对典型僵尸网络进行长期跟踪和深入分析，有利于对僵尸网络的更多了解，从而给出有效的控制手段。本文详细地剖析了一个典型的僵尸网络，从僵尸网络客户端程序入手，分析了各种控制命令的功能，并对僵尸网络的活动进行了归类统计，最后对僵尸网络的控制者进行了定位。

　　客户端组成分析
　　文件名 - beta.exe
　　文件大小 - 1.03MB
　　获得时间 - 6月24日
　　文件类型 - 应用程序，以SFX RAR加壳，即可以直接执行，在C:\Program Files\WebS3\上释放如下表中的文件。

　　客户端工作流程
　　1.beta.exe(原始自动脱壳文件)，通过email、互联网、botnet等的路径存放到磁盘上并执行。
　　2.beta.exe在本地磁盘上自动脱壳，在指定的目录中释放壳内的文件，执行snpvt2k.exe(mIRC)。
　　3.mIRC执行，从mirc.ini读入配置信息，从lovely.sys、pxs.sys、as.sys、c.sys引入恶意代码。
　　4.隐藏mIRC界面，修改Windows注册表的自启动部分。
　　5.连接到指定的IRC服务器，并在指定的channel上等待黑客的命令。

　　控制指令分析
　　只有具有channel op权的黑客能发出的命令
　　进程操作：黑客可以杀bot上正在运行的进程，这样可以关掉防火墙、反病毒等软件。
　　窃听：窃听结果显示在IRC服务器的一个channel(不同于bots接受命令的channel)上显示。黑客在该channel上收看bots显示的窃听结果。

　　攻击命令：在互联网上进行流量攻击。
　　IRC操作命令：干扰其他IRC服务器(如发送大量的垃圾消息)。
　　其他命令:从互联网下载文件、断接后重新连接、允许输入所有的IRC命令等命令。
　　不受op权限制的命令
　　IRC操作命令：如!c、!c off、!ch、!ch off等命令。
　　控制MSN messenger：如     !msn、freeze、add等命令。

　　僵尸网络活动监控
　　研究小组经过长期监控该botnet的使用情况，统计出黑客控制僵尸网络命令的使用次数。

　　对黑客控制命令的功能分所示：
　　1.文件下载。文件下载命令的次数最多，这是因为黑客为了保证每个bot都下载文件，在不同时刻多次发出下载同一个文件的命令，而且黑客一次发出命令就重复发出了好几次。这些文件在磁盘上自动脱壳的时候，不重写(即已经下载过的文件不再释放到磁盘上，所以不干扰正在运行的病毒)。

　　另外，文件下载命令使用次数较多，从一个侧面反映了黑客对僵尸网络客户端的升级是非常频繁的。监控Botnet中从黑客的命令采集到的文件总共有28种之多，大部分不能被防病毒软件检出。

　　2.攻击其他IRC服务器。黑客采用clone(一个bot对目标服务器产生多个连接，并进行流量攻击)和flood(发送大量的垃圾消息)方法对其他IRC服务器进行了攻击。从实验结果中可以看到，规模小的botnet也可以使用clone和flood方法产生大量的流量攻击对方。

　　3.DoS攻击。攻击一个目标时，黑客采用不同的DoS攻击方式来进行不同层次上的DoS攻击。当在进行攻击时，产生的大量的流量不但影响目标网络，同时影响本地的网络。

　　4.盗取隐私信息。可以想象，如果在大规模的botnet上盗取隐私信息，将会导致非常大的经济等各种方面的损失。

　　僵尸网络控制者定位
　　通过对Botnet channel长期监控，有时候可以看到黑客的IP地址信息。一般情况下，黑客把自己的IP隐藏起来，但是有时候会由于疏忽而把自己的IP信息暴露出来，这时即可根据该IP地址追踪黑客的位置。如果能定位一个黑客的话，按道理来说，可以再通过这个黑客继续追踪别的黑客(同一个hacker团体的)。

　　追踪IP可以使用各种IP追踪软件(本文中使用了Visual IP trace)。

　　定位的结果显示该IP地址的网络管理员的联系方式。无论IP是动态(比如ADSL)或是静态IP(比如Cable)，都可以通过上级网络管理员来确认某时刻占用那个IP地址的用户(正确地定位Botnet黑客)。

　　典型僵尸网络监控小结

　　规模扩展
　　通过对这个典型僵尸网络客户端程序分析之后，可以发现该僵尸网络客户端程序本身没有蠕虫那样的主动传播的能力。为了扩展Botnet，传染更多的机器，黑客命令bots下载具有传播性的蠕虫病毒。这些蠕虫在已感染的机器上以扫描周围IP地址的方式传播，寻找新的存在系统漏洞的对象并将其感染。这样，黑客便可获得新的攻击对象，再次利用各种Trojan木马进行恶意控制。

　　对抗反病毒软件
　　此僵尸网络客户端程序的主要特点是，它是由几个正常的应用程序，恶意利用它们来组成的(比如，僵尸网络客户端程序的主体是版本为6.03的mIRC应用程序，一般不能把它视为病毒)。最新更新的Kaspersky KAV5.0反病毒软件不视其为病毒，Virus Chaser5.0a仅将其中两个组件视为病毒。

　　上述两个结果说明，这样利用正常应用程序组成的僵尸网络客户端程序对反病毒措施是比较尴尬的事情。若如后者Virus Chaser那样将其视为病毒会导致反病毒软件的误诊，会引起计算机系统发生故障而给用户带来不便，而如前者KAV那样不将其视为病毒，也将会给计算机系统带来危害。

　　通过对典型僵尸网络的分析，可以深入细致地掌握僵尸网络的功能和扩张机制，甚至可以定位控制僵尸网络的黑客。但是，僵尸网络客户端控制程序的快速升级，也为及时控制和检测带来了相当大的困难，这还需要进行更多的研究工作。