从4月17日开始,一种新的、更诡秘的俄罗斯木马“Gozi”开始在互联网上泛滥,目前已经在全球各地盗取了2000多名用户的私人数据,即使SSL加密协议在它面前也没什么抵抗力。
Gozi和它的前辈一样,专门通过加密的SSL数据流来盗取信息,并将其发送到位于俄罗斯的一台服务器上,包括银行和信用卡账户信息、社会安全号码、在线支付账户、用户名和密码等等。
发现Gozi变种木马的是美国亚特兰大SecureWorks Inc.公司的安全研究员Don Jackson。今年一月,也是他发现了最初的Gozi。第一版Gozi曾经盗取了10000多条机密信息,受害者包括5200多名家庭、企业、政府机构和法律组织的用户。
Jackson表示,Gozi的变种与其最初版本在代码和目的上一致,但也进行了两处增强:首先是采用了一种全新的封装技术,而不是第一代所用的“Upack”,以此对其木马代码进行加密、压缩、破坏甚至删除,从而让传统的安全工具无法检测;第二,新版Gozi还具备按键记录能力,以此协助盗取SSL加密数据流,但其启动方法目前还不清楚。
据介绍,Gozi利用微软IE浏览器的iFrame框架漏洞进行感染,用户在访问某些网站、社区论坛、社交网络、小型企业网页的时候就可能会中招。
经过努力,目前的三十大杀毒软件中已经有一半可以在不同程度上发现并清除Gozi。