深入探究：恶意软件传播系统解析

　　作者：Ryan Naraine 编译：雪影蓝风

    分析Pushdo木马的专家们对网络犯罪分子所使用的追踪和藏匿技术进行了研究，美国最大信息安全技术提供商SecureWorks的反恶意软件先驱Joe Stewart就是其中的一位，但他并不是唯一一个对先进的网络犯罪活动感到愕然的人。

    但是，当他在为Pushdo木马下载工具进行反向编译时，他发现，一个现代的恶意软件传播系统中都包含了复杂的追踪手段和藏匿技术——这也是反病毒事业将面临更加狡猾和经验老道的敌人的又一个标志。

Pushdo木马在2007年中一度进入十大恶意软件名单

    一名资深反向工程师Stewart花费了他一生的大量时间来破解恶意软件的样本，他说，为Pushdo提供动力的控制服务器大约预载入了421个不同的可执行恶意软件——它们都在等着通过交付感染到Windows机器。

    恶意软件本身通过垃圾邮件形式，发送电子贺卡式的东西或图片到他人邮箱，伪装成好莱坞女影星Angelina Jolie或Holly Berry的裸体图片，而这些伪装的内容实际携带着黑客设计的旨在控制受染主机的恶意木马程序。

    一旦木马被执行，Pushdo就会立即反馈嵌入这个代码的IP地址，并连接到一个谎称是Apache Web的服务器，并监听TCP端口80。

    Stewart在一次采访中说：“我们曾经见过一些精密的木马下载程序，但这是第一次在代码最后测试控制阶段看到这样的追踪方式。这种恶意软件完成的是一种级别要高得多的侦察，能够确保它攻击中了正确的目标。”

    对于新手来说，Pushdo控制器还会使用GeoIP地理定位数据库来关联国家代码的白名单和黑名单，能够让恶意软件分发工具将一个恶意软件限制在一个特定的国家中进行感染传播。Stewart说，这也就使得定位某个或者某些国家作为攻击目标时能够用上特定的弹药。

    每位受害者都会被仔细地追踪。Stewart发现，Pushdo会记录受感染机器的IP地址，无论是否在这台计算机上的管理员帐户中。

    它还会进一步，记录下受害者主硬盘的序列号，无论文件系统是否NTFS格式，它都会进行追踪，还有受害者打开不同的Pushdo的版本数，以及执行了恶意软件的Windows操作系统版本。

    Stewart有些困惑于追踪硬盘序列号的需要，但提出，这样的一种方式能够为受感染的系统提供独一无二的ID，计算出是否有一台虚拟机被用来分析恶意软件。Stewart说，这是意义非常重大的，因为反病毒公司都会使用VM来在一个受控的环境下将恶意软件文件剔除出来。

    “他们已经能够在VM中对恶意软件文件进行侦测，但现在是在下载文件中，恶意软件作者能够进行预先的探测，完全避免被反病毒工具发现到。对于恶意软件作者来说，这将会是一个非常好的手段，能够用来探测反病毒公司所使用的用来监视恶意软件下载点的自动化工具。”他在对Pushdo控制器进行详细分析时解释道。

    Stewart还发现了Pushdo中被他称为一种“反反恶意软件功能”的东西。木马下载文件会关注所有运行进程，并比照反病毒软件个人防火墙程序中预载入的名单。他补充说道：“我感觉，他们只是追踪那些较容易攻击的防火墙，再去计算出哪些是需要他们做更多工作去攻破的。”

    不同于其它的病毒，它们是想要摧毁反病毒软件的进程，Pushdo仅仅是要回馈出控制器所运行的位置。这种“预先侦测的类型”能够帮助判断哪些反病毒引擎或者防火墙能够防止恶意软件运行或者向主机进行回馈。他补充说道：“Pushdo作者所采用的这种方式就使得，他们无须为每个反病毒工具或者防火墙产品去维护一个测试环境。”

    Stewart在最后一次对这个控制器的研究中发现，不止存在一个恶意软件样本——其中所有的样本都具有“rootkit”的特征，能够在受感染的计算机上维持隐匿的身份。他还发现垃圾邮件的僵尸网络能够用来交付大量你不想要的电子邮件广告，或者是触发一些削弱你系统的Dos攻击。