每周典型威胁分析

       近日，安天追影小组在分析样本的过程中发现了一款带有过期签名的DDoS恶意程序。其盗用的数字签名属于韩国NHN公司美国分公司，主要目的是为了躲避杀软检测。为了搜索网络犯罪证据，获取恶意代码和作者的来源，追影小组进行了基于安天实验室两款产品追影威胁分析系统（PTA）和探海威胁检测系统（PTD） 的恶意代码分析与追踪。发现样本存在多种恶意行为，属于远程控制木马,主要目的是控制用户计算机,窃取用户私密信息,损害计算机系统等。

       通过样本分析可以发现，此DLL样本的功能大部分都是跟DDOS相关的。而且其每次获取的攻击目标都是从指定的域名上动态获取到的。再结合种马，从规模上来说，就属于分布式的DDOS了。在用户感染此样本后，就会充当其中的一台DDOS肉鸡，还会面临一些敏感数据泄漏，恶意程序安装，Hosts被修改造成钓鱼劫持，网络性能低下等影响，具有极强的危害性。

       由PTD查询结果表明，该样本活跃时间约为2015年11月3日至2015年11月28日。目前，该DDOS样本仍处于极度活跃状态，根据定时（时间间隔为半小时）投递PTA分析报告显示，仅仅在一天内，就有数十家网站疑似遭到DDOS攻击，主要为国内的一些在线销售减肥药网站、在线赌博网站、电子交易平台等。由报告结果同时可知，该样本攻击行为的触发时间大部分为10点至22点，正好处于各网站访问量较多的时间段，在这个时间段遭受到DDOS攻击，会对网站运营造成巨大影响与损失。

       通过对黑客的追踪，追影小组发现攻击者使用fabao.309420.com:7002作为C&C服务器，分发DDOS攻击任务，并可实现简单的远程控制。域名所有者名为WU YUAN，注册邮箱为wu_yuan@163.com，常活动地区为广东广西。目的可能是敲诈或者同业竞争。