僵尸何必为难僵尸：探秘流氓僵尸网络母巢

搞防病毒的都听说过SpyEye，一个会关闭数据偷窃型僵尸网络（如ZeuS/ZBOT）的"恶意"软件。SpyEye能阻止ZeuS在被感染系统上的运行，也因此赢得"ZeuS杀手"称号。

我们深入调查了一个SpyEye僵尸网络的命令与控制中心（command-and –control）服务器，这里控制着的僵尸大多来自波兰。这有些不同寻常，因为"僵尸牧场主"通常喜欢把目标对准美国、英国、德国、意大利、西班牙和法国等西方国家。

我们打探的这台僵尸控制服务器位于乌克兰：

IP地址：xxx.xxx.159.29

组织：Tavria Host Network

ISP: PAN-SAM Ltd.

ASN：AS196814

我们成功访问了这台SpyEye僵尸控制服务器上的多个控制页面，发现很多有趣的信息，例如该网络控制的僵尸数量和位置等。

图1 僵尸的分布和位置

我们还发现根据操作系统类型、浏览器版本、以及是否已管理员帐号运行等分门别类统计的僵尸数据：

图3 IE版本分布

图4 管理员权限统计

最精彩的部分来了，我们看到了僵尸配置页面，甚至僵尸网络偷来的数据细节！

图5 僵尸配置细节

图6 僵尸配置细节

图7 偷来的数据就是这个样子滴

翻遍服务器的数据，我们发现不少"账户"赃物，这些赃物来自银行、社交网络以及招聘网站。这台僵尸网络控制服务器的安全意识实在不咋地，事实上，有很多开放的文件夹和可直接看到的配置文件。我们还从这台服务器提取了400MB偷窃来的数据。

给用户感染上SpyEye恶意软件后，僵尸管理员开始推送新的TDSS变种，经检测为TROJ_TDSS.VAD，这将SpyEye与安装付费（Pay-per-install）业务网络联系起来。

图8 安装付费网络