Waledac 在哪里 – 第二篇 [转译]
<<本文章转译自 Microsoft Malware Protection Center 博客文章 "Where is Waledac - Episode II">>
Spambot
Win32/Waledac 最广为人知的应该是发送垃圾邮件的功能,此外他还会下载执行任意文件。除了用这个下载机制更新其自身,Waledac 还下载其他恶意程序。MMPC 观察到了对Trojan:Win32/FakeSpypro 和 TrojanDownloader:Win32/Rugzip 变种的下载。
它下载执行的文件并不限于恶意软件。Waledac 也会试图下载安装免费的抓包库 "WinPcap"。它利用这个库的功能来嗅探网络流量,查找 SMTP、POP、HTTP 和 FTP 协议中所传输的验证信息。
除了我们在之前的 Blog 中所提到的 Waledac被 Win32/Bredolab 变种下载,我们还发现 Waledac 会被正在传播的 Win32/Cutwail 下载。有趣的是,MMPC 最近发现 Win32/Cutwail 的变种下载了和 Win32/Waledac 相同的流氓软件 Win32/FakeSpypro(以下是 FakeSpypro 的界面)。
遥测数据
现在我们来看一下 Waledac 在四月份被加入 MSRT 之后的遥测数据。Waledac 是本月流行度排名第 24 位的威胁。全球有超过 20,000 台独立机器被检测到感染 Waledac。Waledac 幕后的罪犯似乎很喜欢在 XP 上部署它。需要注意的是,这数据并没有作归一化处理。目前为止,MSRT 在 Vista 上的装机量只有 XP 的 37%
按照装机量,我们得到了如下的感染率表,或者表示为 Microsoft Security Intelligence Report 中广泛使用的 “每千次运行MSRT的清除量”(CCM)。这张表格显示了以 CCM 排序,Waledac 感染量最大的 25 个国家。其中,土耳其感染率最高,其次是匈牙利、瑞士和澳大利亚。
以 CCM 排序 感染率最高的 25 个国家 |
|||
国家 |
感染数 |
MSRT 执行数 |
CCM |
土耳其 |
773 |
2,789,140 |
0.277 |
匈牙利 |
184 |
1,204,140 |
0.153 |
瑞士 |
97 |
808,880 |
0.120 |
澳大利亚 |
257 |
2,266,060 |
0.113 |
俄罗斯 |
474 |
4,435,200 |
0.107 |
美国 |
10,788 |
102,158,300 |
0.106 |
挪威 |
145 |
1,600,720 |
0.091 |
加拿大 |
336 |
3,882,660 |
0.087 |
波兰 |
381 |
4,413,260 |
0.086 |
芬兰 |
113 |
1,465,140 |
0.077 |
比利时 |
93 |
1,311,660 |
0.071 |
荷兰 |
384 |
5,632,000 |
0.068 |
瑞典 |
197 |
2,890,140 |
0.068 |
捷克 |
132 |
1,995,920 |
0.066 |
葡萄牙 |
105 |
1,674,600 |
0.063 |
墨西哥 |
136 |
2,226,740 |
0.061 |
英国 |
621 |
10,570,440 |
0.059 |
丹麦 |
113 |
1,984,000 |
0.057 |
法国 |
752 |
14,528,900 |
0.052 |
西班牙 |
443 |
10,767,540 |
0.041 |
巴西 |
294 |
7,481,920 |
0.039 |
韩国 |
294 |
8,333,660 |
0.035 |
意大利 |
208 |
7,530,060 |
0.028 |
日本 |
563 |
21,683,600 |
0.026 |
德国 |
291 |
16,958,320 |
0.017 |
垃圾邮件数据
MMPC 和 Forefront Online Service for Exchange (FOSE)对有关 Waledac 的垃圾邮件开展了一些研究。在这项研究中,我们包括了 Waledac 所拥有域名的下述子集,并且监视了从4月15日到4月23日之间的垃圾邮件。
- chinamoilesms.com
- coralarmor.com
- freeservesms.com
- miosmsclu.com
- smsclunet.com
- smspianeta.com
从这些域名中,我们检测出相关的 IP,并且统计从这些 IP 发出的邮件。在研究过程中,我们观察到了总共 7,199 个受 Waledac 控制发送垃圾邮件的独立 IP。在 7 天时间里,我们观察到了4,091,725 封垃圾邮件从这些 IP 发出。发送失败报告(NDR)没有被算作垃圾邮件。需要注意的是,这还不是 Waledac 邮件战役的高潮。
日期 |
垃圾邮件数 |
NDR 数 |
独立 IP |
4/15/2009 |
520,423 |
272,050 |
2,430 |
4/16/2009 |
606,171 |
329,552 |
3,673 |
4/17/2009 |
588,710 |
322,779 |
2,802 |
4/18/2009 |
516,215 |
281,225 |
2,697 |
4/19/2009 |
514,375 |
242,666 |
2,222 |
4/20/2009 |
660,828 |
285,473 |
2,450 |
4/21/2009 |
685,003 |
293,193 |
1,760 |
总计 |
4,091,725 |
2,026,938 |
18,034* |
* 18,034 是累计总和。独立数是 7,199
这些垃圾邮件发送者的位置并不一定与 MMPC 的 Waledac 检测图中的地理位置分布相匹配。Waledac 的控制器可以决定抑制或加载哪些僵尸。此外,他们还可以轮流使用这些 IP,而不必同时激活他们。
国家 |
IP 数 |
总垃圾邮件数 |
平均每 IP 的邮件数 |
美国 |
7,582 |
3,143,793 |
1,424.2 |
中国 |
1,492 |
3,475 |
7.2 |
韩国 |
900 |
3,276 |
5.0 |
英国 |
827 |
158,026 |
589.7 |
日本 |
672 |
97,309 |
293.2 |
德国 |
462 |
74,556 |
477.5 |
巴西 |
445 |
6,978 |
54.4 |
加拿大 |
365 |
77,042 |
734.3 |
澳大利亚 |
342 |
15,754 |
225.4 |
法国 |
340 |
226,215 |
1,355.3 |
俄罗斯 |
309 |
1,815 |
16.0 |
荷兰 |
286 |
11,066 |
243.2 |
意大利 |
258 |
17,601 |
137.2 |
台湾 |
233 |
- |
- |
未知 |
227 |
8,700 |
54.1 |
阿根廷 |
213 |
7,382 |
66.7 |
西班牙 |
175 |
19,081 |
134.7 |
捷克 |
170 |
1,656 |
164.4 |
波兰 |
165 |
1,517 |
36.7 |
土耳其 |
158 |
1,293 |
8.4 |
印度 |
155 |
5,179 |
72.2 |
罗马尼亚 |
123 |
1,092 |
15.5 |
新加坡 |
112 |
7,724 |
300.4 |
奥地利 |
101 |
2,061 |
237.2 |
其他 |
1,922 |
199,134 |
248.7 |
总计 |
18,034 |
4,091,725 |
737.1 |
我们会继续监视 Waledac 威胁和垃圾邮件的动态。
- Scott Wu - MMPC
- Terry Zink - FOSE
- Scott Molenkamp - MMPC
<<相关文章: Where's Waledac? >>