分布式拒绝服务(DDoS: Distributed Denial of Service)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DoS攻击,从而成倍地提高拒绝服务攻击的威力,很黄很暴力。而近日,AVG中国实验室监测到这种传统的攻击方式不减反增。
通常,这些发起攻击的计算机是那些中了木马,被黑客控制的“肉鸡”。黑客说:“要有DDOS”,于是成千上万的“替罪羊”就开始了DDOS攻击,网站记录的访问信息也是肉鸡的,无法找到真正的幕后黑手。下面这款木马,就是兼DDOS与Downloader(Downloader是一个分类木马的名称)于一身。
首先对自己的运行路径做了比较,这个路径是有固定字符串加随机数字组成,如果不是想要的路径,就拷贝自己到需要的路径,把自己隐藏的深一些,木马的惯用伎俩。
为了对付现在流行的云查杀,向自身写入垃圾数据,以增加自身的大小。
修改后的文件大小是原始的500多倍。
利用异常处理来干扰调试,以及使用vmware指令来反虚拟机。
如果调试检测和虚拟机检测未通过,就直接进入死循环,向指定网站狂发数据包。
如果未检测到虚拟机和调试器,则会创建一线程来执行发送数据功能,主线程侧向下继续执行新功能——下载功能。
首先会下载一gif文件,并保存到本地,然后解析该文件获取相应的命令。
在_Parse_Commandline_1中,会将gif文件读入内存,做一简单解密。
在解密后的数据中获取要下载文件的URL,通过该URL下载文件,下载后的文件先做PE文件的校验,如果校验通过,会启动下载下来的文件。
最新版本的AVG杀毒永久免费中文版2013已经能查杀该木马,同时提醒您,注意防范此类木马,不要做他人的“替罪羊”。