過對最新發(fā)現(xiàn)的Kneber僵尸網(wǎng)絡(luò)的各種信息的匯總，我們發(fā)現(xiàn)，這種新型僵尸可在同一主機上利用不同的惡意軟件觸發(fā)多重感染，而惡意軟件之間的這樣一種復(fù)雜的合作機制給了所有惡意軟件更高的存活率。

當(dāng)Kneber僵尸網(wǎng)絡(luò)在周四被發(fā)現(xiàn)時，其規(guī)模已相當(dāng)龐大——大約已感染了2400多家企業(yè)的7.5萬臺電腦。但是據(jù)發(fā)現(xiàn)了Kneber的NetWitness的研究部門高級咨詢師Alex Cox說，Kneber如何與其他惡意軟件網(wǎng)絡(luò)相互作用從而產(chǎn)生一種共生關(guān)系，能夠更有效地抵御對它們的清除，這才是安全行業(yè)更應(yīng)該予以關(guān)注的。

Kneber是利用了一套功能完善的工具包創(chuàng)建的，這套能夠匯總各類僵尸網(wǎng)絡(luò)的工具包在網(wǎng)絡(luò)上已流行了多年，被稱作ZeuS。Kneber只不過是利用了ZeuS工具包構(gòu)建的僵尸網(wǎng)絡(luò)之一而已，不過由于Cox已經(jīng)從指揮與控制服務(wù)器上捕獲了75GB的注冊數(shù)據(jù)，所以他能夠?qū)euS所控制的電腦的特征進行詳細地分析。

他發(fā)現(xiàn)，在被感染的7.5萬臺電腦中，一多半的僵尸上還發(fā)現(xiàn)了其他的惡意軟件，這些惡意軟件使用了一種不同的指揮與控制結(jié)構(gòu)。如果一個僵尸網(wǎng)絡(luò)被禁用，其他未被清除的僵尸網(wǎng)絡(luò)則可以再次將其構(gòu)建起來。

“至少，兩個帶有不同的指揮與控制結(jié)構(gòu)的獨立的僵尸網(wǎng)絡(luò)家族能在其中一個被安全防御工作所清除時提供容錯功能和恢復(fù)功能，”Cox在其分析Kneber僵尸網(wǎng)絡(luò)的文章中稱。

在這一案例中，構(gòu)成Kneber僵尸網(wǎng)絡(luò)中的一多半電腦同時被ZeuS(竊取用戶數(shù)據(jù))和Waledac(使用P2P機制傳播的垃圾郵件惡意軟件)所感染。Cox雖然尚不能肯定這兩種僵尸網(wǎng)絡(luò)是如何協(xié)同工作的，但是有一個有趣的可能性是存在的：如果ZeuS的指揮與控制架構(gòu)在某個點上被清除，那么ZeuS僵尸網(wǎng)絡(luò)的所有者便可聯(lián)絡(luò)Waledac僵尸網(wǎng)絡(luò)的人，支付一定費用讓其推送一個ZeuS的升級包，從而讓ZeuS僵尸重新聯(lián)機，并向一臺新的控制服務(wù)器報告。

此外，一個獨立的組織也可以同時運行ZeuS和Waledac僵尸網(wǎng)絡(luò)，這樣便可自己推送升級包?！皬臑?zāi)難恢復(fù)的角度看，這么做也是合理的，”Cox說。

Kneber服務(wù)器的日志包含了很多個人登錄各類網(wǎng)站如Facebook和Yahoo等的密碼。它的設(shè)計目的還在于竊取個人的在線金融賬號，例如花旗銀行、富國銀行、支付寶、城市銀行和匯豐銀行等網(wǎng)站的登錄密碼，Cox的Kneber報告稱。

1月26日，Cox在NetWitness的一家客戶的網(wǎng)站上發(fā)現(xiàn)了Kneber。他發(fā)現(xiàn)了一臺被ZeuS所感染的電腦，當(dāng)時這臺電腦正在下載其他可執(zhí)行的惡意軟件。然后他跟蹤這一流量到了德國的一臺ZeuS智慧與控制服務(wù)器，在這里，他捕獲了該服務(wù)器將近一個月的日志數(shù)據(jù)。

這個僵尸網(wǎng)絡(luò)因hilarykneber@yahoo.com郵箱而得名，該郵箱的注冊人就是在這個原始域名上將僵尸網(wǎng)絡(luò)的各個組成部分匯集起來的。該注冊人還一直在尋找包括PDF和Flash漏洞以及木馬安裝在內(nèi)的其他惡意軟件的協(xié)助。

同一個注冊人還登錄了多個尋找資金騾子(非法利用其銀行賬號轉(zhuǎn)運金錢的人)的Web網(wǎng)站。

Kneber僵尸網(wǎng)絡(luò)從2009年3月25日以來就一直在活躍，據(jù)NetWitness稱，大部分最活躍的站點在中國，約有17%的站點在美國。

Cox還通過鏈接發(fā)現(xiàn)了Kneber針對美國一些政府機構(gòu)發(fā)動過釣魚攻擊，例如從美國國家安全局發(fā)出的一些郵件會要求接收人點擊可下載惡意軟件的鏈接。

Cox認(rèn)為Kneber僵尸網(wǎng)絡(luò)最大的收獲就是社交網(wǎng)站的用戶名和密碼。這些數(shù)據(jù)可用來進入社交網(wǎng)站，給受感染的網(wǎng)站粘貼惡意鏈接。社交網(wǎng)站上的好友們更愿意相信這些鏈接，因為他們認(rèn)為這些鏈接是他們所信任的人粘貼的。

社交網(wǎng)站的賬號還可用于進一步開采可滲入用戶在線金融賬號的個人數(shù)據(jù)。比如說，如果某人社交網(wǎng)站的賬號用的是其母親未出嫁之前的名字，那么這個賬號也有可能會被用來重置銀行賬號的密碼，從而可能被攻擊者利用來竊取和轉(zhuǎn)移金錢。

【編輯推薦】

1. 專門攻擊路由器和DSL接入設(shè)備的僵尸網(wǎng)絡(luò)出現(xiàn)
2. 09年新增惡意軟件2500萬
3. 僵尸網(wǎng)絡(luò)（Botnet）的演變與防御