【51CTO.com 綜合消息】作為信息安全行業(yè)的領(lǐng)跑者，卡巴斯基實(shí)驗(yàn)室一直對(duì)各種新興的威脅保持高度地關(guān)注和警惕。其范疇不僅包括常見(jiàn)的病毒、木馬、蠕蟲(chóng)、間諜軟件等，還包括各種黑客使用的用于發(fā)動(dòng)網(wǎng)絡(luò)攻擊的惡意工具。其中，有一種名為“黑色能量”的僵尸程序最為流行，經(jīng)常被黑客用來(lái)發(fā)送針對(duì)服務(wù)器的大規(guī)模DDoS攻擊。截止到目前，卡巴斯基實(shí)驗(yàn)室已經(jīng)檢測(cè)到超過(guò)4,000種“黑色能量”僵尸程序的變種。2008年中期，惡意軟件編寫(xiě)者對(duì)此惡意程序的原始版本進(jìn)行了重要升級(jí)，編寫(xiě)出了危害性更強(qiáng)的“黑色能量2代”僵尸程序（卡巴斯基實(shí)驗(yàn)室的產(chǎn)品提示為Backdoor.Win32.Blakken）。

經(jīng)過(guò)對(duì)此惡意程序的不斷追蹤和研究，卡巴斯基實(shí)驗(yàn)室發(fā)現(xiàn)“黑色能量2代”僵尸程序之所以頗受黑客的青睞，是由于此惡意程序不僅功能強(qiáng)大，試用性廣，而且非常易于部署和管理?！昂谏芰?代”僵尸程序支持可升級(jí)的插件（附加模塊），使得黑客更容易修改和擴(kuò)展其功能。黑客可以通過(guò)遠(yuǎn)程控制中心發(fā)布命令，實(shí)現(xiàn)插件的快速安裝和升級(jí)。

此僵尸程序幾個(gè)顯著的特點(diǎn)：首先，它能夠隱藏其惡意代碼，避免被反病毒軟件檢測(cè)到。其次，它能夠感染系統(tǒng)進(jìn)程。最后，此惡意程序能夠接收僵尸網(wǎng)絡(luò)命令控制中心（C&C）的指令，在受感染計(jì)算機(jī)上靈活地進(jìn)行一系列惡意行為。上述的每種功能都通過(guò)此惡意程序的不同模塊實(shí)現(xiàn)。如下圖所示：  

“黑色能量2代”工作原理圖

目前，針對(duì)該僵尸程序最為常見(jiàn)的插件的功能是進(jìn)行DDoS攻擊（即分布式攻擊，其攻擊行為會(huì)造成受攻擊系統(tǒng)癱瘓）。在接受到命令控制中心發(fā)送的指令后，大量被“黑色能量2代”感染的僵尸計(jì)算機(jī)會(huì)同時(shí)向攻擊節(jié)點(diǎn)發(fā)送錯(cuò)誤的數(shù)據(jù)包，或者僅僅是大量的數(shù)據(jù)包。從而使得被攻擊節(jié)點(diǎn)超載，無(wú)法處理其他正常的數(shù)據(jù)請(qǐng)求?！昂谏芰?代”僵尸程序還支持采用多種協(xié)議發(fā)送數(shù)據(jù)包。

此外，“黑色能量2代”僵尸程序的插件并不是可執(zhí)行文件（.exe）。所有插件都是直接被加載到受感染計(jì)算機(jī)上。這表明，這類(lèi)惡意插件并不會(huì)利用傳統(tǒng)的大規(guī)模傳播手段和技術(shù)進(jìn)行傳播，使得反病毒軟件廠商在一定時(shí)期內(nèi)可能無(wú)法接觸到和查殺此類(lèi)插件。而且，插件所具有的功能正是網(wǎng)絡(luò)罪犯所需要的。也正是通過(guò)插件，此僵尸程序?qū)崿F(xiàn)了各種惡意功能，感染了更多的計(jì)算機(jī)?！?/p>

不僅如此，“黑色能量2代”僵尸程序的功能并不僅僅局限于發(fā)動(dòng)DDoS攻擊。目前，惡意軟件編寫(xiě)者已經(jīng)開(kāi)發(fā)出能夠竊取銀行認(rèn)證信息以及通過(guò)點(diǎn)對(duì)點(diǎn)網(wǎng)絡(luò)傳播惡意程序的插件。現(xiàn)在還很難預(yù)測(cè)這些僵尸網(wǎng)絡(luò)的運(yùn)營(yíng)者未來(lái)將如何利用這些僵尸網(wǎng)絡(luò)。但是，對(duì)于惡意軟件編寫(xiě)者來(lái)說(shuō)，編寫(xiě)一個(gè)插件，然后將其下載到受感染計(jì)算機(jī)中并不困難。所以，如果他們想要利用這些僵尸網(wǎng)絡(luò)從事惡意行為，非常容易實(shí)現(xiàn)。

所以，當(dāng)前對(duì)此惡意程序的插件的發(fā)展動(dòng)向進(jìn)行監(jiān)測(cè)非常必要?？ò退够鶎?shí)驗(yàn)室將密切關(guān)注“黑色能量2代“僵尸程序的最新插件，追蹤該惡意程序的發(fā)展，并且及時(shí)將最新研究結(jié)果發(fā)布。