全球網際網路最強木馬：Sinowal被曝光

　　近日，美國RSA FraudAction研究實驗室釋出報告表示，根據對Sinowal木馬(也稱為Torpig和Mebroot)進行的跟蹤和研究，結果表明，這可能是黑客組織建立的最普遍和最先進的犯罪軟體。

　　事實上，追溯到2006年2月，Sinowal木馬已經破壞並竊取了大約30萬個網上銀行賬戶的登入憑證，以及相同數量的信用卡和借記卡。其他如電子郵件和眾多網站的FTP賬戶等資訊，也受到了損害和盜竊。

　　有安全專家表示，Sinowal一直是業內謠言和猜測的話題，但關於其來源地資訊卻知之甚少。人們通常更瞭解其他木馬程式的來源。有人聲稱，它是俄羅斯網上團伙擁有和操縱的，即臭名昭著的俄羅斯商業網(RBN)。一些資料證實了Sinowal木馬在過去確實與RBN有著極為緊密的聯絡，但最新的研究表明，目前Sinowal的託管設施可能已經發生了變化，不再與RBN有關。

　　之所以將Sinowal認定為網際網路中的最強木馬，主要原因在於，Sinowal可以在沒有任何痕跡的情況下感染受害者的電腦。Sinowal背後的犯罪分子不僅建立了極其先進的惡意犯罪軟體，而且還維護著一個極其隱蔽和可靠的通訊基礎設施。這個基礎設施已經讓Sinowal收集並傳送了將近三年的資訊。

　　令記者吃驚的是，這些被盜資料在一個組織良好的資料倉儲中得到了系統的組織、分析和挖掘。而這一點足以領先國內眾多的企業資料中心了。目前 Sinowal在全球已經成功執行了三年，對於一個網上團伙維持其生命週期和操控，以有效利用一個木馬程式來說，已經是一個相當長的時間了。

　　記者就此話題曾經諮詢過國內的安全專家，大家的看法是，很少遇到多年來一直在不斷竊取和收集個人資訊和信用卡資料的犯罪軟體。因此可以肯定的是，除了漫長的生命週期，Sinowal也有著巨大的演變——它的攻擊頻率從今年的3月開始有了急劇的攀升。

　　據美國《Network World》報導，Sinowal木馬的建立者會定期釋出新的變種，並登記成千上萬的網際網路域名作為其通訊資源。這樣做的目的是為了能使木馬不間斷地掌控受感染的計算機。

　　目前來看，Sinowal使用了HTML注入功能，有效地將新的網頁或資訊欄位注入到受害者的網際網路瀏覽器——而這些注入的內容對受害者來說，看起來像是合法的網頁。比如，Sinowal能夠假冒對不知情的受害者提示輸入個人資訊。另外一種危害，就是那些導致Sinowal實際啟動這一提示和其他功能的URL“觸發器”。據統計，Sinowal被超過2700個特定網址所觸發，這意味著當使用者訪問成千上百個全球金融機構網站時，這個木馬就會迅速啟動。

　　安全專家對Sinowal竊取的龐大資料量非常驚訝。損害的資料屬於世界許多地區內數百家金融機構的客戶。已經被確認受到影響的金融機構有北美、歐洲(英國、法國、西班牙、德國、荷蘭、義大利)、亞太(澳大利亞、中國、馬來西亞)，以及一些拉丁美洲國家。然而，目前還沒有俄羅斯金融機構受到 Sinowal的損害。