僵尸网络活动监控

研究小组经过长期监控该botnet的使用情况，统计出黑客控制僵尸网络命令的使用次数，（监控日期：6月4日～6月29日)。

对黑客控制命令的功能分类后。

1.文件下载。从图4可以看到文件下载命令的次数最多，这是因为黑客为了保证每个bot都下载文件，在不同时刻多次发出下载同一个文件的命令，而且黑客一次发出命令就重复发出了好几次。这些文件在磁盘上自动脱壳的时候，不重写（即已经下载过的文件不再释放到磁盘上，所以不干扰正在运行的病毒）。

另外，文件下载命令使用次数较多，从一个侧面反映了黑客对僵尸网络客户端的升级是非常频繁的。监控Botnet中从黑客的命令采集到的文件总共有28种之多，大部分不能被防病毒软件检出。

2.攻击其他IRC服务器。黑客采用clone（一个bot对目标服务器产生多个连接，并进行流量攻击）和flood（发送大量的垃圾消息）方法对其他IRC服务器进行了攻击。从实验结果中可以看到，规模小的botnet也可以使用clone和flood方法产生大量的流量攻击对方。

3.DoS攻击。攻击一个目标时，黑客采用不同的DoS攻击方式来进行不同层次上的DoS攻击。当在进行攻击时，产生的大量的流量不但影响目标网络，同时影响本地的网络。

4.盗取隐私信息。可以想象，如果在大规模的botnet上盗取隐私信息，将会导致非常大的经济等各种方面的损失。

僵尸网络控制者定位

通过对Botnet channel长期监控，有时候可以看到黑客的IP地址信息。一般情况下，黑客把自己的IP隐藏起来，但是有时候会由于疏忽而把自己的IP信息暴露出来，这时即可根据该IP地址追踪黑客的位置。如果能定位一个黑客的话，按道理来说，可以再通过这个黑客继续追踪别的黑客（同一个hacker团体的）。

追踪IP可以使用各种IP追踪软件（本文中使用了Visual IP trace）。

定位的结果显示该IP地址的网络管理员的联系方式。无论IP是动态（比如ADSL）或是静态IP（比如Cable），都可以通过上级网络管理员来确认某时刻占用那个IP地址的用户（正确地定位Botnet黑客）。

典型僵尸网络监控小结

规模扩展

通过对这个典型僵尸网络客户端程序分析之后，可以发现该僵尸网络客户端程序本身没有蠕虫那样的主动传播的能力。为了扩展Botnet，传染更多的机器，黑客命令bots下载具有传播性的蠕虫病毒。这些蠕虫在已感染的机器上以扫描周围IP地址的方式传播，寻找新的存在系统漏洞的对象并将其感染。这样，黑客便可获得新的攻击对象，再次利用各种Trojan木马进行恶意控制。

对抗反病毒软件

此僵尸网络客户端程序的主要特点是，它是由几个正常的应用程序，恶意利用它们来组成的（比如，僵尸网络客户端程序的主体是版本为6.03的mIRC应用程序，一般不能把它视为病毒）。最新更新的Kaspersky KAV5.0反病毒软件不视其为病毒，Virus Chaser5.0a仅将其中两个组件视为病毒。

上述两个结果说明，这样利用正常应用程序组成的僵尸网络客户端程序对反病毒措施是比较尴尬的事情。若如后者Virus Chaser那样将其视为病毒会导致反病毒软件的误诊，会引起计算机系统发生故障而给用户带来不便，而如前者KAV那样不将其视为病毒，也将会给计算机系统带来危害。

通过对典型僵尸网络的分析，可以深入细致地掌握僵尸网络的功能和扩张机制，甚至可以定位控制僵尸网络的黑客。但是，僵尸网络客户端控制程序的快速升级，也为及时控制和检测带来了相当大的困难，这还需要进行更多的研究工作。