之前有些討論SpyEye的博客，報道和技術白皮書均已發(fā)表，但尚未真正談到其界面和犯罪份子如何利用SpyEye。

實際的界面共分為2個元件。第一個元件是叫做CN 1的前端界面，或稱主要存取控制。這是僵尸網(wǎng)絡/傀儡網(wǎng)絡 Botnet操控者可用來與其操控的傀儡僵尸互動的界面。這個界面顯示出與受感染系統(tǒng)相關的統(tǒng)計數(shù)據(jù)。

第二個界面比較像是后臺，名叫SYN 1，或是Formgrabber表單存取控制。這個界面實際是在搜集及l(fā)og編錄數(shù)據(jù)資料。此界面還可讓傀儡僵尸操控者就所搜集到的數(shù)據(jù)資料進行查詢，及利用界面檢視偷盜得的資料。本篇文章是重點關注CN 1這個元件，以及這個元件如何使用。

圖1、SpyEye主要界面

上圖的屏幕畫面中，你可看到每個人現(xiàn)在都認得出的主要界面。頁面有“黑入全世界！”的標識，顯示出目前有多少僵尸網(wǎng)絡/傀儡網(wǎng)絡 Botnet在線，以及僵尸網(wǎng)絡/傀儡網(wǎng)絡 Botnet網(wǎng)絡中目前共有多少傀儡僵尸。在這個畫面中你可看到有2千3百92個傀儡僵尸在線，總數(shù)略超過1萬8千。從本例可看出傀儡僵尸網(wǎng)絡的規(guī)模相當大。除此之外，也可在畫面左手邊看到服務器的日期。

圖2、SpyEye控制臺

左上方的第一個功能鍵標識為“Create Task for Billing制作收款工作”。這個功能鍵，再加上billinghammer外掛程序（位在Plug-ins功能鍵內(nèi)），讓僵尸網(wǎng)絡/傀儡網(wǎng)絡 Botnet操控者對從特定網(wǎng)站收取來的信用卡進行請款。如此一來，操控者可直接從偷盜來的資料取得金錢利益。Brian Kreb在他的博客中有著更多billinghammer外掛程序細節(jié)的報道，有興趣者可關注其本人推特。

圖3、傀儡僵尸列表屏幕畫面

接下來是Bots Monitoring僵尸網(wǎng)絡/傀儡網(wǎng)絡 Botnet監(jiān)控鍵。在這個鍵之下會看到每個國家有多少受感染的傀儡僵尸列表，以及有多少傀儡僵尸在使用哪個版本的SpyEye，和每天增加多少數(shù)量的傀儡僵尸。上圖的屏幕畫面中沒有列出國家的原因，是因為在更新IP的地理信息時產(chǎn)生錯誤的結果。多數(shù)的傀儡僵尸使用的10244版的SpyEye，此刻最近版已被更新至10265版。幕后的操控者平均每日可感染約1千5百名使用者，并將被感染者加入僵尸網(wǎng)絡/傀儡網(wǎng)絡 Botnet網(wǎng)絡中。

圖4、統(tǒng)計數(shù)據(jù)屏幕畫面

上圖的屏幕畫面出現(xiàn)在按壓Full Statistic完整統(tǒng)計數(shù)據(jù)功能鍵后。如所示，多數(shù)受感染的機器使用Windows XP操作系統(tǒng)。不過要特別注意的是，Windows 7也被包括在此圖表中。圖表同時也顯示總數(shù)中大約百分之80的受感染使用者，是以管理者優(yōu)先權登錄進來的 。 

圖5、下載網(wǎng)站屏幕畫面#p#

控制臺上的下一個功能鍵是Create Task for Loader搭載器工作制作鍵。這個功能鍵用來指示傀儡僵尸到特定的網(wǎng)站（產(chǎn)生點擊以增加廣告利潤），或下載更多惡意軟件。

圖6、更新傀儡僵尸操控臺之屏幕畫面

Update Bot傀儡僵尸的更新鍵執(zhí)行的任務一如其名。此鍵是由網(wǎng)絡犯罪份子用來上傳設定文件及更新SpyEye二位元文件，供旗下的傀儡僵尸下載使用。當操控者需要改變傀儡僵尸們的連結或更新版本時，就會使用到此鍵。

圖7、檢測功能屏幕畫面

Virtest檢測功能鍵非常特出，我覺得這個功能很有意思。Virtest是一個位在東歐的網(wǎng)站，登錄進入的使用者可掃瞄二位元文件和入侵套組，以測試是否受到防毒軟件的防毒引擎的偵測。這是個付費服務，使用者通常需要對每次的掃瞄付費。

SpyEye將這個網(wǎng)站的使用者加入其工具組中。當使用者利用Update 僵尸網(wǎng)絡/傀儡網(wǎng)絡 Botnet更新鍵上傳更新過的兩位元文件時，文件夾的連接就會于此展示?？芙┦倏卣咧恍椟c擊Submit送出，更新過的文件案就會傳送到Virtest，讓操控者知道該文件案是否經(jīng)常受到偵測。

圖8、設定控制臺屏幕畫面

這是Setting設定功能鍵的屏幕畫面。從這里可看到多數(shù)在CN 1控制臺中運作功能的設定。注意這個鍵旁的Virtest檢測功能鍵是用來登入Virtest的區(qū)塊。此處也有FTB和Socks 5的backconnect后臺連結。這些可讓傀儡僵尸操控者制作出與傀儡僵尸們的反向連結，以進行更多不同的工作。

不同的傀儡僵尸愈發(fā)精良，SpyEye當然不例外。我們很快會發(fā)步本系列的下篇，講述SYN 1如何運作，并以屏幕畫面展示除了信用卡和銀行交易憑證外，還有哪些資料會被偷盜。

【編輯推薦】

1. 黑客談國內(nèi)僵尸網(wǎng)絡的現(xiàn)狀與發(fā)展
2. 微軟驚爆特大漏洞黑客借漏洞狂造僵尸網(wǎng)絡