EMC旗下信息安全部RSA內的RSA FraudAction研究實驗室希望與你分享對Sinowal木馬程式，亦稱Torpig和Mebroot，所進行的追蹤和研究所得出的驚人結果。此項研究結果，是建基於過去三年所收集到有關此木馬程式的數據 - 包括其設計和基礎的資訊，結果顯示這可能是由欺詐者所創造歷來滲透性最強和最先進的犯罪軟件。

我們最近發現截至2006年2月，Sinowal木馬程式已經破壞並盜取了約30萬個網上銀行帳戶的登入認證，以及相等數量的信用卡和提款卡的登入認證資訊。其他資訊如電子郵件和來自各大網站的FTP帳戶，亦同樣受到損害和被盜取。

Sinowal一直為業內謠言和猜測的熱門話題，但對其來源卻所知甚少。一般人反而更清楚其他木馬程式的來源。有人聲稱Sinowal是由俄羅斯聲名狼藉的網上不法之徒俄羅斯商業網（Russian Business Network，RBN）所擁有和操控。我們的資料顯示Sinowal木馬程式以往確曾與RBN有緊密聯繫，但我們的研究亦發現Sinowal目前的寄存設備可能已經改變，不再與RBN有關。

那麼，為什麼Sinowal是其中一項對互聯網用戶最嚴重的威脅？簡單而言，Sinowal在不留任何痕跡的情況之下，就可感染受害者的電腦。Sinowal背後的不法之徒不僅創造了極為先進的惡意犯罪軟件，更維持著一個極為隱蔽和可靠的通信基礎設施。這基礎設施已經讓Sinowal收集並傳送資訊達將近三年時間。此外，被盜取的資料更加在一個安排妥善的資料庫內有系統地整理。對於單一網上不法集團只以一個木馬程式，就可以有效地維持其生命周期和活動達將近三年之久，確實是一段十分之長的時間。

我們自2006年以來，很少遇到一直在不斷盜取和收集個人資訊和付款卡數據的犯罪軟件。除了極長的生命周期外，Sinowal也有著大幅度的演變--它的攻擊率從今年的3月到9月正急劇上升。

Sinowal木馬程式的創造者會定期為程式發布新型變種，並登記成千上萬的互聯網域名作為其通信資源。這樣做的目的，是為了能使木馬程式不間斷地控制受感染的電腦。下圖顯示了Sinowal木馬程式的創造者為程式創立新型變種的速度。

Sinowal如何運作的研究結果
一如其他木馬程式，Sinowal使用了HTML注入功能，有效地將新的網頁或資訊字段注入受害者的互聯網瀏覽器--而這些注入的內容對受害者來說，看起來就像是合法的網頁。例如Sinowal能夠假冒並對不知情的受害者提示輸入個人資料，如社會安全號碼和其他詳細資料，而他們所使用的銀行其實已承諾過，永不會要求用戶在網上提供這類型個人資料。即使這樣的提示已不是盜取認證和其他資訊的嶄新方法，但對我們危害最大的其實是那些數量龐大的URL「觸發器」，讓Sinowal迅速啟動並觸發其它功能。Sinowal受超過2700個特定網址觸發，這表示每當用戶訪問全球上百個金融機構網站時，這個木馬程式就會迅速?動。

Sinowal盜取大量數據 情況異常驚人
只需要由一個犯罪集團操控的單一木馬程式，已經能夠感染數十萬台電腦，從用戶的賬戶中破壞及盜取資料。

受破壞的資料來自世界各地數百家金融機構的客戶，受影響的金融機構包括北美洲 (美國和加拿大) ，歐洲 (英國，法國，西班牙，德國，荷蘭，意大利和其他國家)，亞太區 (澳洲，中國，馬來西亞和其他國家)，以及一些拉丁美洲的國家。然而，我們發現並沒有來自俄羅斯的賬戶資料受Sinowal影響而外洩。

於過去6個月，Sinowal木馬已經破壞並盜取了超過十萬個網上銀行帳戶的登入認證。下圖顯示了Sinowal洩露網上理財戶口的情況：

RSA FraudAction研究實驗室目前正與RSA反欺詐(Anti-Fraud)控制中心合作，與有關方面分享其研究結果。我們已經向一些受影響的金融機構發放了大量有關已受破壞數據的資料，並與部份執法機構聯絡，通知他們有關我們的調查結果。