過對最新發現的Kneber僵尸網絡的各種信息的匯總，我們發現，這種新型僵尸可在同一主機上利用不同的惡意軟件觸發多重感染，而惡意軟件之間的這樣一種復雜的合作機制給了所有惡意軟件更高的存活率。

當Kneber僵尸網絡在周四被發現時，其規模已相當龐大——大約已感染了2400多家企業的7.5萬臺電腦。但是據發現了Kneber的NetWitness的研究部門高級咨詢師Alex Cox說，Kneber如何與其他惡意軟件網絡相互作用從而產生一種共生關系，能夠更有效地抵御對它們的清除，這才是安全行業更應該予以關注的。

Kneber是利用了一套功能完善的工具包創建的，這套能夠匯總各類僵尸網絡的工具包在網絡上已流行了多年，被稱作ZeuS。Kneber只不過是利用了ZeuS工具包構建的僵尸網絡之一而已，不過由于Cox已經從指揮與控制服務器上捕獲了75GB的注冊數據，所以他能夠對ZeuS所控制的電腦的特征進行詳細地分析。

他發現，在被感染的7.5萬臺電腦中，一多半的僵尸上還發現了其他的惡意軟件，這些惡意軟件使用了一種不同的指揮與控制結構。如果一個僵尸網絡被禁用，其他未被清除的僵尸網絡則可以再次將其構建起來。

“至少，兩個帶有不同的指揮與控制結構的獨立的僵尸網絡家族能在其中一個被安全防御工作所清除時提供容錯功能和恢復功能，”Cox在其分析Kneber僵尸網絡的文章中稱。

在這一案例中，構成Kneber僵尸網絡中的一多半電腦同時被ZeuS(竊取用戶數據)和Waledac(使用P2P機制傳播的垃圾郵件惡意軟件)所感染。Cox雖然尚不能肯定這兩種僵尸網絡是如何協同工作的，但是有一個有趣的可能性是存在的：如果ZeuS的指揮與控制架構在某個點上被清除，那么ZeuS僵尸網絡的所有者便可聯絡Waledac僵尸網絡的人，支付一定費用讓其推送一個ZeuS的升級包，從而讓ZeuS僵尸重新聯機，并向一臺新的控制服務器報告。

此外，一個獨立的組織也可以同時運行ZeuS和Waledac僵尸網絡，這樣便可自己推送升級包?！皬臑碾y恢復的角度看，這么做也是合理的，”Cox說。

Kneber服務器的日志包含了很多個人登錄各類網站如Facebook和Yahoo等的密碼。它的設計目的還在于竊取個人的在線金融賬號，例如花旗銀行、富國銀行、支付寶、城市銀行和匯豐銀行等網站的登錄密碼，Cox的Kneber報告稱。

1月26日，Cox在NetWitness的一家客戶的網站上發現了Kneber。他發現了一臺被ZeuS所感染的電腦，當時這臺電腦正在下載其他可執行的惡意軟件。然后他跟蹤這一流量到了德國的一臺ZeuS智慧與控制服務器，在這里，他捕獲了該服務器將近一個月的日志數據。

這個僵尸網絡因hilarykneber@yahoo.com郵箱而得名，該郵箱的注冊人就是在這個原始域名上將僵尸網絡的各個組成部分匯集起來的。該注冊人還一直在尋找包括PDF和Flash漏洞以及木馬安裝在內的其他惡意軟件的協助。

同一個注冊人還登錄了多個尋找資金騾子(非法利用其銀行賬號轉運金錢的人)的Web網站。

Kneber僵尸網絡從2009年3月25日以來就一直在活躍，據NetWitness稱，大部分最活躍的站點在中國，約有17%的站點在美國。

Cox還通過鏈接發現了Kneber針對美國一些政府機構發動過釣魚攻擊，例如從美國國家安全局發出的一些郵件會要求接收人點擊可下載惡意軟件的鏈接。

Cox認為Kneber僵尸網絡最大的收獲就是社交網站的用戶名和密碼。這些數據可用來進入社交網站，給受感染的網站粘貼惡意鏈接。社交網站上的好友們更愿意相信這些鏈接，因為他們認為這些鏈接是他們所信任的人粘貼的。

社交網站的賬號還可用于進一步開采可滲入用戶在線金融賬號的個人數據。比如說，如果某人社交網站的賬號用的是其母親未出嫁之前的名字，那么這個賬號也有可能會被用來重置銀行賬號的密碼，從而可能被攻擊者利用來竊取和轉移金錢。

【編輯推薦】

1. 專門攻擊路由器和DSL接入設備的僵尸網絡出現
2. 09年新增惡意軟件2500萬
3. 僵尸網絡（Botnet）的演變與防御