁克研究人员Andrea Lelli在周三撰写的博客中称。

　　“僵尸网络如今能够从其他僵尸网络下载指令、配置文件并执行。每台受感染的电脑都可以为其他僵尸电脑提供数据，”她说。

　　为了实现这种功能，这一ZeuS变种的创建者们已将nginx Web服务器变成了特洛伊木马，可以让每台受感染的电脑通过HTTP协议接收和发送数据。

　　这就让ZeuS僵尸网络变得更为灵活多变，因为它不再有安全研究人员所针对的单点故障，还能防止僵尸跟踪系统如ZeusTracker干扰他们的攻击。

　　“ZeusTracker在跟踪和发布全球Zeus C&C服务器的IP块地址列表方面取得了相当可观的成就，”Lelli说，但是Zeus僵尸将其功能切换到P2P上就意味着ZeusTracker不再可能发布精确的Zeus C&C IP块列表了。

　　很多机构都是靠在网络层禁止Zeus流量来防止恶意软件盗取敏感数据的。监控C&C IP地址还能帮助企业识别自己网络中受感染的电脑。

　　赛门铁克研究人员已经检测到了这款新的ZeuS变种在分发伪装成防病毒程序的恶意软件。不过他们尚未搞清楚它是如何在没有C&C服务器的情况下，将捕获的信息返回给攻击者的。

　　“分析还将继续，我们正在努力挖掘这部分秘密，以便搞清楚新版ZeuS的整个生态链，”Lelli称。

(责任编辑：)