旷世神医,我吃西红柿

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

剖析ZeuS木馬如何安全躲避僵尸網(wǎng)絡嗅偵

ZeuS/ZBOT Trojans木馬的標準行為之一是會下載設定文件。設定文件中含有其僵尸網(wǎng)絡/傀儡網(wǎng)絡Botnet的程序細節(jié)，如目標是哪個網(wǎng)站，要接觸哪些URL來下載本身的更新或進行復制，要將偷到手的資料傳到哪些URL，以及要到哪些URL去下載額外/備份的設定文件。

創(chuàng)新互聯(lián)建站專注于企業(yè)全網(wǎng)整合營銷推廣、網(wǎng)站重做改版、海林網(wǎng)站定制設計、自適應品牌網(wǎng)站建設、成都h5網(wǎng)站建設、商城網(wǎng)站建設、集團公司官網(wǎng)建設、外貿營銷網(wǎng)站建設、高端網(wǎng)站制作、響應式網(wǎng)頁設計等建站業(yè)務，價格優(yōu)惠性價比高，為海林等各大城市提供網(wǎng)站開發(fā)制作服務。

不過最近我看到ZeuS變種的原始設定文件參考了一式可疑的URL列表，供此變種下載備份設定文件。

圖1　下載設定文件用的URL

這式來自ZeuS變種的列表經(jīng)趨勢科技偵測出為TSPY_ZBOT.BVQ。設定文件比多數(shù)的ZeuS變種長了許多，而其網(wǎng)域名看來也不太尋常。當我想要檢查時，列表中所有的URL皆已無法進入，而多數(shù)的網(wǎng)域皆未經(jīng)登記。

除此之外，URL列表中也未包括用來當做產生與更新復制的{已攔截}ikal.com。這個網(wǎng)站是ZeuS用來更新版本及設定文件的所在，通常都會被包含在相同的網(wǎng)域中。

在檢查惡意軟件本身的程序代碼時發(fā)現(xiàn)，惡意軟件的確會自http://{已攔截}ikal.com/eu5.bin下載主要的設定文件。

圖2　TSPY_ZBOT.BVQ程序碼樣本

就我的看法認為，使用ZeuS的網(wǎng)絡犯罪份子刻意使用這個手法，來避免安全研究人員輕易地從他們的活動中取得資料。這些額外的URL可被用來當做備份更新位置，以防主要位置遭破獲。

我更進一步發(fā)現(xiàn)，最近愈來愈多的ZeuS變種不再利用虛擬環(huán)境來運作，這表示安全研究人員需要更努力地在實體的Windows視窗環(huán)境中測試ZeuS樣本。顯然防毒公司的努力已對網(wǎng)絡犯罪份子的運營造成傷害，逼迫犯罪份子們需要讓分析工作變得更加困難。

在將所有要素加入考量之下，這的結果并非出乎意料之外。ZeuS仍是個進行中的威脅，而其也將持續(xù)演化得更加危險和難以躲避。

文章題目：剖析ZeuS木馬如何安全躲避僵尸網(wǎng)絡嗅偵
標題URL：http://m.fisionsoft.com.cn/article/dpdppsp.html

新聞中心

其他資訊