为了实施这一功能，配置文件中增加了一种新模块，包含名称和IP配对。无论被感染的程序[2]何时想要解析一个IP地址的主机名称，它的请求首先都会通过Citadel的程序。这时木马就会试图利用常规机制来解析地址;如果解析成功，它会通过它自己的配置来报告名称/IP配对。如果找到这样的匹配——木马将会把预先定义好的(具有欺诈性的)地址返回给请求者。

　　值得一提的是，如果常规DNS请求失败(域名不存在、断网等)，即使在僵尸控制者的配置中找到了匹配的地址，Citadel也会把原始的错误信息反馈给请求者。这种行为使得导向变更在网络监控方面和典型的查询/回答时间方面显得更加不那么可疑。

　　当地域欺骗功能使得僵尸网络操作者可以使用两个主要的攻击向量：

　　–隔离被感染的机器，阻止它访问某些“不想要的”服务，包括AV供应商、基于网页的流氓软件扫描、安全运营商的网站、滥用清单和流氓软件更新服务器。

　　–容易被当地域欺骗使用的第二个攻击向量是复杂的网络钓鱼攻击的部署，当感染木马的受害者通过他们的浏览器试图去一个合法URL时，他们会被导向具有欺诈性的服务器。

　　Citadel在C&C服务器方面的改进和安全补丁

　　Citadel木马使用的是著名的Zeus服务器面板，并根据基于网页的攻击为它打了补丁。另外一项微小的变化是面板的视觉设计，使它变得看起来更加专业，并为被感染的僵尸增加了控制。只要团队觉得合适，可以将Citadel的许多功能和选项都植入面板中。

　　利用Citadel进行网络犯罪的成本

　　网络骗子愿意为这新一代网络犯罪工具包支付的成本是多少?下表列出了目前Citadel及其各个技术设置、支持、更新和其他各项特征的销售价格：

　　Citadel的未来如何?

　　开发Citadel的团队似乎在非常认真地对待这个项目，似乎在不知疲倦地为受到打击的Zeus机制打补丁并添加新的补丁，使得这种木马越来越模块化，越来越适合网络犯罪的应用。

　　Citadel木马正在欺诈地下市场中大肆营销，并且将成为2012年被赖以依靠的网络犯罪工具包。从3月份到4月份，RSA发现，在我们所分析过的木马攻击中，对Citadel的使用提高了20%。RSA正在不断地研究Citadel木马，并且将继续报告新发现。

　　·每个月的网络钓鱼攻击数量

　　4月份，全球网络钓鱼攻击的总数量增加了86%。RSA识别出的独特的网络钓鱼攻击一共有35,558次。

　　·受攻击品牌的数量

(责任编辑：)