新闻快讯
< >

僵尸程序上架一月才被发现,新型僵尸网络“Wonder”曝光

E安全10月24日讯 CSE CybSec Z-Lab恶意软件实验室在暗网调查恶意代码时发现“NetflixAccountGenerator.exe”软件,其承诺会生成Netflix Premium账户。然而这款软件并未按预期宣扬的路数走,因为它会安装“僵尸程序”(Bot),而不是创建预期账户。

僵尸程序上架一月未被发现

恶意软件研究员分析该“exe”文件后发现,这款恶意软件尚未被识别为风险。自今年9月20日首度上传以来,“明网”(Clearnet,与暗网相对的网络)上只有一个网站将其认定为风险。研究人员认为作者上传这款恶意软件的意图可能是测试隐秘功能。

这款恶意软件的分析结果显示,这是一款“僵尸程序,其”属于目前仍存活的僵尸网络,专家将该僵尸网络称之为“Wonder”。这款软件的命令与控制服务器隐藏在下图左侧仿冒网站中。

僵尸程序上架一月才被发现,新型僵尸网络“Wonder”曝光-E安全

左侧为仿冒网站,右侧为原网站

经专家证实,“wiknet.wikaba.com”的虚假网页“support.com”指向这个僵尸网络命令与控制服务器的前端。仿冒网站的每个链接均会被重定向至“support.com”相应页面。

专家发现一些隐藏的路径包含“僵尸程序”使用的信息和命令。

恶意软件组成

这款恶意软件包含两个部分:

  • 下载器:.NET可执行文件,其唯一的目的是下载并执行上传至“pastebin.com/raw/E8ye2hvM”的真正“僵尸程序”代码。

  • 真正的 “僵尸程序:会在下载与执行时感染主机,设置持续机制,并开始启动恶意行为,见下图:

僵尸程序上架一月才被发现,新型僵尸网络“Wonder”曝光-E安全

Wonder僵尸网络的行为

CSE Cybsec ZLab发布的完整分析报告见,请戳

相关阅读:

预警:新型物联网僵尸网络“风暴”来袭,上百万家企业或已被感染
1.4万个IP地址组成的Fast Flux僵尸网络浮出水面
赛门铁克安全报告:2016年全球逾670万台设备沦为 “僵尸网络军队”
全球165万台设备被感染,电脑变僵尸挖矿军!
比WannaCry还厉害的Adylkuzz挖矿僵尸网络是怎么被发现的?
新型僵尸网络来袭  国内超5万台摄像头遭控制

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。