一款新型金融歹意法度呈此刻了俄罗斯收集犯法论坛上,该法度经由过程I2P匿名收集向报复打击者发送信息。
据Trusteer一名传播鼓吹见过其推销案牍的安然研究员流露,该歹意法度名叫i2Ninja,它将I2P收集当作C&C(号令和节制)通道。
I2P是一种漫衍式的端到端收集,利用若干加密层实现安然且匿名的连接,成立暗中收集,也就是互联网中自力存在的收集。和更加活跃的暗中收集Tor近似,I2P的目标就是只在收集内部承诺各类办事,并且只能从内部对这些办事进行拜候。
运行于.i2p子虚域名的匿名网站只能经由过程EepProxy拜候,这是一个连接浏览器和I2P收集的代办署理法度。
i2Ninja成立者发布的帖子表白,歹意软件具有其他金融歹意软件中的大年夜大都特点。例如,可以进进Web表单盗窃信息,然后将恍惚的内容注进HTTP和IE,火狐还有Chrome等浏览器中的HTTPS对话。它能从33FTP客户端和一些收集博彩客户端那边盗窃登录根据。
对僵尸收集的把持者而言,利用Tor或I2P这类暗中收集可带来好处。第一,歹意法度和号令办事器之间的流量不会被进侵防御系统或防火墙等闲反对,因为其数据是加密的,反病毒厂商卡巴斯基尝试室的歹意法度研究员Dmitry Tarakanov周四在邮件中暗示。
反对这类歹意数据流意味着要反对所有的I2P或Tor数据流,假定从这类收集数据包中提取准确的目标地仅仅是为了反对某一特定连接,那这类把持是不成能的。Tarakanov说。别的,将C&C办事器躲在I2P或Tor收集当中,安然阐发员就很难发现并粉碎这些办事器。
已呈现过操纵Tor做C&C通道的案例,和Mevade僵尸收集的一样,如许的案例造成八月Tor用户数量激增。
还不清晰i2Ninja是不是具有Gameover或Hlux/Kelihos僵尸收集的功能,因为传染后面两种僵尸收集的电脑会轮番传递信息和号令。假定是如许,就很难摧毁基于这类歹意法度的僵尸收集,Tarakanov说。
也不清晰是不是已有人用i2Ninja传染电脑。Trusteer在收集犯法论坛声明的根本上写了一份陈述,不外还没有样本哈希可助反病毒公司在本身的数据库中搜刮这一歹意法度。
因为i2Ninja正在售卖给收集犯警分子,它可能操纵常见的编制传播:垃圾邮件,在已传染的网站下载不良数据激发报复打击,经由过程已有僵尸收集直接安装,Tarakanov说。