研究人員發(fā)現(xiàn)一種名為Trojan.Ferret的僵尸程序。該程序用Delphi編寫，bot通過HTTP與CC通信 。

該僵尸程序最大的特點是具有強大的生存能力。Bot程序支持UPX打包，字符串混淆，虛擬機識別，反調(diào)試，自修改代碼等(UPX packing, string obfuscation, anti-virtual machine and anti-debugging measures, self-modifying code and process hollowing)。

Trojan.Ferret采用兩種方法混淆，結(jié)合base64和異或(XOR)加密，來掩蓋攻擊者的攻擊手段。不同加密密鑰被用于惡意代碼庫的不同部分。兩種混淆手段，一種用來加密惡意代碼串，另一種用來隱藏與CC控制臺的通信。

Trojan.Ferret程序的不足在于其對DDoS的支持并不全面，工具不支持諸如Slowloris, Apache Killer等應(yīng)用層攻擊。顯然，Trojan.Ferret并不適合發(fā)起混合型DDoS攻擊。

無獨有偶，在本周，波蘭CERT發(fā)現(xiàn)了另一個可感染Linux和Windows主機的僵尸程序。該僵尸主要發(fā)起DNS放大攻擊?？紤]到DNS放大攻擊對目標系統(tǒng)資源的要求，該僵尸的感染目標就是有豐富帶寬的服務(wù)器7。

[[92658]]

顯然，Linux主機是主要對象。攻擊者入侵方式相當暴力，是對Linux主機發(fā)起SSH字典攻擊。破解后登錄，下載bot程序。CC和bot之間采用加密通信。

在windows下，僵尸的工作方式有所不同。Bot感染目標系統(tǒng)后，程序首先偽裝為一個名為DBProtectSupport的Windows服務(wù)，通過高位TCP端口和CC通信。當Bot感染W(wǎng)indows系統(tǒng)后，其最大的問題在于，bot需要首先向8.8.8.8發(fā)送一個DNS查詢請求獲得CC地址，然后獲得帶有攻擊目標詳細信息的txt文件。截獲這個txt文件，就可以知道cc的信息。

看來任何強大的東東都有其不足的方面。