研究人員稱，惡意黑客已經(jīng)編寫了25個(gè)插件，制造了4000個(gè)變種，絕對的龐然大物。

Ponmocup 是世界上最成功、最古老、最大型的僵尸網(wǎng)絡(luò)。而人們一直低估了這個(gè)未知的威脅。目前，它已經(jīng)感染了1500萬個(gè)設(shè)備，通過掠奪銀行賬戶竊取了數(shù)百萬美金。

由八名Fox IT研究人員組成的小組在研究結(jié)果中稱，Ponmocup 僵尸網(wǎng)絡(luò)在2011年的高峰時(shí)期控制了240萬設(shè)備，而現(xiàn)在它控制的設(shè)備數(shù)大約為此峰值的一半。

馬丁·范丹齊格(Maarten van Dantzig)是該研究的第一作者，他在上周召開的 僵尸網(wǎng)絡(luò)大會(BotConf)上發(fā)布了論文《Ponmocup：暗影中的巨人(Ponmocup: A giant hiding in the shadows)》。

該論文的其他參與者還有：丹尼·海普納、弗蘭克·魯伊斯、約拿·科里金斯、胡云崢、埃里克·德容、克里金·德米克、倫納特·哈斯瑪。論文中稱，2006年首次發(fā)現(xiàn)的該惡意軟件特別注重隱匿，其編寫者可能是俄羅斯人，或已從中獲利數(shù)百萬美金。

“同其它網(wǎng)絡(luò)相比，Ponmocup 是目前最大的活躍僵尸網(wǎng)絡(luò);它存在了九年，也是歷史上最長的。然而，Ponmocup 很少引起注意，因?yàn)槠洳僮髡咛貏e注意隱藏自己。”

“我們很難將 Ponmocup 僵尸網(wǎng)絡(luò)竊取的錢財(cái)精確量化，但據(jù)估算，經(jīng)過多年積累，該金額目前應(yīng)該已經(jīng)達(dá)到百萬美元。”

[[158641]]

“首先，他們的基礎(chǔ)設(shè)施是復(fù)雜、分布式、廣泛的，服務(wù)器都有專門的任務(wù)。”

范丹齊格說，攻擊者維護(hù)著的基礎(chǔ)設(shè)施相當(dāng)全面，他們對其進(jìn)行質(zhì)量測試，并進(jìn)行升級，以提升健壯性和隱匿性。該系統(tǒng)能夠迅速處理風(fēng)險(xiǎn)。

黑客對 Windows 系統(tǒng)的接觸十分深入，可能有10年左右的惡意軟件開發(fā)經(jīng)驗(yàn)。

目前為止，研究小組已經(jīng)發(fā)現(xiàn)了25種插件和高達(dá)4000個(gè)變種，這表明 Ponmocup 僵尸網(wǎng)絡(luò)正不斷發(fā)展。

該惡意軟件還搭載了反分析技術(shù)，它能夠啟發(fā)式檢查網(wǎng)絡(luò)環(huán)境、基于主機(jī)的分析工具、調(diào)試器、虛擬機(jī)環(huán)境。它還會巧妙地向分析師拋出假載荷。

其中一個(gè)載荷會向運(yùn)行進(jìn)程中注入一個(gè)顯然是可執(zhí)行的程序，它會將自己偽裝成隨處可見的廣告注入器。

相關(guān)報(bào)告下載鏈接：

https://foxitsecurity.files.wordpress.com/2015/12/foxit-whitepaper_ponmocup_1_1.pdf