韩国政府网络受“僵尸”围攻，防治Bot网络需多方合作

作者：趋势科技

前不久韩国政府与重要机关在内的四十多个 .kr域名的网站分别遭到分布式拒绝服务 (Distributed Denial of Service，简称 DDoS) 攻击。这项攻击仅局限于韩国，而且和 2009 年发生的 DDoS 攻击事件很像。

此次攻击为一个恶意软件所为，上述网站因而暂时关闭了一段时间。根据报导，黑客至少入侵了四个南韩当地的点对点 (P2P) 文件分享网络，并且在某些分享的文件内植入了恶意代码，让使用者在不知情的状况下安装了恶意文件。

TROJ_QDDOS.A 的 DDoS 攻击造成轻微影响

趋势科技已取得并分析了上述恶意软件的样本 (并且命名为 TROJ_QDDOS.A)。根据分析，感染 TROJ_QDDOS.A 的计算机会成为僵尸网络/傀儡网络 Botnet的成员。TROJ_QDDOS.A 会先获取感染计算机上的下列信息：

l 目前登入的使用者名称

l 计算机名称

l 恶意软件路径和文件名

l 父处理程序的路径和文件名

接着，TROJ_QDDOS.A 会联机至某些 IP 地址，并且将上述信息传送出去。而远程服务器则将某个 .DLL 档案下载至感染计算机。接着，这个 .DLL 档案再植入更多的 DLL 组件，这些组件将负责执行 DDoS 攻击、覆写硬盘的主启动扇区 (MBR)，并且在某些情况下删除一些档案。

DDoS 攻击：每当 TROJ_QDDOS.A 执行时，它还会在计算机上植入好几个 DAT 档案，其中一个档案是一份加密过的攻击目标网站列表。TROJ_QDDOS.A 在攻击某个网站时，会大量传送随机产生的数据至该网站的 UDP 端口 80。只要传送的数据量够多，目标网站就会因此瘫痪而无法使用。

所幸，韩国政府早已做好准备，足以应付这类攻击。整体上，这次事件所造成的损害非常轻微，因为韩国政府早已在 DDoS 和僵尸网络/傀儡网络 Botnet攻击预防方面已投注巨额成本。

仅管如此，TROJ_QDDOS.A 还是有二项值得注意的破坏行为。

Bot程序清除的重要性

TROJ_QDDOS.A 会覆写硬盘主启动扇区 (MBR)。这会让感染的计算机无法加载操作系统，变得完全不能使用。

TROJ_QDDOS.A 会删除档案。它所删除的档案包括：.doc、.docx、.eml、.ppt 等类型档案。但是在删除档案之前，它会先修改档案，让档案变得无法使用。

最后这两项行为会在系统时间比它在某个档案 (%System%/noise03.dat) 当中所指定的时间还早时启动，或是该档案不存在时也会启动。

上述的破坏行为正好提醒使用者定期备份文件的重要性，此外，信息安全软件也应随时保持更新。

此外，TROJ_QDDOS.A 还会修改系统的 HOSTS 档案，不让使用者连上防毒相关的网站。同时，它也会将系统快取内与它本身有关的 URL 记录清除，以防自己暴露行踪。

解决方案与行动

趋势科技目前已经能够封锁上述的恶意 IP 地址，并且能侦测所有相关的恶意档案。OfficeScan 只要搭配 7.877.00 版的病毒特征就能侦测并删除 TROJ_QDDOS.A 木马程序。此外，企业也可以透过 Total Discovery Appliance 搭配 NCCP 1.10487.00 与 NCIP 1.10527.00 的病毒特征来获得保护。

随着一般大众在工作和生活上越来越仰赖全球信息网络，趋势科技建议各国都应将网络安全视为国防安全的必要一环。大型企业、ISP 及政府机关应通力合作，共同防止 Bot 网络横行，并且预先侦查僵尸网络/傀儡网络 Botnet活动。