種子是個神奇的東西。

• 小時候我得知，發(fā)芽的種子能掀翻最堅(jiān)硬的巖石；

• 長大后我發(fā)現(xiàn)，種子能讓我贏來眾多網(wǎng)友的祝福，哪怕素未謀面。

【圖片來自網(wǎng)絡(luò)】

種子是如此受歡迎，以至于黑客用它來傳播木馬病毒，短期內(nèi)就感染了超過 20,000 臺電腦，而且這一數(shù)量仍在持續(xù)增長……

最近，ESET 安全實(shí)驗(yàn)室發(fā)現(xiàn)了一個由 20,000 多個機(jī)器組成的僵尸網(wǎng)絡(luò)，它們主要針對 WordPress 博客網(wǎng)站發(fā)起攻擊。有意思的是，感染用戶機(jī)器的木馬比較奇特，主要是通過電影的種子的方式來傳播，至于是什么電影，安全研究員沒說。

根據(jù)ESET研究人員的解釋，自去年六月份以來，一種叫做"Sathurbot ”的木馬開始蔓延開來，它的傳播方式主要是引誘用戶下載盜版內(nèi)容的的種子文件（Torrent）。其中很大一部分帶木馬的文件都來自于WordPress 網(wǎng)站頁面 。

據(jù)雷鋒網(wǎng)了解，木馬的傳播方法是這樣的：

不明真相的群眾打開了一個看似“正?！钡姆N子（Torrent）文件，里頭放著一部名字看起來“正?！钡挠捌?、一個“播放器的解碼器”，以及一個類似“看片須知”的文本。

文本會告訴用戶，想要看這部片，需要先安裝解碼器。

一般講到這里，你應(yīng)該就明白了，這個解碼器程序就是惡意木馬，打開后它會彈出一個文件錯誤的框，讓你以為文件失效，然后在后臺默默加載一個叫“sathurbot DLL”的文件，開始連接遠(yuǎn)程服務(wù)器，等待攻擊者發(fā)布指令。

感染之后，Sathurbot 會自動更新和下載木馬“全家桶”，讓受害者的機(jī)器淪為肉雞，大量肉雞組成一個巨大的僵尸網(wǎng)絡(luò)，在攻擊者的指揮下對其他網(wǎng)站發(fā)動攻擊。Sathurbot 會用網(wǎng)絡(luò)爬蟲技術(shù)自動搜尋基于 Wordpress 網(wǎng)站，然后用嘗試不同的賬號密碼來登錄這些網(wǎng)站，也就是所謂的“撞庫”。

ESET 的研究人員表示，用這種方式來進(jìn)行撞庫有一個好處：

Sathurbot 僵尸網(wǎng)絡(luò)中的每個肉雞在嘗試登錄時，每次只在一個網(wǎng)站嘗試一次或幾次。這樣就可以避免因?yàn)轭l繁登錄而被拉入黑名單。

一個攻擊者控制2萬臺機(jī)器，每臺機(jī)器嘗試一個賬號密碼，每次都能撞2萬次，威力巨大。

當(dāng)他們成功破解另一個網(wǎng)站的管理員賬號密碼時，會再次在網(wǎng)上掛上一個充滿誘惑的種子，吸引更多的人來點(diǎn)擊、下載、淪為肉雞、攻擊，無限循環(huán)。正如愚公移山那樣——“子子孫孫無窮匱也， 而山不加增， 何苦而不平？”

就是一個這么簡單的套路，已經(jīng)俘虜了兩萬多臺機(jī)器，而且數(shù)量仍在增加。

在雷鋒網(wǎng)編輯看來，其實(shí)只要不打開種子里面的可執(zhí)行文件就能完全避免感染，然而竟有幾萬人依然不顧一切去打開它，究竟是怎樣的沖動驅(qū)使著這些受害者？雷鋒網(wǎng)編輯不是太懂。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。