作者：趋势科技资深分析师Rik Ferguson

经过允许使用bixentro的Flickr相片

在提交给法院长达 162 页的文件中，微软和金融服务与信息服务分析中心（FS-ISAC）这一代表 4400 个金融机构的经贸团体，以及电子支付协会（NACHA）一起，控告了 ZeuS、SpyEye，以及 Ice IX 等僵尸网络背后的犯罪份子。

ZeuS、Ice-IX 和 SpyEye 程序在网络犯罪史上有着漫长而恶名昭着的地位，ZeuS 从 2006 年开始出现，2007 年被控告到法院，该恶意程序甚至需要为数百个僵尸网络的产生，以及消费者和企业银行帐户中数百万英镑的损失负责。SpyEye 原本是 ZeuS 的竞争对手，甚至该程序在发现目标电脑上被感染 ZeuS 后，还会清除后者。但最近这两个程序的代码已经被合并成一个单一的犯罪软件。

从微软提交给法庭的资料看，虽然说“John Does”的真实身份依然不清楚，但各方人马确实已经很努力地挖掘这个犯罪网络背后的庞大架构。材料中揭露了 ZeuS、SpyEye 以及 Ice-IX 的原作者以及两个后来加入的开发者的身份，两个 PDF 和 Flash 漏洞攻击代码的开发者，他们负责建立恶意文件，并将僵尸机器人植入受害者电脑。此外还有三个网页挂马开发者，他们开发脚本，并将虚假内容注入合法银行的网站。另外还有四个殭尸网络的托管商和 15 个殭尸网络营运商，七个培养钱骡（Mmoney mule）的人，三个负责将盗取的资金洗出的专家，以及一名负责处理从新增受害者处发送来信息的人。

提交给法院的文件显示，恶意网络架构已经遍布全球，从北美到英国、德国，再到伊朗、香港，甚至老挝，一直到澳大利亚。共有遍布 35 个注册商的 3357 个域名都已确认与 ZeuS 僵尸网络有关，这其中有 1703 个域名是在 Verisign 注册的。3月23日警察突击搜查了两个托管服务商，通过收缴电脑的方式破坏僵尸网络和犯罪活动。然而正如同微软所附注的，这次行动只关闭了两个 IP 地址并接管了 800 个监控中的域名（相关域名共有 3357 个），可想而知，该行动所收获的效果非常小。

当然网络犯罪份子不可能就这 39 人，并且目前也还没有人的身分能被确认，但是这份起诉书已经描绘出一种成熟的商业化网络犯罪模式。Slavik 和 Gribodemon 这样的犯罪份子已经逍遥法外多年，我们希望这种信息安全公司与执法单位之间的跨国合作可以继续进行下去，并最终对非法活动做出致命一击。

ZeuS 追踪计划列出了分布在全世界的，包含 806 个 ZeuS 和 Ice IX 的命令与控制服务器，其中有 343 个服务器目前还在线上活动着。SpyEye 追踪计划则列出了全球 487 个服务器，其中 16 个还在活动中。

＠原文出处：Beginning of the end for ZeuS/SpyEye?