一款新型金融惡意程序出現(xiàn)在了俄羅斯網(wǎng)絡犯罪論壇上，該程序通過I2P匿名網(wǎng)絡向攻擊者發(fā)送信息。

據(jù)Trusteer一名聲稱見過其推銷文案的安全研究員透露，該惡意程序名叫i2Ninja，它將I2P網(wǎng)絡當做C&C(命令和控制)通道。

I2P是一種分布式的端到端網(wǎng)絡，使用若干加密層實現(xiàn)安全且匿名的連接，創(chuàng)建黑暗網(wǎng)絡，也就是互聯(lián)網(wǎng)中獨立存在的網(wǎng)絡。和更為活躍的黑暗網(wǎng)絡Tor類似，I2P的目的就是只在網(wǎng)絡內(nèi)部允許各類服務，而且只能從內(nèi)部對這些服務進行訪問。

運行于.i2p虛假域名的匿名網(wǎng)站只能通過EepProxy訪問，這是一個連接瀏覽器和I2P網(wǎng)絡的代理程序。

i2Ninja創(chuàng)建者發(fā)布的帖子表明，惡意軟件具備其他金融惡意軟件中的大多數(shù)特性。例如，可以進入Web表單盜竊信息，然后將模糊的內(nèi)容注入HTTP以及IE，火狐還有Chrome等瀏覽器中的HTTPS對話。它能從33FTP客戶端和一些網(wǎng)絡博彩客戶端那里盜竊登錄憑據(jù)。

對于僵尸網(wǎng)絡的操縱者而言，使用Tor或I2P這類黑暗網(wǎng)絡可帶來好處。第一，惡意程序和命令服務器之間的流量不會被入侵防御系統(tǒng)或防火墻輕易攔截，因為其數(shù)據(jù)是加密的，反病毒廠商卡巴斯基實驗室的惡意程序研究員Dmitry Tarakanov周四在郵件中表示。

攔截這種惡意數(shù)據(jù)流意味著要攔截所有的I2P或Tor數(shù)據(jù)流，如果從這類網(wǎng)絡數(shù)據(jù)包中提取準確的目的地僅僅是為了攔截某一特定連接，那這種操作是不可能的。Tarakanov說。此外，將C&C服務器藏在I2P或Tor網(wǎng)絡之中，安全分析員就很難發(fā)現(xiàn)并破壞這些服務器。

已經(jīng)出現(xiàn)過利用Tor做C&C通道的案例，和Mevade僵尸網(wǎng)絡的一樣，這樣的案例造成八月Tor用戶數(shù)量激增。

還不清楚i2Ninja是否具備Gameover或Hlux/Kelihos僵尸網(wǎng)絡的功能，因為感染后面兩種僵尸網(wǎng)絡的電腦會輪番傳遞信息和命令。如果是這樣，就很難摧毀基于這種惡意程序的僵尸網(wǎng)絡，Tarakanov說。

也不清楚是否已經(jīng)有人用i2Ninja感染電腦。Trusteer在網(wǎng)絡犯罪論壇聲明的基礎(chǔ)上寫了一份報告，不過還沒有樣本哈希可助反病毒公司在自己的數(shù)據(jù)庫中搜索這一惡意程序。

由于i2Ninja正在售賣給網(wǎng)絡不法分子，它可能利用常見的方式傳播：垃圾郵件，在已經(jīng)感染的網(wǎng)站下載不良數(shù)據(jù)引發(fā)攻擊，通過已有僵尸網(wǎng)絡直接安裝，Tarakanov說。