【51CTO.com 综合消息】作为信息安全行业的领跑者,卡巴斯基实验室一直对各种新兴的威胁保持高度地关注和警惕。其范畴不仅包括常见的病毒、木马、蠕虫、间谍软件等,还包括各种黑客使用的用于发动网络攻击的恶意工具。其中,有一种名为“黑色能量”的僵尸程序最为流行,经常被黑客用来发送针对服务器的大规模DDoS攻击。截止到目前,卡巴斯基实验室已经检测到超过4,000种“黑色能量”僵尸程序的变种。2008年中期,恶意软件编写者对此恶意程序的原始版本进行了重要升级,编写出了危害性更强的“黑色能量2代”僵尸程序(卡巴斯基实验室的产品提示为Backdoor.Win32.Blakken)。
经过对此恶意程序的不断追踪和研究,卡巴斯基实验室发现“黑色能量2代”僵尸程序之所以颇受黑客的青睐,是由于此恶意程序不仅功能强大,试用性广,而且非常易于部署和管理。“黑色能量2代”僵尸程序支持可升级的插件(附加模块),使得黑客更容易修改和扩展其功能。黑客可以通过远程控制中心发布命令,实现插件的快速安装和升级。
此僵尸程序几个显著的特点:首先,它能够隐藏其恶意代码,避免被反病毒软件检测到。其次,它能够感染系统进程。最后,此恶意程序能够接收僵尸网络命令控制中心(C&C)的指令,在受感染计算机上灵活地进行一系列恶意行为。上述的每种功能都通过此恶意程序的不同模块实现。如下图所示:
“黑色能量2代”工作原理图
目前,针对该僵尸程序最为常见的插件的功能是进行DDoS攻击(即分布式攻击,其攻击行为会造成受攻击系统瘫痪)。在接受到命令控制中心发送的指令后,大量被“黑色能量2代”感染的僵尸计算机会同时向攻击节点发送错误的数据包,或者仅仅是大量的数据包。从而使得被攻击节点超载,无法处理其他正常的数据请求。“黑色能量2代”僵尸程序还支持采用多种协议发送数据包。
此外,“黑色能量2代”僵尸程序的插件并不是可执行文件(.exe)。所有插件都是直接被加载到受感染计算机上。这表明,这类恶意插件并不会利用传统的大规模传播手段和技术进行传播,使得反病毒软件厂商在一定时期内可能无法接触到和查杀此类插件。而且,插件所具有的功能正是网络罪犯所需要的。也正是通过插件,此僵尸程序实现了各种恶意功能,感染了更多的计算机。”
不仅如此,“黑色能量2代”僵尸程序的功能并不仅仅局限于发动DDoS攻击。目前,恶意软件编写者已经开发出能够窃取银行认证信息以及通过点对点网络传播恶意程序的插件。现在还很难预测这些僵尸网络的运营者未来将如何利用这些僵尸网络。但是,对于恶意软件编写者来说,编写一个插件,然后将其下载到受感染计算机中并不困难。所以,如果他们想要利用这些僵尸网络从事恶意行为,非常容易实现。
所以,当前对此恶意程序的插件的发展动向进行监测非常必要。卡巴斯基实验室将密切关注“黑色能量2代“僵尸程序的最新插件,追踪该恶意程序的发展,并且及时将最新研究结果发布。
