過對最新發(fā)現(xiàn)的Kneber僵尸網(wǎng)絡的各種信息的匯總，我們發(fā)現(xiàn)，這種新型僵尸可在同一主機上利用不同的惡意軟件觸發(fā)多重感染，而惡意軟件之間的這樣一種復雜的合作機制給了所有惡意軟件更高的存活率。

當Kneber僵尸網(wǎng)絡在周四被發(fā)現(xiàn)時，其規(guī)模已相當龐大——大約已感染了2400多家企業(yè)的7.5萬臺電腦。但是據(jù)發(fā)現(xiàn)了Kneber的NetWitness的研究部門高級咨詢師Alex Cox說，Kneber如何與其他惡意軟件網(wǎng)絡相互作用從而產(chǎn)生一種共生關系，能夠更有效地抵御對它們的清除，這才是安全行業(yè)更應該予以關注的。

Kneber是利用了一套功能完善的工具包創(chuàng)建的，這套能夠匯總各類僵尸網(wǎng)絡的工具包在網(wǎng)絡上已流行了多年，被稱作ZeuS。Kneber只不過是利用了ZeuS工具包構建的僵尸網(wǎng)絡之一而已，不過由于Cox已經(jīng)從指揮與控制服務器上捕獲了75GB的注冊數(shù)據(jù)，所以他能夠對ZeuS所控制的電腦的特征進行詳細地分析。

他發(fā)現(xiàn)，在被感染的7.5萬臺電腦中，一多半的僵尸上還發(fā)現(xiàn)了其他的惡意軟件，這些惡意軟件使用了一種不同的指揮與控制結構。如果一個僵尸網(wǎng)絡被禁用，其他未被清除的僵尸網(wǎng)絡則可以再次將其構建起來。

“至少，兩個帶有不同的指揮與控制結構的獨立的僵尸網(wǎng)絡家族能在其中一個被安全防御工作所清除時提供容錯功能和恢復功能，”Cox在其分析Kneber僵尸網(wǎng)絡的文章中稱。

在這一案例中，構成Kneber僵尸網(wǎng)絡中的一多半電腦同時被ZeuS(竊取用戶數(shù)據(jù))和Waledac(使用P2P機制傳播的垃圾郵件惡意軟件)所感染。Cox雖然尚不能肯定這兩種僵尸網(wǎng)絡是如何協(xié)同工作的，但是有一個有趣的可能性是存在的：如果ZeuS的指揮與控制架構在某個點上被清除，那么ZeuS僵尸網(wǎng)絡的所有者便可聯(lián)絡Waledac僵尸網(wǎng)絡的人，支付一定費用讓其推送一個ZeuS的升級包，從而讓ZeuS僵尸重新聯(lián)機，并向一臺新的控制服務器報告。

此外，一個獨立的組織也可以同時運行ZeuS和Waledac僵尸網(wǎng)絡，這樣便可自己推送升級包?！皬臑碾y恢復的角度看，這么做也是合理的，”Cox說。

Kneber服務器的日志包含了很多個人登錄各類網(wǎng)站如Facebook和Yahoo等的密碼。它的設計目的還在于竊取個人的在線金融賬號，例如花旗銀行、富國銀行、支付寶、城市銀行和匯豐銀行等網(wǎng)站的登錄密碼，Cox的Kneber報告稱。

1月26日，Cox在NetWitness的一家客戶的網(wǎng)站上發(fā)現(xiàn)了Kneber。他發(fā)現(xiàn)了一臺被ZeuS所感染的電腦，當時這臺電腦正在下載其他可執(zhí)行的惡意軟件。然后他跟蹤這一流量到了德國的一臺ZeuS智慧與控制服務器，在這里，他捕獲了該服務器將近一個月的日志數(shù)據(jù)。

這個僵尸網(wǎng)絡因hilarykneber@yahoo.com郵箱而得名，該郵箱的注冊人就是在這個原始域名上將僵尸網(wǎng)絡的各個組成部分匯集起來的。該注冊人還一直在尋找包括PDF和Flash漏洞以及木馬安裝在內(nèi)的其他惡意軟件的協(xié)助。

同一個注冊人還登錄了多個尋找資金騾子(非法利用其銀行賬號轉運金錢的人)的Web網(wǎng)站。

Kneber僵尸網(wǎng)絡從2009年3月25日以來就一直在活躍，據(jù)NetWitness稱，大部分最活躍的站點在中國，約有17%的站點在美國。

Cox還通過鏈接發(fā)現(xiàn)了Kneber針對美國一些政府機構發(fā)動過釣魚攻擊，例如從美國國家安全局發(fā)出的一些郵件會要求接收人點擊可下載惡意軟件的鏈接。

Cox認為Kneber僵尸網(wǎng)絡最大的收獲就是社交網(wǎng)站的用戶名和密碼。這些數(shù)據(jù)可用來進入社交網(wǎng)站，給受感染的網(wǎng)站粘貼惡意鏈接。社交網(wǎng)站上的好友們更愿意相信這些鏈接，因為他們認為這些鏈接是他們所信任的人粘貼的。

社交網(wǎng)站的賬號還可用于進一步開采可滲入用戶在線金融賬號的個人數(shù)據(jù)。比如說，如果某人社交網(wǎng)站的賬號用的是其母親未出嫁之前的名字，那么這個賬號也有可能會被用來重置銀行賬號的密碼，從而可能被攻擊者利用來竊取和轉移金錢。

【編輯推薦】

1. 專門攻擊路由器和DSL接入設備的僵尸網(wǎng)絡出現(xiàn)
2. 09年新增惡意軟件2500萬
3. 僵尸網(wǎng)絡（Botnet）的演變與防御