日前，RSA反欺诈指挥中心发布2012年4月报告，报告显示，截止到2012年4月30日，Citadel木马已经是第四次升级了，客户手中的版本已经是1.3.4.0版。Citadel的特征、bug修复和模块的增加(每一个都是单独定价)，已经远远超越了Zeus所能提供的，因为随着法律的执行让木马开发者越来越不顺畅，Slavik开发的热忱逐渐变淡了。

　　有很多方面可以表明，Citadel是全新的Zeus：它是以Zeus的代码为基础的，它的所有功能都超越了目前的任何流氓软件组合。更重要的是，它是现在大力向犯罪分子推销的网络犯罪领域的唯一的一种商业流氓软件，理论上，Citadel正在慢慢地但很确定地改变着Zeus的操作者，颠覆了它们的排名，进一步吞噬了Zeus的市场份额。

　　如果将自己置身于刚刚决定开始投放僵尸的网络罪犯的立场上，那么“待办事项”清单上首先要做的事情是什么呢?寻求一种可以提供技术设定、支持、CRM、更新，以及能深入了解网络犯罪的犯罪工具包怎么样呢?它必须是在商业中可以获得的——检查;而且它的开发者必须是认证且能响应的——还要检查。在一个危险游戏中，显而易见的答案就是“什么是Citadel?”

　　Citadel与Zeus V2相比，真正发生改变的是什么?

　　RSA研究人员已经分析了Citadel木马的变量，并将大肆的宣传与Citadel的实际变化区分开来，Citadel与它的基本代码Zeus v2.0.8.9是不同的。下列功能是迄今为止已经观察到的主要变化：

　　Citadel的加密方法

　　回到关于Zeus v2变量如何与C&C服务器之间的沟通问题，研究人员回想起它是通过一种系统的加密算法进行加密的：RC4，带有创建者定义的事先共享的密钥。

　　研究发现，Zeus的有些变量使用的AES加密方法，而不是RC4，它更加强大，但仍然使用的是预先定义的密钥。

　　Citadel将两种加密方法结合在了一起，并在它们的基础上额外又加了一层：

　　–除了RC4密码之外，每一个Citadel变量都有一个硬编码的MD5串(可能是创建者设定的一大堆密码)。

　　–在运行时，MD5串会通过MD5功能再运行一次。

　　–这样，结果(新的MD5)就通过存储的密钥利用 RC4 进行了加密。

　　–最终结果被用于通过AES程序创建AES加密/解密密钥

　　–木马的信息传达就利用AES加密方法进行了加密。

　　这三层保护为僵尸控制者提供了开箱即用的强大加密方法——即使他们选择使用保护力度很弱的密码，实际上也不可能破坏他们的僵尸信息的传达。

　　当地域欺骗： Citadel的客户定制化DNS导向

　　从一开始发布，Citadel就为僵尸控制者介绍了这一新选项，以便于让他们在被感染的机器上改变名称解析行为。最起码，这意味着僵尸控制者可以决定受害人可以或不可以到达哪个URLs，以及受害人将要登录到哪一个页面，来代替他们原本要寻找的页面。

　　通过在两个DNS相关功能上安装钩子，就可以让这种导向变更发生：

　　1. 1. gethostbyname

　　2. 2. getaddrinfo

(责任编辑：)