通過對最新發現的Kneber僵(jiang)屍(shi)網(wang)絡(luo)的(de)各(ge)種(zhong)信(xin)息(xi)的(de)彙(hui)總(zong)
，我(wo)們(men)發(fa)現(xian)，這(zhe)種(zhong)新(xin)型(xing)僵(jiang)屍(shi)可(ke)在(zai)同(tong)一(yi)主(zhu)機(ji)上(shang)利(li)用(yong)不(bu)同(tong)的(de)惡(e)意(yi)軟(ruan)件(jian)觸(chu)發(fa)多(duo)重(zhong)感(gan)染(ran)，而(er)惡(e)意(yi)軟(ruan)件(jian)之(zhi)間(jian)的(de)這(zhe)樣(yang)一(yi)種(zhong)複(fu)雜(za)的(de)合(he)作(zuo)機(ji)製(zhi)給(gei)了(le)所(suo)有(you)惡(e)意(yi)軟(ruan)件(jian)更(geng)高(gao)的(de)存(cun)活(huo)率(lv)。

當Kneber僵屍網絡在周四被發現時，其規模已相當龐大——大約已感染了2400多家企業的7.5萬台電腦。但是據發現了Kneber的NetWitness的研究部門高級谘詢師Alex Cox說
，Kneber如何與其他惡意軟件網絡相互作用從而產生一種共生關係，能夠更有效地抵禦對它們的清除
，這才是安全行業更應該予以關注的。

Kneber是利用了一套功能完善的工具包創建的，這套能夠彙總各類僵屍網絡的工具包在網絡上已流行了多年，被稱作ZeuS。Kneber隻不過是利用了ZeuS工具包構建的僵屍網絡之一而已，不過由於Cox已經從指揮與控製服務器上捕獲了75GB的注冊數據，所以他能夠對ZeuS所控製的電腦的特征進行詳細地分析。

他發現，在被感染的7.5萬wan台tai電dian腦nao中zhong，一yi多duo半ban的de僵jiang屍shi上shang還hai發fa現xian了le其qi他ta的de惡e意yi軟ruan件jian，這zhe些xie惡e意yi軟ruan件jian使shi用yong了le一yi種zhong不bu同tong的de指zhi揮hui與yu控kong製zhi結jie構gou。如ru果guo一yi個ge僵jiang屍shi網wang絡luo被bei禁jin用yong，其qi他ta未wei被bei清qing除chu的de僵jiang屍shi網wang絡luo則ze可ke以yi再zai次ci將jiang其qi構gou建jian起qi來lai。

“至少
，兩個帶有不同的指揮與控製結構的獨立的僵屍網絡家族能在其中一個被安全防禦工作所清除時提供容錯功能和恢複功能
，”Cox在其分析Kneber僵屍網絡的文章中稱。

在這一案例中，構成Kneber僵屍網絡中的一多半電腦同時被ZeuS(竊取用戶數據)和Waledac(使用P2P機製傳播的垃圾郵件惡意軟件)所感染。Cox雖然尚不能肯定這兩種僵屍網絡是如何協同工作的，但是有一個有趣的可能性是存在的：如果ZeuS的指揮與控製架構在某個點上被清除，那麼ZeuS僵屍網絡的所有者便可聯絡Waledac僵屍網絡的人
，支付一定費用讓其推送一個ZeuS的升級包，從而讓ZeuS僵屍重新聯機，並向一台新的控製服務器報告。

此外
，一個獨立的組織也可以同時運行ZeuS和Waledac僵屍網絡，這樣便可自己推送升級包。“從災難恢複的角度看，這麼做也是合理的，”Cox說。

Kneber服務器的日誌包含了很多個人登錄各類網站如Facebook和Yahoo等的密碼。它的設計目的還在於竊取個人的在線金融賬號
，例如花旗銀行、富國銀行

、支付寶、城市銀行和彙豐銀行等網站的登錄密碼，Cox的Kneber報告稱。

1月26日
，Cox在NetWitness的一家客戶的網站上發現了Kneber。他發現了一台被ZeuS所感染的電腦，當時這台電腦正在下載其他可執行的惡意軟件。然後他跟蹤這一流量到了德國的一台ZeuS智慧與控製服務器，在這裏
，他捕獲了該服務器將近一個月的日誌數據。

這個僵屍網絡因hilarykneber@yahoo.com郵箱而得名，該郵箱的注冊人就是在這個原始域名上將僵屍網絡的各個組成部分彙集起來的。該注冊人還一直在尋找包括PDF和Flash漏洞以及木馬安裝在內的其他惡意軟件的協助。

同一個注冊人還登錄了多個尋找資金騾子(非法利用其銀行賬號轉運金錢的人)的Web網站。

Kneber僵屍網絡從2009年3月25日以來就一直在活躍，據NetWitness稱，大部分最活躍的站點在中國
，約有17%的站點在美國。

Cox還通過鏈接發現了Kneber針對美國一些政府機構發動過釣魚攻擊，例如從美國國家安全局發出的一些郵件會要求接收人點擊可下載惡意軟件的鏈接。

Cox認為Kneber僵jiang屍shi網wang絡luo最zui大da的de收shou獲huo就jiu是shi社she交jiao網wang站zhan的de用yong戶hu名ming和he密mi碼ma。這zhe些xie數shu據ju可ke用yong來lai進jin入ru社she交jiao網wang站zhan
，給gei受shou感gan染ran的de網wang站zhan粘zhan貼tie惡e意yi鏈lian接jie。社she交jiao網wang站zhan上shang的de好hao友you們men更geng願yuan意yi相xiang信xin這zhe些xie鏈lian接jie，因yin為wei他ta們men認ren為wei這zhe些xie鏈lian接jie是shi他ta們men所suo信xin任ren的de人ren粘zhan貼tie的de。

社(she)交(jiao)網(wang)站(zhan)的(de)賬(zhang)號(hao)還(hai)可(ke)用(yong)於(yu)進(jin)一(yi)步(bu)開(kai)采(cai)可(ke)滲(shen)入(ru)用(yong)戶(hu)在(zai)線(xian)金(jin)融(rong)賬(zhang)號(hao)的(de)個(ge)人(ren)數(shu)據(ju)。比(bi)如(ru)說(shuo)，如(ru)果(guo)某(mou)人(ren)社(she)交(jiao)網(wang)站(zhan)的(de)賬(zhang)號(hao)用(yong)的(de)是(shi)其(qi)母(mu)親(qin)未(wei)出(chu)嫁(jia)之(zhi)前(qian)的(de)名(ming)字(zi)，那(na)麼(me)這(zhe)個(ge)賬(zhang)號(hao)也(ye)有(you)可(ke)能(neng)會(hui)被(bei)用(yong)來(lai)重(zhong)置(zhi)銀(yin)行(xing)賬(zhang)號(hao)的(de)密(mi)碼(ma)

，從(cong)而(er)可(ke)能(neng)被(bei)攻(gong)擊(ji)者(zhe)利(li)用(yong)來(lai)竊(qie)取(qu)和(he)轉(zhuan)移(yi)金(jin)錢(qian)。(波波編譯)