近日，安天追影小組在分析樣本的過程中發(fā)現(xiàn)了一款帶有過期簽名的DDoS惡意程序。其盜用的數(shù)字簽名屬于韓國NHN公司美國分公司，主要目的是為了躲避殺軟檢測。為了搜索網(wǎng)絡(luò)犯罪證據(jù)，獲取惡意代碼和作者的來源，追影小組進(jìn)行了基于安天實(shí)驗(yàn)室兩款產(chǎn)品追影威脅分析系統(tǒng)（PTA）和探海威脅檢測系統(tǒng)（PTD） 的惡意代碼分析與追蹤。發(fā)現(xiàn)樣本存在多種惡意行為，屬于遠(yuǎn)程控制木馬,主要目的是控制用戶計(jì)算機(jī),竊取用戶私密信息,損害計(jì)算機(jī)系統(tǒng)等。

       通過樣本分析可以發(fā)現(xiàn)，此DLL樣本的功能大部分都是跟DDOS相關(guān)的。而且其每次獲取的攻擊目標(biāo)都是從指定的域名上動(dòng)態(tài)獲取到的。再結(jié)合種馬，從規(guī)模上來說，就屬于分布式的DDOS了。在用戶感染此樣本后，就會(huì)充當(dāng)其中的一臺(tái)DDOS肉雞，還會(huì)面臨一些敏感數(shù)據(jù)泄漏，惡意程序安裝，Hosts被修改造成釣魚劫持，網(wǎng)絡(luò)性能低下等影響，具有極強(qiáng)的危害性。

       由PTD查詢結(jié)果表明，該樣本活躍時(shí)間約為2015年11月3日至2015年11月28日。目前，該DDOS樣本仍處于極度活躍狀態(tài)，根據(jù)定時(shí)（時(shí)間間隔為半小時(shí)）投遞PTA分析報(bào)告顯示，僅僅在一天內(nèi)，就有數(shù)十家網(wǎng)站疑似遭到DDOS攻擊，主要為國內(nèi)的一些在線銷售減肥藥網(wǎng)站、在線賭博網(wǎng)站、電子交易平臺(tái)等。由報(bào)告結(jié)果同時(shí)可知，該樣本攻擊行為的觸發(fā)時(shí)間大部分為10點(diǎn)至22點(diǎn)，正好處于各網(wǎng)站訪問量較多的時(shí)間段，在這個(gè)時(shí)間段遭受到DDOS攻擊，會(huì)對(duì)網(wǎng)站運(yùn)營造成巨大影響與損失。

       通過對(duì)黑客的追蹤，追影小組發(fā)現(xiàn)攻擊者使用fabao.309420.com:7002作為C&C服務(wù)器，分發(fā)DDOS攻擊任務(wù)，并可實(shí)現(xiàn)簡單的遠(yuǎn)程控制。域名所有者名為WU YUAN，注冊(cè)郵箱為[email protected]，常活動(dòng)地區(qū)為廣東廣西。目的可能是敲詐或者同業(yè)競爭。