賽門鐵克的安全研究人員近日稱，網絡犯罪分子正在使用ZeuS特洛伊木馬的一種改進版本，該版本不再需要命令與控制服務器(C&C)接收指令。

　　ZeuS僵尸網絡在網絡犯罪分子圈內非常流行，因為它可以從受感染系統上盜取各類信息、文檔和注冊證書。多年來，ZeuS已成為大多數針對網上銀行系統詐騙行為的首選武器。

　　這個特洛伊木馬的源代碼已于去年在互聯網上秘密發布，并允許第三方進行改進。

　　2011年11月，安全研究人員發現，一個經過大量修改的ZeuS變種能夠以P2P方式，從一臺缺少抵抗力的主機到另一臺主機進行接力式攻擊。

　　該特洛伊版本仍可連接C&C服務器，釋放被盜信息，接收指令，只有當服務器宕機時，才會使用P2P系統作為后備機制。

　　賽門鐵克最近又探測到一個新的變種，則完全不再需要C&C服務器。“僵尸網絡中的每個對等端都可以當做C&C服務器來使用，雖然這些端點并非真正的C&C服務器，”賽門鐵克研究人員Andrea Lelli在周三撰寫的博客中稱。

　　“僵尸網絡如今能夠從其他僵尸網絡下載指令、配置文件并執行。每臺受感染的電腦都可以為其他僵尸電腦提供數據，”她說。

　　為了實現這種功能，這一ZeuS變種的創建者們已將nginx Web服務器變成了特洛伊木馬，可以讓每臺受感染的電腦通過HTTP協議接收和發送數據。

　　這就讓ZeuS僵尸網絡變得更為靈活多變，因為它不再有安全研究人員所針對的單點故障，還能防止僵尸跟蹤系統如ZeusTracker干擾他們的攻擊。

　　“ZeusTracker在跟蹤和發布全球Zeus C&C服務器的IP塊地址列表方面取得了相當可觀的成就，”Lelli說，但是Zeus僵尸將其功能切換到P2P上就意味著ZeusTracker不再可能發布精確的Zeus C&C IP塊列表了。

　　很多機構都是靠在網絡層禁止Zeus流量來防止惡意軟件盜取敏感數據的。監控C&C IP地址還能幫助企業識別自己網絡中受感染的電腦。

　　賽門鐵克研究人員已經檢測到了這款新的ZeuS變種在分發偽裝成防病毒程序的惡意軟件。不過他們尚未搞清楚它是如何在沒有C&C服務器的情況下，將捕獲的信息返回給攻擊者的。

　　“分析還將繼續，我們正在努力挖掘這部分秘密，以便搞清楚新版ZeuS的整個生態鏈，”Lelli稱。