近日，安天追影小組在進行安全事件梳理時，注意到了Sarvdap家族木馬利用RBL(Realtime Blackhole List)過濾技術來進行選擇性感染，安天追影小組對該家族的樣本行為做簡要的介紹。

      Sarvdap家族木馬主要采用網絡釣魚的方式來進行傳播， RBL為實時黑名單列表的英文縮寫，該列表中的IP地址均對外發送過垃圾郵件，一般被郵件過濾器用于過濾垃圾郵件。正是利用了RBL這一特性，Sarvdap家族惡意代碼能夠避免感染RBL黑名單中的主機，來提高感染的有效性。

      安天追影小組針對Sarvdap家族樣本進行分析，通過分析可知該樣本編譯環境為Microsoft C++ 8.0的可執行文件。

      Sarvdap樣本將功能函數和字符串地址進行硬編碼，依賴于內存基地址為0x2001000的功能模塊，當無法獲取到功能函數及字符串時將無法運行，從而來增加靜態調試的難度。

      在程序執行時，該樣本將進行自我復制，將自身復制到%windir%目錄的文件夾里，并執行一個名為svchost.exe的進程，將主要代碼寫入該進程內存中，設置注冊表自啟動。

      成功寫入代碼后，惡意進程會嘗試訪問http://www.microsoft.com來測試網絡連接狀態，若網絡處于連通狀態，則將被感染主機的IP在RBL列表中進行檢索，判斷是否進行感染，若被感染主機不在RBL黑名單中，則將繼續進行感染，進而獲取主機控制權，否則將終止執行惡意代碼。

      Sarvdap樣本的RBL檢查模塊進行深入分析可以發現，樣本的RBL黑名單為硬編碼，且列表中包含的服務器IP范圍遍布全世界，可見該惡意代碼攻擊的范圍之廣。

      通過本次事件的技術分析，可以發現網絡釣魚傳播木馬仍然是企業、政府和家庭用戶一個非常普遍的威脅，攻擊者也不斷更新技術來躲避查殺，安全技術必然需要與時俱進。安天建議網絡使用者，針對郵箱匿名郵件應謹慎對待，切勿隨意下載啟動，防范于未然。對于已經受到感染的機器設備，及時尋求專業人事行分析處理。目前,該樣本已經被追影產品檢出。