概述
瑞士政府计算机应急响应中心(GovCERT)近日发现了Tofsee僵尸网络恶意软件的新样本,让他们感到惊讶是,Tofsee的域名竟然是由算法随机生成的,目前他们已经恢复出了算法的细节,并将未来12个月中可能出现的域名列入了黑名单。
内容
今天,我们发现了一个有趣的恶意软件样本,我们确认出这是Tofsee恶意软件,它试图在几分钟内发送数百封垃圾邮件,然而,这并不是它出现在我们视线中的原因(我们每天分析数以千计的恶意软件样本,很多都有这样的行为)。这个特定的样本引起我们注意的原因是它所使用的域名查询方法。它使用的域名似乎是用算法生成的,并且大约有一半域名是瑞士国家顶级域名(ccTLD)。
使用域名生成算法(DGAs)的恶意软件是非常罕见的。
分析
我们分析的这个Tofsee样本有一个非常新的时间戳:“2016年12月16日星期五,07:09:11”。
生成种子
下面我们来探讨DGA的具体过程。首先,计算1974年1月1日0时到现在的秒数(下图中 0x40A0A0),然后在 0x0040A0A8处,用这个值加再加上126230400秒(UNIX纪元到1974年1月1日的秒数),实际上,通过上面的步骤得到了当前的UNIX时间。目前我们尚不清楚为什么要采用这种复杂的方法获取当前UNIX时间。这个Unix时间分别再除以四个整数,分别是60,60,24和7,最后得到的是从UNIX纪元到现在的周数。这个值用作域名生成算法的种子。因此域名的有效期是一周,按UTC时间,从每周四开始。
在种子生成过程中还调用了一个伪随机数发生器(PRNG),并将结果模10,得到0到9中的一个数。这个随机数发生器采用Borland C/C++编译器使用的标准线性同余算法。
r2的初始值是几乎不可预测的:
每次域名生成过程,共产生10个域名。
(域名级别是网址分类的一个标准,包括顶级域名、二级域名等。一个完整的域名由二个或二个以上部分组成,各部分之间用英文的句号”.”来分隔,倒数第一个”.”的右边部分称为顶级域名(TLD),顶级域名的左边部分字符串到下个”.”为止称为二级域名(SLD),二级域名的左边部分称为三级域名,以此类推,每一级的域名控制它下一级域名的分配)
在0x040A0FC 位置,根据种子生成一个随机字符串,例如周数。随后这个随机字符串在0x040A114又被复制了一次。例如:字符串dqg在这变成了dqgdqg,这个字符串的生成细节,待会我们回过头来再细讲。
生成第一个SLD时,用上面讲到的不可预测的随机数生成算法(0到9共10个数),选取“a”到“j”之间(共10个字母)的随机字母,添加到上面的字符串后面,就生成了二级域名,如dqgdqgc.ch。然后,从选取的字母开始,DGA会依次选取a到j中的字母,比如,如果第一次选取了“c”,后面的依次就是“d”,“e”,“f”,“g”,“h”,“j”,“a”,最后是“b”,共10个域名。
前5个域名的顶级域名设为“.ch”,剩下的设置为“.biz”
下面,我们再来看一下0x040A0FC处的随机字符串(上面的dqgdqg)是怎么生成的。
这段过程使用了最开始生成的种子r(周数),例如,根据1970年1月到现在的时间,换算成周数,利用周数得出随机字符串,如下:
例如:2016年12月20日,根据UNIX纪元计算出的周数是r=2450,string1 = 2450%26+‘a’=g,r=2450/26=94,因此第一个字母是g,同时r!=0,继续循环,直到r=0时结束,最后依次得到的字母是:g、q、d。随后,随机字符串gqd被倒序为dqg。随后又被复制了一次,得到dqgdqg。
程序实现
域名列表
下表列出了未来52周的所有可能的域名,域名中括号包含了随机扩展,如dqgdqg{a..j}.{ch,biz}代表20个不同的域名。所有的时间都采用CET(中欧时间)时间。
采取的行动
为了防止这种Tofsee僵尸网络操作者滥用瑞士域名空间(ccTLD .ch),我们和瑞士国家顶级域名注册机构已经采取了进一步的措施,所有可能的DGA域名的组合,在注册状态处已经被设置为非注册状态。因此在未来12个月,任何由DGA算法生成的域名,都不会被注册。
参考链接
CF“生化狂潮”有没有详细介绍或专题网站发表?
“为了创造更加强大的幽灵,研究小组在研究所里夜以继日地进行着封闭性测试。 经过了数十个昼夜的奋战,研究员们的努力终于有了成果。 就在这天,他们终于创造出了在战场上所向披靡的“生化幽灵”!然而,他们没有意识到就在他们倍感兴奋的时候,灾难已经悄然降临……”这就是国内枪战王者领军作品《穿越火线》(简称CF)即将开启的“生化模式”的游戏背景开端;创意起源于国内外众多精彩的科幻影视作品的“生化模式”,立志于在互联网的世界中打造“异形大战铁血战士”的盛景,让玩家不仅在好莱坞名导作品中感受生化异形带来的感官刺激,更能在这个网游虚幻的世界中亲身体会变异幽灵所带来的那种紧张与压迫。 正如许多有着多年射击类网游经验的玩家所表示的,成功地将“生化模式”引入到FPS网游当中来,是很多玩家长久以来的夙愿。 在3月初刚刚落幕的CF“冠军杯”全国总决赛上,运营方正式宣布了这一个令千万CF玩家振奋的消息——CF即将发布“生化模式”!而就在今天,火线运营方进一步确认和宣布:将在2009年4月10日开启《穿越火线》周年巨献“生化公测”,并投入各项重大资源回馈新老玩家,以掀起国内生化幽灵的狂潮!CF logo作为一款同时在线峰值突破90万,拥有FPS网游领域无可匹敌人气地位的作品,CF一直以来都不断推出新的游戏模式满足玩家的需求,让玩家长久保持新鲜畅快的游戏体验。 而此次的“生化模式”,不仅秉承了这一为玩家打造更多精彩的理念,并经过广泛细致的市场调研后,计划对游戏的品质进行更进一步的提升,将好莱坞导演的力作和思想搬上玩家喜爱的游戏平台,让每一个喜爱枪战游戏的玩家更进一步了解CF的独特魅力。 而作为独创设计经典“幽灵模式”的CF研发团队,在设计全新的“生化模式”时,又会有着怎样非同一般的特色呢?“生化”这一名称,一般都认为是受到特殊物质感染后,变成没有自主思维,冷血的“行尸走肉”,而这些行尸走肉会进一步感染他人。 然而,即将登场的CF“生化模式”,却让所有玩家惊喜的发现有着完全不同的观感和体验。 生化幽灵 狂暴出击从资料图片中可以看到,CF“生化模式”当中的“生化幽灵”,其外型颠覆了传统印象中大家对“生化”的理解,更仔细的观察,不难发现,这更像是科幻影视巨作中的异形生物。 从最初的一个母体,到被感染者体内滋生出的更多寄生体,直到将自己周围环境当中所有的生命体都感染为自己的同类,这就是电影中“生化异形”的行为特征,然而这一特征,却恰恰是“生化模式”当中,以感染人类为游戏目标的“生化幽灵”们所要做的!以“异型”来诠释生化感染这一主题,的确够特别!熟知CF的朋友也一定知道,CF当中的每种模式,都有属于自己的专有地图,例如荣登CF冠军杯与百城联赛赛场的爆破模式专用——“黑色城镇”;每日上演“幽灵”大战的“地下研究所”,以及09年新款的歼灭专图“阿拉斯加”等等……在新的“生化模式”中,同样将出现两款崭新的专用游戏地图。 异形生物当然,崭新的游戏模式,重大的全新版本,必然会伴随着更多创新与设计。 要探知新版本的更多详情奥秘,请大家将目光锁定在4月10日即将上线的CF全新版本!
什么是僵尸程序?
僵尸程序。 现在理解就是黑客用远程控制软件,控制的成百上千的肉鸡,这就构成僵尸网络。 源描述 配置和很多反弹远程控制基本一样,DNS域名上线演示1 申请DNS域名,可申请使用花生壳,希网,科万等域名,注意查看你是否为公网!192、127、10等开头的IP为内网地址,内网必需映射外网端口才能上线。 2 申请得到域名后更新好你当前的公网IP上去 计算机每次重启后都要更新一次 除非你是静态IP。 3 把域名如 填在DNS更新IP栏下 FTP不能使用 填入NO4 填入安装名称 安装名称后缀为文件 如 都可以 不能填1234 等名称!5 填入上线密码 上线密码是与客户端的上线密码项对应 6 默认是勾选使用Upack压缩服务端 你可去勾 生成后便用其它软件压缩服务端 7 生成 自已运行 或发给 入侵别人运行。 8 生成运行后回到主窗口 DNS域名上线端口设为80 上线密码是与服务端端的上线密码项对应 等待上线。 。 。
什么是僵尸病毒??
僵尸网络病毒,通过连接IRC服务器进行通信从而控制被攻陷的计算机。 僵尸网络(英文名称叫BotNet),是互联网上受到黑客集中控制的一群计算机,往往被黑客用来发起大规模的网络攻击,如分布式拒绝服务攻击(DDoS)、海量垃圾邮件等,同时黑客控制的这些计算机所保存的信息也都可被黑客随意“取用”。 因此,不论是对网络安全运行还是用户数据安全的保护来说,僵尸网络都是极具威胁的隐患。 僵尸网络的威胁也因此成为目前一个国际上十分关注的问题。 然而,发现一个僵尸网络是非常困难的,因为黑客通常远程、隐蔽地控制分散在网络上的“僵尸主机”,这些主机的用户往往并不知情。 因此,僵尸网络是目前互联网上黑客最青睐的作案工具。 此病毒有如下特征:1、连接IRC服务器;1)连接IRC服务器的域名、IP、连接端口情况如下:域名 IP 端口 所在国家 194.109.11.65 TCP/6556,TCP/1023 荷兰 64.202.167.129 TCP/6556,TCP/1023 美国 194.109.11.65 TCP/6556,TCP/1023 荷兰 64.202.167.129 TCP/6556,TCP/1023 美国 194.109.11.65 TCP/6556,TCP/1023 荷兰 无法解析 TCP/6556,TCP/)连接频道:#26#,密码:g3t0u7。 2、扫描随机产生的IP地址,并试图感染这些主机;3、运行后将自身复制到System\;4、在系统中添加名为NetDDE Server的服务,并受系统进程保护。 按照以下方法进行清除:该蠕虫在安全模式下也可以正常运行。 但可以通过清除注册表的方式在正常模式下清除蠕虫。 手工清除该蠕虫的相关操作如下:1、断开网络;2、恢复注册表;打开注册表编辑器,在左边的面板中打开并删除以下键值:HKey_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minmal\NetDDEsrvHKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\NetDDEsrvHKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NetDDEsrvHKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Minmal\NetDDEsrvHKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Network\NetDDEsrvHKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\NetDDEsrvHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minmal\NetDDEsrvHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetDDEsrvHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetDDEsrv3、需要重新启动计算机;4、必须删除蠕虫释放的文件;删除在system下的文件。 (system是系统目录,在win2000下为c:\winnt\system32,在winxp下为c:\windows\system32)5、运行杀毒软件,对电脑系统进行全面的病毒查杀;6、安装微软MS04-011、MS04-012、MS04-007漏洞补丁。
发表评论