【51CTO.com 綜合消息】作為信息安全行業的領跑者，卡巴斯基實驗室一直對各種新興的威脅保持高度地關注和警惕。其范疇不僅包括常見的病毒、木馬、蠕蟲、間諜軟件等，還包括各種黑客使用的用于發動網絡攻擊的惡意工具。其中，有一種名為“黑色能量”的僵尸程序最為流行，經常被黑客用來發送針對服務器的大規模DDoS攻擊。截止到目前，卡巴斯基實驗室已經檢測到超過4,000種“黑色能量”僵尸程序的變種。2008年中期，惡意軟件編寫者對此惡意程序的原始版本進行了重要升級，編寫出了危害性更強的“黑色能量2代”僵尸程序（卡巴斯基實驗室的產品提示為Backdoor.Win32.Blakken）。

經過對此惡意程序的不斷追蹤和研究，卡巴斯基實驗室發現“黑色能量2代”僵尸程序之所以頗受黑客的青睞，是由于此惡意程序不僅功能強大，試用性廣，而且非常易于部署和管理?！昂谏芰?代”僵尸程序支持可升級的插件（附加模塊），使得黑客更容易修改和擴展其功能。黑客可以通過遠程控制中心發布命令，實現插件的快速安裝和升級。

此僵尸程序幾個顯著的特點：首先，它能夠隱藏其惡意代碼，避免被反病毒軟件檢測到。其次，它能夠感染系統進程。最后，此惡意程序能夠接收僵尸網絡命令控制中心（C&C）的指令，在受感染計算機上靈活地進行一系列惡意行為。上述的每種功能都通過此惡意程序的不同模塊實現。如下圖所示：  

“黑色能量2代”工作原理圖

目前，針對該僵尸程序最為常見的插件的功能是進行DDoS攻擊（即分布式攻擊，其攻擊行為會造成受攻擊系統癱瘓）。在接受到命令控制中心發送的指令后，大量被“黑色能量2代”感染的僵尸計算機會同時向攻擊節點發送錯誤的數據包，或者僅僅是大量的數據包。從而使得被攻擊節點超載，無法處理其他正常的數據請求。“黑色能量2代”僵尸程序還支持采用多種協議發送數據包。

此外，“黑色能量2代”僵尸程序的插件并不是可執行文件（.exe）。所有插件都是直接被加載到受感染計算機上。這表明，這類惡意插件并不會利用傳統的大規模傳播手段和技術進行傳播，使得反病毒軟件廠商在一定時期內可能無法接觸到和查殺此類插件。而且，插件所具有的功能正是網絡罪犯所需要的。也正是通過插件，此僵尸程序實現了各種惡意功能，感染了更多的計算機?！?/p>

不僅如此，“黑色能量2代”僵尸程序的功能并不僅僅局限于發動DDoS攻擊。目前，惡意軟件編寫者已經開發出能夠竊取銀行認證信息以及通過點對點網絡傳播惡意程序的插件?，F在還很難預測這些僵尸網絡的運營者未來將如何利用這些僵尸網絡。但是，對于惡意軟件編寫者來說，編寫一個插件，然后將其下載到受感染計算機中并不困難。所以，如果他們想要利用這些僵尸網絡從事惡意行為，非常容易實現。

所以，當前對此惡意程序的插件的發展動向進行監測非常必要?？ò退够鶎嶒炇覍⒚芮嘘P注“黑色能量2代“僵尸程序的最新插件，追蹤該惡意程序的發展，并且及時將最新研究結果發布。