研究人員稱，惡意黑客已經(jīng)編寫了25個插件，制造了4000個變種，絕對的龐然大物。

Ponmocup 是世界上最成功、最古老、最大型的僵尸網(wǎng)絡(luò)。而人們一直低估了這個未知的威脅。目前，它已經(jīng)感染了1500萬個設(shè)備，通過掠奪銀行賬戶竊取了數(shù)百萬美金。

由八名Fox IT研究人員組成的小組在研究結(jié)果中稱，Ponmocup 僵尸網(wǎng)絡(luò)在2011年的高峰時期控制了240萬設(shè)備，而現(xiàn)在它控制的設(shè)備數(shù)大約為此峰值的一半。

馬丁·范丹齊格(Maarten van Dantzig)是該研究的第一作者，他在上周召開的 僵尸網(wǎng)絡(luò)大會(BotConf)上發(fā)布了論文《Ponmocup：暗影中的巨人(Ponmocup: A giant hiding in the shadows)》。

該論文的其他參與者還有：丹尼·海普納、弗蘭克·魯伊斯、約拿·科里金斯、胡云崢、埃里克·德容、克里金·德米克、倫納特·哈斯瑪。論文中稱，2006年首次發(fā)現(xiàn)的該惡意軟件特別注重隱匿，其編寫者可能是俄羅斯人，或已從中獲利數(shù)百萬美金。

“同其它網(wǎng)絡(luò)相比，Ponmocup 是目前最大的活躍僵尸網(wǎng)絡(luò);它存在了九年，也是歷史上最長的。然而，Ponmocup 很少引起注意，因為其操作者特別注意隱藏自己。”

“我們很難將 Ponmocup 僵尸網(wǎng)絡(luò)竊取的錢財精確量化，但據(jù)估算，經(jīng)過多年積累，該金額目前應該已經(jīng)達到百萬美元。”

[[158641]]

“首先，他們的基礎(chǔ)設(shè)施是復雜、分布式、廣泛的，服務(wù)器都有專門的任務(wù)。”

范丹齊格說，攻擊者維護著的基礎(chǔ)設(shè)施相當全面，他們對其進行質(zhì)量測試，并進行升級，以提升健壯性和隱匿性。該系統(tǒng)能夠迅速處理風險。

黑客對 Windows 系統(tǒng)的接觸十分深入，可能有10年左右的惡意軟件開發(fā)經(jīng)驗。

目前為止，研究小組已經(jīng)發(fā)現(xiàn)了25種插件和高達4000個變種，這表明 Ponmocup 僵尸網(wǎng)絡(luò)正不斷發(fā)展。

該惡意軟件還搭載了反分析技術(shù)，它能夠啟發(fā)式檢查網(wǎng)絡(luò)環(huán)境、基于主機的分析工具、調(diào)試器、虛擬機環(huán)境。它還會巧妙地向分析師拋出假載荷。

其中一個載荷會向運行進程中注入一個顯然是可執(zhí)行的程序，它會將自己偽裝成隨處可見的廣告注入器。

相關(guān)報告下載鏈接：

https://foxitsecurity.files.wordpress.com/2015/12/foxit-whitepaper_ponmocup_1_1.pdf