近日，波蘭 CERT 發現一個活躍的僵 尸網絡：Tofsee，又名 Gheg。它作為一種 多功能的僵尸網絡惡意軟件，可用于挖比 特幣、發送郵件、竊取憑證、實施 DDoS 攻擊等。安天捕風小組發現該僵尸網絡發 送的所有電子郵件都是隨機的，一些簡單 的垃圾郵件過濾器可能無法過濾這些消 息，從而使電腦感染 Tofsee 惡意軟件，使 人防不勝防。

     Tofsee 使用基于 TCP 的非標準協議與 被控端通信，建立連接后的第一條消息（大 小總是 200 字節）總是由服務器發送，其 包含的最重要內容是一個隨機的 128 字節 的密鑰，用于加密進一步的通信，在每個發送或接收字節之后，密鑰都會被修改。 第一條消息中還包含一個 C2 IP 地址列表， 但有趣的是，這個列表中可能不包含自身 的 IP，這樣的話連接很快就會終止，并從 新接收的列表中選擇一個隨機服務器作為 通信伙伴。隨機服務器能有效的充當指向 實際服務器的“指針”。

     由于 Tofsee 的模塊化設計，該僵尸網 絡的功能多樣，且相對獨立，只要獲取到 相應的模塊，就可以實現相應功能，適應 性極強，通過對其插件進行分析，Tofsee 整體可實現的功能如下：1）可下載、安裝 惡意程序，實施非常復雜的 DDoS 攻擊， 例如 HTTP Flood 或常規的 SYN Flood。2）可嗅探、替換通訊，監聽 0.0.0.0:1080 上的 TCP 連接并提供多線程 SOCKS 代 理服務器，將其他惡意軟件從受害者計算 機中移除。3）可檢測肉雞是否被列入垃 圾郵件程序或被拉入黑名單，竊取微軟 Outlook 的網絡憑證，從 C2 下載郵件模板 后生成并發送垃圾郵件，同時添加惡意程 序附件到郵件上。4）通過社交媒體，如 Facebook，Twitter 與 Skype 等通訊軟件進 行傳播。5）輔助貨幣加密挖礦程序進行挖 礦。

     安天捕風小組提醒廣大互聯網用戶安 全、健康上網，安裝殺毒、防毒軟件并及 時升級系統和修補設備漏洞。