论坛售卖金融恶意软件 “搭乘”秘密I2P通道

ZDNET安全频道 11月22日 国际新闻：一款新型金融恶意程序出现在了俄罗斯网络犯罪论坛上，该程序通过I2P匿名网络向攻击者发送信息。

据Trusteer一名声称见过其推销文案的安全研究员透露，该恶意程序名叫i2Ninja，它将I2P网络当做C&C（命令和控制）通道。

I2P是一种分布式的端到端网络，使用若干加密层实现安全且匿名的连接，创建黑暗网络，也就是互联网中独立存在的网络。和更为活跃的黑暗网络Tor类似，I2P的目的就是只在网络内部允许各类服务，而且只能从内部对这些服务进行访问。

运行于.i2p虚假域名的匿名网站只能通过EepProxy访问，这是一个连接浏览器和I2P网络的代理程序。

i2Ninja创建者发布的帖子表明，恶意软件具备其他金融恶意软件中的大多数特性。例如，可以进入Web表单盗窃信息，然后将模糊的内容注入HTTP以及IE，火狐还有Chrome等浏览器中的HTTPS对话。它能从33FTP客户端和一些网络博彩客户端那里盗窃登录凭据。

对于僵尸网络的操纵者而言，使用Tor或I2P这类黑暗网络可带来好处。第一，恶意程序和命令服务器之间的流量不会被入侵防御系统或防火墙轻易拦截，因为其数据是加密的，反病毒厂商卡巴斯基实验室的恶意程序研究员Dmitry Tarakanov周四在邮件中表示。

拦截这种恶意数据流意味着要拦截所有的I2P或Tor数据流，如果从这类网络数据包中提取准确的目的地仅仅是为了拦截某一特定连接，那这种操作是不可能的。Tarakanov说。此外，将C&C服务器藏在I2P或Tor网络之中，安全分析员就很难发现并破坏这些服务器。

已经出现过利用Tor做C&C通道的案例，和Mevade僵尸网络的一样，这样的案例造成八月Tor用户数量激增。

还不清楚i2Ninja是否具备Gameover或Hlux/Kelihos僵尸网络的功能，因为感染后面两种僵尸网络的电脑会轮番传递信息和命令。如果是这样，就很难摧毁基于这种恶意程序的僵尸网络，Tarakanov说。

也不清楚是否已经有人用i2Ninja感染电脑。Trusteer在网络犯罪论坛声明的基础上写了一份报告，不过还没有样本哈希可助反病毒公司在自己的数据库中搜索这一恶意程序。

由于i2Ninja正在售卖给网络不法分子，它可能利用常见的方式传播：垃圾邮件，在已经感染的网站下载不良数据引发攻击，通过已有僵尸网络直接安装，Tarakanov说。