网界网消息 安全专家们日前发现了一种新的垃圾邮件机器人软件,它可以自行安装杀毒扫描工具将其他的恶意代码清除以避免竞争,同时还有其他的一些智能化功能。
SecureWorks公司将这种木马称作SpamThru,并对它进行了详细地描述。
其他的安全厂商也纷纷给这种软件命名。SecureWorks公司说,它的智能化还体现在几乎没有任何一款杀毒扫描工具可以将它查出来。
SecureWorks公司的分析师Joe Stewart说:“SpamThru是一个赚钱的工具,因此木马作者频繁更新其代码以确保业内主要安全厂商的扫描工具无法检测出它。”
SpamThru是一种木马程序,它可以将用户系统变成发送垃圾电子邮件的机器人网络的一部分。机器人网络在几年之前就开始出现了。虽然这种木马的网络规模似乎并不是很大,但是Stewart说,从SpamThru的情况可以看出,网络罪犯们现在已经能够像开发其他商业软件一样来开发垃圾电子邮件软件了。
他说:“垃圾电子邮件软件开发的复杂性和范围堪比某些商业软件。显然,为了保证他们的收益,垃圾电子邮件发送者在机器人网络的建设上投入了大量的投资。”为了将系统资源最大化,以前也曾经出现过试图将其他恶意软件关闭的木马程序,但是SpamThru可以在系统中安装一个盗版的卡巴斯基杀毒工具,然后跳过它自己的文件将其他恶意软件清除。
为了避免卡巴斯基杀毒软件因许可证到期而拒绝运行,它修改了卡巴斯基动态链接库中的许可证签名校验。它通过网络端对端协议来控制机器人网络之间的通信,这也使得机器人网络很难被清除干净。机器人网络中有一台中央服务器控制着整个网络,如果这台控制服务器关闭的话,垃圾电子邮件发送者可以对剩余的客户端进行更新来重新定位中央服务器,直到他至少控制住一个客户端。
SecureWorks公司说,机器人网络中的每一个客户端都有它自己的垃圾电子邮件引擎,可以通过模板编制垃圾电子邮件,然后利用AES加密技术将它发送出去。
|