有一种名为“黑色能量”的僵尸程序最为流行，经常被黑客用来发送针对服务器的大规模DDoS攻击。截止到目前，已经检测到超过4,000种“黑色能量”僵尸程序的变种。2008年中期，恶意软件编写者对此恶意程序的原始版本进行了重要升级，编写出了危害性更强的“黑色能量2代”僵尸程序。

　　“黑色能量2代”僵尸程序之所以颇受黑客的青睐，是由于此恶意程序不仅功能强大，试用性广，而且非常易于部署和管理。“黑色能量2代”僵尸程序支持可升级的插件（附加模块），使得黑客更容易修改和扩展其功能。黑客可以通过远程控制中心发布命令，实现插件的快速安装和升级。

　　此僵尸程序几个显著的特点：首先，它能够隐藏其恶意代码，避免被反病毒软件检测到。其次，它能够感染系统进程。最后，此恶意程序能够接收僵尸网络命令控制中心（C&C）的指令，在受感染计算机上灵活地进行一系列恶意行为。上述的每种功能都通过此恶意程序的不同模块实现。如下图所示：

　　“黑色能量2代”工作原理图

　　目前，针对该僵尸程序最为常见的插件的功能是进行DDoS攻击（即分布式攻击，其攻击行为会造成受攻击系统瘫痪）。在接受到命令控制中心发送的指令后，大量被“黑色能量2代”感染的僵尸计算机会同时向攻击节点发送错误的数据包，或者仅仅是大量的数据包。从而使得被攻击节点超载，无法处理其他正常的数据请求。“黑色能量2代”僵尸程序还支持采用多种协议发送数据包。

　　此外，“黑色能量2代”僵尸程序的插件并不是可执行文件（.exe）。所有插件都是直接被加载到受感染计算机上。这表明，这类恶意插件并不会利用传统的大规模传播手段和技术进行传播，使得反病毒软件厂商在一定时期内可能无法接触到和查杀此类插件。而且，插件所具有的功能正是网络罪犯所需要的。也正是通过插件，此僵尸程序实现了各种恶意功能，感染了更多的计算机。”

　　不仅如此，“黑色能量2代”僵尸程序的功能并不仅仅局限于发动DDoS攻击。目前，恶意软件编写者已经开发出能够窃取银行认证信息以及通过点对点网络传播恶意程序的插件。现在还很难预测这些僵尸网络的运营者未来将如何利用这些僵尸网络。但是，对于恶意软件编写者来说，编写一个插件，然后将其下载到受感染计算机中并不困难。所以，如果他们想要利用这些僵尸网络从事恶意行为，非常容易实现。

　　注释：部分资料数据来源于卡巴斯基实验室

微信公众号

TechTarget

官方微博

TechTarget中国