Share via


Waledac 在哪里 – 第二篇 [转译]

<<本文章转译自 Microsoft Malware Protection Center 博客文章 "Where is Waledac - Episode II">>

Spambot

Win32/Waledac 最广为人知的应该是发送垃圾邮件的功能,此外他还会下载执行任意文件。除了用这个下载机制更新其自身,Waledac 还下载其他恶意程序。MMPC 观察到了对Trojan:Win32/FakeSpyproTrojanDownloader:Win32/Rugzip 变种的下载。

它下载执行的文件并不限于恶意软件。Waledac 也会试图下载安装免费的抓包库 "WinPcap"。它利用这个库的功能来嗅探网络流量,查找 SMTP、POP、HTTP 和 FTP 协议中所传输的验证信息。

除了我们在之前的 Blog 中所提到的 Waledac被 Win32/Bredolab 变种下载,我们还发现 Waledac 会被正在传播的 Win32/Cutwail 下载。有趣的是,MMPC 最近发现 Win32/Cutwail 的变种下载了和 Win32/Waledac 相同的流氓软件 Win32/FakeSpypro(以下是 FakeSpypro 的界面)。

clip_image001

遥测数据

现在我们来看一下 Waledac 在四月份被加入 MSRT 之后的遥测数据。Waledac 是本月流行度排名第 24 位的威胁。全球有超过 20,000 台独立机器被检测到感染 Waledac。Waledac 幕后的罪犯似乎很喜欢在 XP 上部署它。需要注意的是,这数据并没有作归一化处理。目前为止,MSRT 在 Vista 上的装机量只有 XP 的 37%

clip_image002

按照装机量,我们得到了如下的感染率表,或者表示为 Microsoft Security Intelligence Report 中广泛使用的 “每千次运行MSRT的清除量”(CCM)。这张表格显示了以 CCM 排序,Waledac 感染量最大的 25 个国家。其中,土耳其感染率最高,其次是匈牙利、瑞士和澳大利亚。

CCM 排序 感染率最高的 25 个国家

国家

感染数

MSRT 执行数

CCM

土耳其

773

2,789,140

0.277

匈牙利

184

1,204,140

0.153

瑞士

97

808,880

0.120

澳大利亚

257

2,266,060

0.113

俄罗斯

474

4,435,200

0.107

美国

10,788

102,158,300

0.106

挪威

145

1,600,720

0.091

加拿大

336

3,882,660

0.087

波兰

381

4,413,260

0.086

芬兰

113

1,465,140

0.077

比利时

93

1,311,660

0.071

荷兰

384

5,632,000

0.068

瑞典

197

2,890,140

0.068

捷克

132

1,995,920

0.066

葡萄牙

105

1,674,600

0.063

墨西哥

136

2,226,740

0.061

英国

621

10,570,440

0.059

丹麦

113

1,984,000

0.057

法国

752

14,528,900

0.052

西班牙

443

10,767,540

0.041

巴西

294

7,481,920

0.039

韩国

294

8,333,660

0.035

意大利

208

7,530,060

0.028

日本

563

21,683,600

0.026

德国

291

16,958,320

0.017

垃圾邮件数据

MMPC 和 Forefront Online Service for Exchange (FOSE)对有关 Waledac 的垃圾邮件开展了一些研究。在这项研究中,我们包括了 Waledac 所拥有域名的下述子集,并且监视了从4月15日到4月23日之间的垃圾邮件。

  • chinamoilesms.com
  • coralarmor.com
  • freeservesms.com
  • miosmsclu.com
  • smsclunet.com
  • smspianeta.com

从这些域名中,我们检测出相关的 IP,并且统计从这些 IP 发出的邮件。在研究过程中,我们观察到了总共 7,199 个受 Waledac 控制发送垃圾邮件的独立 IP。在 7 天时间里,我们观察到了4,091,725 封垃圾邮件从这些 IP 发出。发送失败报告(NDR)没有被算作垃圾邮件。需要注意的是,这还不是 Waledac 邮件战役的高潮。

日期

垃圾邮件数

NDR

独立 IP

4/15/2009

520,423

272,050

2,430

4/16/2009

606,171

329,552

3,673

4/17/2009

588,710

322,779

2,802

4/18/2009

516,215

281,225

2,697

4/19/2009

514,375

242,666

2,222

4/20/2009

660,828

285,473

2,450

4/21/2009

685,003

293,193

1,760

总计

4,091,725

2,026,938

18,034*

* 18,034 是累计总和。独立数是 7,199

这些垃圾邮件发送者的位置并不一定与 MMPC 的 Waledac 检测图中的地理位置分布相匹配。Waledac 的控制器可以决定抑制或加载哪些僵尸。此外,他们还可以轮流使用这些 IP,而不必同时激活他们。

国家

IP

总垃圾邮件数

平均每 IP 的邮件数

美国

7,582

3,143,793

1,424.2

中国

1,492

3,475

7.2

韩国

900

3,276

5.0

英国

827

158,026

589.7

日本

672

97,309

293.2

德国

462

74,556

        477.5

巴西

445

6,978

54.4

加拿大

365

77,042

        734.3

澳大利亚

342

15,754

225.4

法国

340

226,215

1,355.3

俄罗斯

309

1,815

          16.0

荷兰

286

11,066

243.2

意大利

258

17,601

137.2

台湾

233

-  

-  

未知

227

8,700

54.1

阿根廷

213

7,382

66.7

西班牙

175

19,081

134.7

捷克

170

1,656

164.4

波兰

165

1,517

36.7

土耳其

158

1,293

8.4

印度

155

5,179

72.2

罗马尼亚

123

1,092

15.5

新加坡

112

7,724

300.4

奥地利

101

2,061

237.2

其他

1,922

199,134

248.7

总计

18,034

4,091,725

737.1

我们会继续监视 Waledac 威胁和垃圾邮件的动态。

  • Scott Wu - MMPC
  • Terry Zink - FOSE
  • Scott Molenkamp - MMPC

<<相关文章: Where's Waledac? >>