DLoader 和 Bot 网络经营模式
恶意程序散播通常是一种合作关系或联合的行动。Bot 网络赚钱的方式之一,就是所谓的随安装次数付费 (Pay-Per-Install,简称 PPI) 模式,也就是只要在一台受害电脑上安装一份恶意程序,就可以赚取一笔费用。
DLoader 是一种网页式系统管理工具,可让 Bot 网络经营者管理旗下的 Bot 电脑所要安装的恶意程序。每完成一次安装,Bot 网络的经营者就可以向合作夥伴收取一笔费用。
DLoader 的价码在地下论坛大约是 250 美元。虽然它的功能主要是安装其他恶意程序,但它也可能伴随一些额外的模组一起贩售,例如:专门窃取 FTP 帐号密码的 FTP GRABBER 以及专门盗取热门线上扑克网站帐号密码的 POKER ACCOUNT GRABBER。这些要价大约是 200 美元。FTP 帐号窃取工具之所以重要,是因为它可让 Bot 网络经营者在合法网站当中植入恶意程序码,进而将浏览该网站的使用者导向漏洞攻击套件。如此,Bot 网络经营者就能拥有源源不绝的受害者来源。
依国别而不同植入不同恶意程序
我们分析了前一篇文章所述的服务器上各个 DLoader 复本。其中的一个复本掌管了 7,957 台 Bot 电脑,主要分布在越南和印尼。另一个复本掌管了 10,726 台 Bot 电脑,主要分布在德国和俄罗斯。该服务器上的 DLoader 复本包含了各式各样的恶意程序,它们会视 Bot 电脑所在国家而提供不同的程序。
例如,德国的 Bot 电脑都会去下载某一个 SpyEye 变种 (TSPY_SPYEYE.ATC)。而美国、加拿大、英国、澳洲和法国的受害电脑则会下载另一个不同的 SpyEye 变种 (TROJ_SPYEYES.JAN)。
至于俄罗斯的受害者则是去下载一个 Meredrop 变种 (TROJ_MEREDROP.TG)。预设下载的程序都是各种不同的假杀毒产品。
为了让读者体会一下该服务器所提供的恶意程序种类之多,特别在此列出一些我们已侦测到的恶意程序名称:
- TROJ_FRAUDL.SMMZ
- TROJ_HILOTI.SMAE
- TSPY_SPYEYE.ATC
- TSPY_ZBOT.PB
- TROJ_FAKEAV.SMT1
- TROJ_SPYEYES.JAN
- TROJ_SPYEYES.AE
- TROJ_MEREDROP.TG
- TROJ_FAKEAV.SMDF
- TSPY_SPYEYE.TRF
- TROJ_KRYPTK.XFX
Bot 网络虽然通常不受人注意,但它们依然是恶意程序的重要命脉。其经营者不仅是恶意程序工具组的消费者,也是大型 Bot 网络经营者的受害者名单来源,同时更是假杀毒软件的散播者。恶意程序工具组的公开流传,让有心从事网络犯罪但不具专业能力的歹徒也能进行漏洞攻击、散播恶意程序,这些原本都是他们不可能办到的事。
【编辑推荐】
- 木马释放器集合恶意程序
- 木马强化恶意文件迷惑性
- 给你预防病毒的八个忠告
- 六大网络安全威胁发展趋势
- 如何全面清除计算机电脑病毒
- 浅析漏洞攻击与恶意程序植入的合作关系
推荐阅读
精密的恶意程序散播技巧这类工具可让僵尸网络/傀儡网络 Botnet经营者彼此合作,或者参与联合行动。有了这类工具,现在,恶意程序的作者就能付费请僵尸网络/傀儡网络 Botnet网络经营者代为将恶意程序安装至受害者的电>>>详细阅读
本文标题:浅析漏洞攻击与恶意程序植入的合作关系 续
地址:http://www.17bianji.com/anquan/buding/544.html
1/2 1
网友点评
精彩导读
科技快报
品牌展示