Ponmocup僵尸网络使得150万多台机器受到影响

 

       Ponmocup僵尸网络使得150万多台机器受到影响

   

     一个拥有八位Fox IT研究人员的团队发现,Ponmocup僵尸网络在其发展巅峰,也就是2011年控制了240万台机器。如今,大概有50万台机器在其控制之下。

  第一作者Maarten van Dantzig在本周的BotConf会议上提交了这一纸质报告《Ponmocup:躲在暗处的巨人》。

  在这份报告中,他和各位研究者(Danny Heppener、Frank Ruiz、Yonathan Klijnsma、Yun Zheng Hu Erik de Jong、Krijn de Mik和 Lennart Haagsma) 展现了2006年首次发现的恶意软件是如何成功隐身,这可能会给这些俄罗斯作者们带来数百万美金的收益。

  “相较于其他的僵尸网络,Ponmocup是当前活跃网络中规模最大的,并且也是运行时间最长的,长达九年。但是运行者一直小心的将它控制在雷达之下,这一点却很少被提及。”van Dantzig说道。

  “虽然很难精确地计算Ponmocup僵尸网络赚取金额的具体数字,不过迄今为止,它可能已经赚取数百万美金了。”

  “首先来说,他们的系统设施是复杂的、分布广泛的,并且特定任务都有对应的服务器。”

      Ponmocup僵尸网络使得150万多台机器受到影响 

 

 

  Van Dantzig说,攻击者始终确保这些复杂设备都是质量检测合格的,并且会实时更新来提升其隐身功能,这样可以迅速降低风险。

  他还说,这些人都拥有先进的技术和微软过复杂深入接触,有些人已经开发恶意软件十年了。

  到目前为止,该团队已经发现了25种独特插件,其变种多达4000个,这就表明了此种恶意软件在持续发展。

  恶意软件包括了各种反分析技巧,如启发式检查网络、基于主机的分析工具、调试器和虚拟化环境。它也会为了摆脱分析师们的追踪,狡猾地伪装成有效荷载,研究团队说道。

  有效荷载的一种会在正运行的进程中插入明显的可执行文件,这就是令人厌烦的广告插件,通常存在于让人反感的软件捆绑中。

原文地址:https://news.77169.com/HTML/20151205093939.shtm

0

相关文章

发表评论

电子邮件地址不会被公开。