研究人員稱，惡意黑客已經編寫了25個插件，制造了4000個變種，絕對的龐然大物。

Ponmocup 是世界上最成功、最古老、最大型的僵尸網絡。而人們一直低估了這個未知的威脅。目前，它已經感染了1500萬個設備，通過掠奪銀行賬戶竊取了數百萬美金。

由八名Fox IT研究人員組成的小組在研究結果中稱，Ponmocup 僵尸網絡在2011年的高峰時期控制了240萬設備，而現在它控制的設備數大約為此峰值的一半。

馬丁·范丹齊格（Maarten van Dantzig）是該研究的第一作者，他在上周召開的 僵尸網絡大會（BotConf）上發布了論文《Ponmocup：暗影中的巨人（Ponmocup: A giant hiding in the shadows）》。

該論文的其他參與者還有：丹尼·海普納、弗蘭克·魯伊斯、約拿·科里金斯、胡云崢、埃里克·德容、克里金·德米克、倫納特·哈斯瑪。論文中稱，2006年首次發現的該惡意軟件特別注重隱匿，其編寫者可能是俄羅斯人，或已從中獲利數百萬美金。

“同其它網絡相比，Ponmocup 是目前最大的活躍僵尸網絡；它存在了九年，也是歷史上最長的。然而，Ponmocup 很少引起注意，因為其操作者特別注意隱藏自己。”

“我們很難將 Ponmocup 僵尸網絡竊取的錢財精確量化，但據估算，經過多年積累，該金額目前應該已經達到百萬美元。”

“首先，他們的基礎設施是復雜、分布式、廣泛的，服務器都有專門的任務。”

范丹齊格說，攻擊者維護著的基礎設施相當全面，他們對其進行質量測試，并進行升級，以提升健壯性和隱匿性。該系統能夠迅速處理風險。

黑客對 Windows 系統的接觸十分深入，可能有10年左右的惡意軟件開發經驗。

目前為止，研究小組已經發現了25種插件和高達4000個變種，這表明 Ponmocup 僵尸網絡正不斷發展。

該惡意軟件還搭載了反分析技術，它能夠啟發式檢查網絡環境、基于主機的分析工具、調試器、虛擬機環境。它還會巧妙地向分析師拋出假載荷。

其中一個載荷會向運行進程中注入一個顯然是可執行的程序，它會將自己偽裝成隨處可見的廣告注入器。