近日，安天 CERT（安全研究與應 急處理中心）在梳理網絡安全事件時發現 一種名為 Dorkbot 的僵尸網絡開始活躍。 Dorkbot 僵尸網絡最早在 2011 年 4 月被首 次發現，其使用的攻擊手段包括后門植入、 密碼竊取和其他惡意行為。Dorkbot 的傳 播途徑也非常廣泛，包括 USB 設備、IM 客戶端、社交網絡、電子郵件及隱蔽式下 載。Dorkbot 的主要攻擊目標是盜取用戶 憑證以及各種能夠識別個人身份的信息。 它同時還能夠在受害者的 PC 上，通過控 制服務器安裝更多的惡意程序。

     DorkBot 惡 意 軟 件 被 打 包 在 一 個 dropper 中， 其 中 payload 被 嵌 入 到 一 個 RC4 加 密 的 blob 里。 該 blob 可 以 在 二 進制編碼的資源部分中找到，并且使用Base64 編 碼。dropper 先 對 Base64 編 碼 的 payload 進行解碼，然后對其進行后續 解密，最后的結果由一段用于 PE 加載的 shellcode 和惡意軟件原始二進制文件組 成。在解密之后，控制權被移交給位于原 始二進制文件中的 shellcode，然后將其進 行裝載并執行入口處代碼。 Payload 擁有 檢驗參數、拷貝自身、反虛擬機、終止自 啟動進程、APC 注入等功能，同時它會 對文件修改進行監控，一個線程會不斷計 算 %appdata% 下復制的惡意二進制文件的 CRC32，并將其與原始文件的 CRC32 進 行比較。一旦發生變化，復制文件會被刪 除，將其重寫為原始文件的內容。

     安天 CERT 提醒廣大政企客戶，要提 高網絡安全意識，在日常工作中要及時進行系統更新和漏洞修復，不要隨意下載非 正版的應用軟件、非官方游戲、注冊機等。 收發郵件時要確認收發來源是否可靠，更 加不要隨意點擊或者復制郵件中的網址， 不要輕易下載來源不明的附件，發現網絡 異常要提高警惕并及時采取應對措施，養 成及時更新操作系統和軟件應用的好習 慣。確保沒有任何計算機運行直接連接到 Internet 的遠程桌面服務，而是將運行遠程 桌面的計算機放在 VPN 之后，只有使用 VPN 才能訪問它們。同時也要做好文件的 備份，以防止勒索軟件加密重要文件后無 法恢復。

      目前，安天追影產品已經實現了對該 類惡意代碼的檢出。