RSA FraudAction研究实验室根据对Sinowal木马,也称为Torpig和Mebroot,进行的跟踪和研究 ,愿意分享其令人吃惊的研究成果。我们的研究成果是建立在近三年来收集的有关该木马数据的基础之上--包括其设计和基础设施相关的信息--结果表明,这可能是欺诈者曾经创建的最普遍和最先进的犯罪软件。
最近我们发现,追溯到2006年2月,Sinowal木马已经破坏并窃取了大约30万个网上银行帐户的登录凭证,以及相同数量的信用卡和借记卡。其他如电子邮件和众多网站的FTP帐户等信息,也受到了损害和盗窃。
Sinowal一直是业内谣言和猜测的话题,但关于其来源地信息却知之甚少。人们通常更了解其他木马程序的来源。有的声称,它是俄罗斯网上团伙拥有和操纵的,即臭名昭著的俄罗斯商业网(RBN) 。我们的数据证实了Sinowal木马在过去确实与RBN有着极为紧密的联系,但我们的研究表明,目前Sinowal的托管设施可能已经发生了变化,不再与RBN有关。
Sinowal成最为严重的威胁?
那么,为什么Sinowal对于连接互联网的用户来说,是最为严重的威胁之一?
简而言之, Sinowal在没有任何痕迹的情况下感染受害者的电脑。Sinowal背后的犯罪分子不仅创建了极其先进的恶意犯罪软件,而且还维护着一个极其隐蔽和可靠的通信基础设施。这个基础设施已经让Sinowal收集并传送了将近三年的信息。此外,盗窃的数据在一个组织良好的数据仓库中得到了系统的组织。近三年的时间,对于一个网上团伙维持其生命周期和操控,以有效利用一个木马程序来说,已经是一个非常非常长的时间了。
我们很少遇到自2006年以来,一直在不断窃取和收集个人信息和支付卡数据的犯罪软件。除了其漫长的生命期外,Sinowal也有着巨大幅度的演变--它的攻击率从今年的3月到9月有了急剧的攀升。
Sinowal木马的创建者会定期发布新的变种,并登记成千上万的互联网域名作为其通信资源。这样做的目的是为了能使木马不间断地掌控受感染的计算机。下图显示了Sinowal木马的创建者创造新变种的速度。