近期,腾讯反病毒实验室和腾讯云安全团队捕获多起DDoS攻击事件,攻击目标包括为金融、婚恋、博 彩等类型的网站,研究发现这几起攻击来自于同一僵尸网络。
目前该僵尸网络已感染机器数达到数万台,而传播源就是Ramnit家族。Ramnit初始形态为蠕虫病毒,通过自繁殖策略得到迅速传播,感染计算机的exe、dll、html、htm、vbs文件,新变种通过捆绑在未知来源的软件或植入到受害网站的工具包中进行传播,受感染机器组成僵尸网络,对网络上的目标发起DDoS攻击。
1.攻击过程
2.溯源过程
3.详细分析
木马启动后,会检测是否被感染过,如果已经被感染过,则直接启动木马注册的服务程序。
新感染的机器会检测自身是否运行在windows目录下,如果不在,则拷贝自身到系统目录,文件名为6个随机小写字符:
拷贝到system32目录后,注册服务程序,服务名为Winhelp32。
远控服务器解析后,开始搜集计算机信息,包括操作系统版本,处理器个数,处理器容量,远程桌面端口。
4.安全建议
用户可通过查看windows服务确认是否中招:一旦发现winhelp32服务在运行,则很可能已经感染了僵尸网络。此外,使用腾讯电脑管家可以实时拦截该木马。