趋势科技协助FBI将SpyEye 银行木马绳之于法

前几日美国司法部宣布恶名昭彰的SpyEye银行恶意软件作者已经认罪。趋势科技在这次的调查中扮演了至关重要的角色，和美国联邦调查局合作这个案子很长一段时间，团队花费了相当大的力气来调查该事件终于圆满结束。
我们的调查
Panin和Bendelladj两名罪犯都参与建立和设置各SpyEye网域和服务器，这也是我们获得这对犯罪伙伴信息的来源。虽然SpyEye的建立仅仅有很少的文件公开，我们还是仍然拿到这些文件并取得文件中的信息，其中包括（比方说）服务器控制者的电子邮件地址。
我们将这些设定档所取得资料和我们在其他地方所收集到的资料进行关联，例如我们潜入各个已知Panin和Bendelladj会访问的地下论坛。只要阅读他们所发布的文章，他们会在不经意间透露电子邮件地址、ICQ号码或Jabber号码等信息，这些都有可能揭露他们的真实身份等资料。
例如，我们发现了C＆C服务器lloydstsb.bz也和SpyEye程序和设定档有关。解密过的设定档包含了代码bx1。该服务器上的设定档也包含了电子邮件地址。第二个设定档（也用了bx1）被发现含有virtest的登录凭证 ，这是网络犯罪份子所使用的侦测测试服务。所有的资料都我们都用来帮助美国联邦调查局查找他的真实身份。
图一、设定档
接下来在地下论坛的贴文显示Bendelladj和SpyEye的关连比他所公开宣称的还要更深入：



图二、地下论坛贴文
下图显示出各种不同网站、电子邮件地址和Bendelladj所使用恶意软件间的关联：



图三、此图显示各网站、电子邮件地址和恶意软件间的关系



调查Gribodemon
我们对Panin进行了相同的调查。就跟他的犯罪伙伴一样，我们发现Panin可以连结到各网域名称和电子邮件地址。
虽然Panin认为自己很善于隐藏踪迹，但现在很明显地，他没有自己想象的那么高明。大概在他贩卖SpyEye的时候，他也变得非常草率和不小心，尽管使用多个代号和电子邮件地址，趋势科技还是能够与美国联邦调查局共享所有信息，并帮忙找到他的真实身份。
Panin在2009年开始贩卖SpyEye，并迅速成为较知名ZeuS的强力竞争对手。在当时，它因为成本较低和可增加客制化外挂程序等ZeuS并未提供的功能而受到欢迎。在2010年底，我们在两篇文章（第一部和第二部）里好好的介绍了SpyEye的控制面板。
有些网络犯罪分子并不喜欢SpyEye，因为它和ZeuS比较起来有较糟的编码，但还是有人喜欢SpyEye所带来的功能。无论如何，SpyEye在网络犯罪社群里已经足够有名，当ZeuS作者Slavik离开时，他将程序码给了Panin。
Panin利用这程序码来建立新版本的SpyEye，它结合了旧版本SpyEye和Zeus的功能。另外，他将部分程序编写工作外包给他的同伴（如Bendelladj ）以提高SpyEye的质量。后来的版本在底层程序码有显著的改变，包括使用来自ZeuS的程序码。
这次逮捕事件显示安全厂商如何与执法单位密切合作，可以达成有效的结果。将目标放在网络犯罪份子本身而非他们的服务器，可以确保对整个地下世界造成永久性的破坏，而不只是像让服务停摆所造成相对快速和容易修复的损害。我们认为这是攻击网络犯罪和让所有使用者上网更安全的作法。
了解趋势科技服务器深度安全防护系统—Deep Security 9.0相关产品，请点击链接：
http://cn.trendmicro.com/cn/products/enterprise/DSDeepSecurity/index.html