新型僵尸程序Trojan.Ferret被发现

研究人员发现一种名为Trojan.Ferret的僵尸程序。该程序用Delphi编写,bot通过HTTP与CC通信 。

成都创新互联公司专业为企业提供保亭黎族网站建设、保亭黎族做网站、保亭黎族网站设计、保亭黎族网站制作等企业网站建设、网页设计与制作、保亭黎族企业网站模板建站服务,十载保亭黎族做网站经验,不只是建网站,更提供有价值的思路和整体网络服务。

该僵尸程序最大的特点是具有强大的生存能力。Bot程序支持UPX打包,字符串混淆,虚拟机识别,反调试,自修改代码等(UPX packing, string obfuscation, anti-virtual machine and anti-debugging measures, self-modifying code and process hollowing)。

Trojan.Ferret采用两种方法混淆,结合base64和异或(XOR)加密,来掩盖攻击者的攻击手段。不同加密密钥被用于恶意代码库的不同部分。两种混淆手段,一种用来加密恶意代码串,另一种用来隐藏与CC控制台的通信。

Trojan.Ferret程序的不足在于其对DDoS的支持并不全面,工具不支持诸如Slowloris, Apache Killer等应用层攻击。显然,Trojan.Ferret并不适合发起混合型DDoS攻击。

无独有偶,在本周,波兰CERT发现了另一个可感染Linux和Windows主机的僵尸程序。该僵尸主要发起DNS放大攻击。考虑到DNS放大攻击对目标系统资源的要求,该僵尸的感染目标就是有丰富带宽的服务器7。

[[92658]]

 

显然,Linux主机是主要对象。攻击者入侵方式相当暴力,是对Linux主机发起SSH字典攻击。破解后登录,下载bot程序。CC和bot之间采用加密通信。

在windows下,僵尸的工作方式有所不同。Bot感染目标系统后,程序首先伪装为一个名为DBProtectSupport的Windows服务,通过高位TCP端口和CC通信。当Bot感染Windows系统后,其最大的问题在于,bot需要首先向8.8.8.8发送一个DNS查询请求获得CC地址,然后获得带有攻击目标详细信息的txt文件。截获这个txt文件,就可以知道cc的信息。

看来任何强大的东东都有其不足的方面。

分享标题:新型僵尸程序Trojan.Ferret被发现
文章位置:http://www.shufengxianlan.com/qtweb/news39/533839.html

网站建设、网络推广公司-创新互联,是专注品牌与效果的网站制作,网络营销seo公司;服务项目有等

广告

声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联