研究人員發(fā)現(xiàn)一種名為Trojan.Ferret的僵尸程序。該程序用Delphi編寫，bot通過HTTP與CC通信 。

成都創(chuàng)新互聯(lián)公司專業(yè)為企業(yè)提供保亭黎族網(wǎng)站建設(shè)、保亭黎族做網(wǎng)站、保亭黎族網(wǎng)站設(shè)計、保亭黎族網(wǎng)站制作等企業(yè)網(wǎng)站建設(shè)、網(wǎng)頁設(shè)計與制作、保亭黎族企業(yè)網(wǎng)站模板建站服務(wù)，十載保亭黎族做網(wǎng)站經(jīng)驗，不只是建網(wǎng)站，更提供有價值的思路和整體網(wǎng)絡(luò)服務(wù)。

該僵尸程序最大的特點是具有強大的生存能力。Bot程序支持UPX打包，字符串混淆，虛擬機識別，反調(diào)試，自修改代碼等(UPX packing, string obfuscation, anti-virtual machine and anti-debugging measures, self-modifying code and process hollowing)。

Trojan.Ferret采用兩種方法混淆，結(jié)合base64和異或(XOR)加密，來掩蓋攻擊者的攻擊手段。不同加密密鑰被用于惡意代碼庫的不同部分。兩種混淆手段，一種用來加密惡意代碼串，另一種用來隱藏與CC控制臺的通信。

Trojan.Ferret程序的不足在于其對DDoS的支持并不全面，工具不支持諸如Slowloris, Apache Killer等應用層攻擊。顯然，Trojan.Ferret并不適合發(fā)起混合型DDoS攻擊。

無獨有偶，在本周，波蘭CERT發(fā)現(xiàn)了另一個可感染Linux和Windows主機的僵尸程序。該僵尸主要發(fā)起DNS放大攻擊?？紤]到DNS放大攻擊對目標系統(tǒng)資源的要求，該僵尸的感染目標就是有豐富帶寬的服務(wù)器7。

[[92658]]

 

顯然，Linux主機是主要對象。攻擊者入侵方式相當暴力，是對Linux主機發(fā)起SSH字典攻擊。破解后登錄，下載bot程序。CC和bot之間采用加密通信。

在windows下，僵尸的工作方式有所不同。Bot感染目標系統(tǒng)后，程序首先偽裝為一個名為DBProtectSupport的Windows服務(wù)，通過高位TCP端口和CC通信。當Bot感染W(wǎng)indows系統(tǒng)后，其最大的問題在于，bot需要首先向8.8.8.8發(fā)送一個DNS查詢請求獲得CC地址，然后獲得帶有攻擊目標詳細信息的txt文件。截獲這個txt文件，就可以知道cc的信息。

看來任何強大的東東都有其不足的方面。

網(wǎng)頁標題：新型僵尸程序Trojan.Ferret被發(fā)現(xiàn)
鏈接分享：http://uogjgqi.cn/article/dpgigig.html