对典型僵尸网络进行长期跟踪和深入分析，有利于对僵尸网络的更多了解，从而给出有效的控制手段。本文详细地剖析了一个典型的僵尸网络，从僵尸网络客户端程序入手，分析了各种控制命令的功能，并对僵尸网络的活动进行了归类统计，最后对僵尸网络的控制者进行了定位。

客户端程序分析

客户端组成分析

文件名  -   beta.exe

文件大小    -   1.03MB

获得时间    -   6月24日

文件类型    -   应用程序，以SFX RAR加壳，即可以直接执行，在C:\Program Files\WebS3\上释放如下表中的文件。

文件名              文件说明

snpvt2k.exe         正常的mIRC.exe文件，故反病毒软件一般不把它视为病            毒，版本为6.03。

repcale.exe         隐藏程序的运行画面，使用户看不到病毒的活动。有的反病            毒软件将它视为病毒。在DOS命令行中调用。

hd.exe             隐藏程序的运行画面，有的反病毒软件把它视为病毒。也是            在DOS命令行中调用。

orrl.exe           局域网sniff工具，可以记录LAN traffic，原名称为daSniff。

ps2m.exe           原名为pspv.exe，将Windows注册表中加密存储的用户名以         及口令信息到出来解密显示。这是一个正常的软件，但由于它的特性，有的反病毒软件（Norton）将它视为Trojan/Virus类的hacking工具。这个工具的功能很强，可以从最新升级的Windows平台盗出私人信息。反病毒软件可能不起作用，有的防火墙会防止pspv向注册表中存储私人信息的区域的访问盗出信息。

cult.exe           正常的软件，原名为PrcView的进程管理软件，具有类似于         "Windows任务管理器"的功能。

addx.exe           微软的修改Windows注册表的程序。

d.dll              未知

msn.dll            MSN messenger的应用程序扩展文件，可以利用此dll对messenger进行操作（如，加新联系，断接，查看状态等）。

xxx.reg            xxx为从100～999随机生成的数字，Windows注册表的      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]项上添加" snpvt2k.exe"，使病毒Windows开始时自启动。

pxs.sys            mIRC脚本，包含恶意的代码。

lovely.sys         mIRC脚本，包含恶意的代码。

c.sys              mIRC脚本，包含恶意的代码。

as.sys             mIRC脚本，包含恶意的代码。

knlps.sys          knlps.exe的辅助文件。knlps.exe为列出当前系统中运行的进          程的工具。但是，在beta.exe中缺了knlps.exe，无用。

v1rg1n             名字表，连接到其他IRC服务器时使用。

mirc.ini           mIRC必修的配置设置文件，将mIRC的sound项均匀设置为           no sound，避免病毒隐藏运行时出声音，并读入上述4个含有恶意代码的mIRC脚本。

remote.ini         mIRC辅助文件aliases.inimIRC辅助文件，添加了IRC服务器上取昵称的命名规则，模式（mode）设置，状态设置等的附加信息。

v1reg.bat          DOS批处理文件，与上述的xxx.reg同样包含注册表修改的内容。

ksat.bat           DOS批处理文件，包含knlps.exe的处理过程（将当前运行的进程的列表写到taks.w里）。

w.e                局域网sniff的结果以text形式存放此处，便于在IRC上给Botnet黑客显示结果。

taks.w             进程的列表，为了便于在IRC上给Botnet黑客显示结果而生成。

客户端工作流程

1.beta.exe（原始自动脱壳文件），通过email、互联网、botnet等的路径存放到磁盘上并执行。

2.beta.exe在本地磁盘上自动脱壳，在指定的目录中释放壳内的文件，执行snpvt2k.exe（mIRC）。

3.mIRC执行，从mirc.ini读入配置信息，从lovely.sys、pxs.sys、as.sys、c.sys引入恶意代码。

4.隐藏mIRC界面，修改Windows注册表的自启动部分。

5.连接到指定的IRC服务器，并在指定的channel上等待黑客的命令。

控制指令分析

只有具有channel op权的黑客能发出的命令

进程操作：黑客可以杀bot上正在运行的进程，这样可以关掉防火墙、反病毒等软件。

窃听：窃听结果显示在IRC服务器的一个channel（不同于bots接受命令的channel）上显示。黑客在该channel上收看bots显示的窃听结果。

攻击命令：在互联网上进行流量攻击。

IRC操作命令：干扰其他IRC服务器（如发送大量的垃圾消息）。

其他命令:从互联网下载文件、断接后重新连接、允许输入所有的IRC命令等命令。

不受op权限制的命令

IRC操作命令：如!c、!c off、!ch、!ch off等命令。

控制MSN messenger：如     !msn、freeze、add等命令.