G Data安全中心發現了疑似情報機構的間諜軟體,被用來竊取機密資訊,這是一款非常複雜的惡意軟體,G Data將這款軟體稱為Uroburos病毒,在該惡意軟體的代碼中發現與Uroburos一樣的字串,此病毒估算至少於3年前就開始行動了,企業、國家、情報單位等機構應多留意。
何謂Uroburos?這是一個Rootkit,由兩個檔組成,分別是驅動檔和加密的虛擬檔案系統,Rootkit能控制一台被感染病毒的電腦,隨意執行命令及隱藏系統執行,可竊取資訊及截取網路流量,其模組化的結構可以輕鬆擴展新的功能特徵,此種設計不僅極其難對付,而且變化多端具危險性,Uroburos的驅動程式相當複雜,非常難以識別是否為病毒。
該病毒的技術難度,開發像Uroburos這樣的病毒是一項大工程,從此病毒的設計和Rootkit設計即能看出端倪,後面的研發是由一批專業的電腦高手組成,並且繼續開發更高的變種病毒,這需繼續去跟蹤發現。Uroburos的原理是點對點模式,也就是受到感染的電腦與網路中,與其他電腦有通訊連接,由駭客遠端控制,對受感染的的電腦在網路中操控後,惡意病毒就能進一步感染網路中其他電腦,可監控每一台受感染的電腦,並透過接力傳遞方式從受感染的電腦傳到與網路連接的電腦,將竊取的資訊發給駭客,此惡意行為主要被用在大型公司網路或公共主管部門內進行散佈,駭客瞭解被攻擊的人一定會切斷電腦與網路的連接,使用該技術作為變通方案來達到目的。
Uroburos支援32和64位元微軟作業系統,由於該惡意軟體的複雜性,以及所使用的間諜技術,此Rootkit的目標很可能是政府、研究機構、或大型企業,有可能與俄羅斯攻擊美國有關,由於眾多的技術細節(檔案名、加密金鑰、行為和等多項詳細資訊),推測Uroburos研發是一個組織,在2008年使用一種叫做Agent.BTZ的惡意軟體展開對美國的網路攻擊,Uroburos檢查Agent.BTZ是存在的,如果Agent.BTZ被安裝的話,將會處於未開啟的狀態,並顯示Uroburos有俄語出現在病毒樣本中,與Agent.BTZ.的使用俄語資訊吻合。
根據G Data對惡意軟體分析和研究的資訊來看,使用Uroburos攻擊對象不是普通用戶,而是針對在企業、國家、情報單位等為目標,Uroburos Rootkit是至今為止分析的最高級的Rootkit之一,最早的驅動檔編譯於2011年,就目前的調查結果來看,無法得知Uroburos是怎樣滲透至高配置的網路。