#1 僵尸何必为难僵尸: 探秘“流氓”僵尸网络母巢
2010-09-09 16:21:48
当你的电脑被僵尸病毒或者说僵尸网络控制后,接下来僵尸通常要做的是“吃你的脑子”(拿走你珍藏多年的银行密码、网游帐号、虚拟货币之类),但是SpyEye这样的僵尸程序会“排挤”甚至“迫害”僵尸同行,这种为同道所不耻的“流氓”行为,很可能引发僵尸之间的战争。下面,趋势科技将带你参观SpyEye的“母巢”…
来源:趋势科技
搞防病毒的都听说过SpyEye,一个会关闭数据偷窃型僵尸网络(如ZeuS/ZBOT)的“恶意”软件。SpyEye能阻止ZeuS在被感染系统上的运行,也因此赢得“ZeuS杀手”称号。年初的时候,趋势科技曾经有篇博文专门讨论“僵尸战争”的新现象,题目是:“小心EYEBOT,僵尸战争或将打响”。
我们深入调查了一个SpyEye僵尸网络的命令与控制中心(command-and –control)服务器,这里控制着的僵尸大多来自波兰。这有些不同寻常,因为“僵尸牧场主”通常喜欢把目标对准美国、英国、德国、意大利、西班牙和法国等西方国家。
我们打探的这台僵尸控制服务器位于乌克兰:
IP地址:xxx.xxx.159.29
组织:Tavria Host Network
ISP: PAN-SAM Ltd.
ASN:AS196814
我们成功访问了这台SpyEye僵尸控制服务器上的多个控制页面,发现很多有趣的信息,例如该网络控制的僵尸数量和位置等。
图1:僵尸的分布和位置
我们还发现根据操作系统类型、浏览器版本、以及是否已管理员帐号运行等分门别类统计的僵尸数据:
图2:操作系统分布
图3:IE版本分布
图4:管理员权限统计
最精彩的部分来了,我们看到了僵尸配置页面,甚至僵尸网络偷来的数据细节!
图5:僵尸配置细节
图6:僵尸配置细节
图7:偷来的数据就是这个样子滴
翻遍服务器的数据,我们发现不少“账户”赃物,这些赃物来自银行、社交网络以及招聘网站。这台僵尸网络控制服务器的安全意识实在不咋地,事实上,有很多开放的文件夹和可直接看到的配置文件。我们还从这台服务器提取了400MB偷窃来的数据。
给用户感染上SpyEye恶意软件后,僵尸管理员开始推送新的TDSS变种,经检测为TROJ_TDSS.VAD,这将SpyEye与安装付费(Pay-per-install)业务网络联系起来。
图8:安装付费网络(Pay-per-install)
我们将持续监控这台僵尸控制服务器,以及整个僵尸网络,最新进展请关注趋势科技的博客。http://blog.sina.com.cn/s/blog_59acc8e20100kmm5.html?tj=1
本文版权为趋势科技所有,对于非赢利网站或媒体转载请注明作者以及原文链接。谢谢合作!
| 
