【IT168 軟件評論】分析Pushdo木馬的專家們對網(wǎng)絡(luò)犯罪分子所使用的追蹤和藏匿技術(shù)進(jìn)行了研究，美國最大信息安全技術(shù)提供商SecureWorks的反惡意軟件先驅(qū)Joe Stewart就是其中的一位，但他并不是唯一一個對先進(jìn)的網(wǎng)絡(luò)犯罪活動感到愕然的人。

    但是，當(dāng)他在為Pushdo木馬下載工具進(jìn)行反向編譯時，他發(fā)現(xiàn)，一個現(xiàn)代的惡意軟件傳播系統(tǒng)中都包含了復(fù)雜的追蹤手段和藏匿技術(shù)――這也是反病毒事業(yè)將面臨更加狡猾和經(jīng)驗(yàn)老道的敵人的又一個標(biāo)志。

Pushdo木馬在2007年中一度進(jìn)入十大惡意軟件名單

    一名資深反向工程師Stewart花費(fèi)了他一生的大量時間來破解惡意軟件的樣本，他說，為Pushdo提供動力的控制服務(wù)器大約預(yù)載入了421個不同的可執(zhí)行惡意軟件――它們都在等著通過交付感染到Windows機(jī)器。

    惡意軟件本身通過垃圾郵件形式，發(fā)送電子賀卡式的東西或圖片到他人郵箱，偽裝成好萊塢女影星Angelina Jolie或Holly Berry的裸體圖片，而這些偽裝的內(nèi)容實(shí)際攜帶著黑客設(shè)計(jì)的旨在控制受染主機(jī)的惡意木馬程序。

    一旦木馬被執(zhí)行，Pushdo就會立即反饋嵌入這個代碼的IP地址，并連接到一個謊稱是Apache Web的服務(wù)器，并監(jiān)聽TCP端口80。

    Stewart在一次采訪中說：“我們曾經(jīng)見過一些精密的木馬下載程序，但這是第一次在代碼最后測試控制階段看到這樣的追蹤方式。這種惡意軟件完成的是一種級別要高得多的偵察，能夠確保它攻擊中了正確的目標(biāo)?！?/P>

    對于新手來說，Pushdo控制器還會使用GeoIP地理定位數(shù)據(jù)庫來關(guān)聯(lián)國家代碼的白名單和黑名單，能夠讓惡意軟件分發(fā)工具將一個惡意軟件限制在一個特定的國家中進(jìn)行感染傳播。Stewart說，這也就使得定位某個或者某些國家作為攻擊目標(biāo)時能夠用上特定的彈藥。

    每位受害者都會被仔細(xì)地追蹤。Stewart發(fā)現(xiàn)，Pushdo會記錄受感染機(jī)器的IP地址，無論是否在這臺計(jì)算機(jī)上的管理員帳戶中。

    它還會進(jìn)一步，記錄下受害者主硬盤的序列號，無論文件系統(tǒng)是否NTFS格式，它都會進(jìn)行追蹤，還有受害者打開不同的Pushdo的版本數(shù)，以及執(zhí)行了惡意軟件的Windows操作系統(tǒng)版本。

    Stewart有些困惑于追蹤硬盤序列號的需要，但提出，這樣的一種方式能夠?yàn)槭芨腥镜南到y(tǒng)提供獨(dú)一無二的ID，計(jì)算出是否有一臺虛擬機(jī)被用來分析惡意軟件。Stewart說，這是意義非常重大的，因?yàn)榉床《竟径紩褂肰M來在一個受控的環(huán)境下將惡意軟件文件剔除出來。

    “他們已經(jīng)能夠在VM中對惡意軟件文件進(jìn)行偵測，但現(xiàn)在是在下載文件中，惡意軟件作者能夠進(jìn)行預(yù)先的探測，完全避免被反病毒工具發(fā)現(xiàn)到。對于惡意軟件作者來說，這將會是一個非常好的手段，能夠用來探測反病毒公司所使用的用來監(jiān)視惡意軟件下載點(diǎn)的自動化工具。”他在對Pushdo控制器進(jìn)行詳細(xì)分析時解釋道。

    Stewart還發(fā)現(xiàn)了Pushdo中被他稱為一種“反反惡意軟件功能”的東西。木馬下載文件會關(guān)注所有運(yùn)行進(jìn)程，并比照反病毒軟件個人防火墻程序中預(yù)載入的名單。他補(bǔ)充說道：“我感覺，他們只是追蹤那些較容易攻擊的防火墻，再去計(jì)算出哪些是需要他們做更多工作去攻破的。”

    不同于其它的病毒，它們是想要摧毀反病毒軟件的進(jìn)程，Pushdo僅僅是要回饋出控制器所運(yùn)行的位置。這種“預(yù)先偵測的類型”能夠幫助判斷哪些反病毒引擎或者防火墻能夠防止惡意軟件運(yùn)行或者向主機(jī)進(jìn)行回饋。他補(bǔ)充說道：“Pushdo作者所采用的這種方式就使得，他們無須為每個反病毒工具或者防火墻產(chǎn)品去維護(hù)一個測試環(huán)境?！?/P>

    Stewart在最后一次對這個控制器的研究中發(fā)現(xiàn)，不止存在一個惡意軟件樣本――其中所有的樣本都具有“rootkit”的特征，能夠在受感染的計(jì)算機(jī)上維持隱匿的身份。他還發(fā)現(xiàn)垃圾郵件的僵尸網(wǎng)絡(luò)能夠用來交付大量你不想要的電子郵件廣告，或者是觸發(fā)一些削弱你系統(tǒng)的Dos攻擊。