上周，我收到了一个安全研究人员发给我的僵尸网络分析样本，该研究人员认为这是一个点对点的对等网络，但是在我对其进行了几天的分析之后，我可以确定这个网络不仅只是一个P2P网络，而且它还是一个当前非常活跃的对等网络系统。给我提供分析样本的人是我的一个好朋友，他也是一名安全研究人员，即R136a1(他不仅发现了这个僵尸网络，而且他曾经还发现了ZeroAccess3，并找出了这个僵尸网络背后的控制者)。

在我上网搜索了一些相关信息之后，我发现了一篇发表于2015年5月份的文章，这篇文章介绍了一些有关Necurs的知识，也许大家能够从这篇文章中找到一些你们需要的信息。但是，这篇文章并没有提到Necurs中UDP数据包的主要用途。除此之外，我还在bluecoat上找到了一篇时间更加久远的文章，这篇文章发表于2013年9月，文中对Necures僵尸网络的变种进行了非常详细的讨论，感兴趣的读者也可以阅读一下。

虽然我不敢百分之百地肯定，但我认为我们将要讨论的这个僵尸网络应该是原始Necurs的一个变种。

　　安装过程

我在安装的过程中，发生了…

 

　　好吧…大家别介意啊!

在我对系统进行了一次快速检测之后，我发现计算机的蓝屏死机是由嵌入在恶意软件中的反虚拟化代码所引起的，而且这种情况非常的罕见，也非常的奇怪。当我们对虚拟环境进行检测的时候，恶意软件将会向系统中所有的进程注入一个简单的程序，这个程序能够创建一个异常处理程序，并执行VMCPUID指令。

 

VMCPUID指令可以将虚拟机的CPUID返回给我们，但有趣的是，VMCPUID指令只能在某些虚拟机中正常使用。如果虚拟机系统不支持使用这个命令的话，它将会生成一个无效的指令，并引起系统异常。这时，我们就需要一个异常处理程序来捕获并处理这种异常。当恶意软件将函数注入到每一个进程中之后，系统将无法创建正常的异常处理程序，因为系统的异常信息会被存储在.rdata会话进程中，它也没有复制功能。所以结果就是，如果恶意软件检测到了当前的系统为虚拟机系统，而且该系统不支持使用VMCPUID命令的话，那么系统中的所有进程都会崩溃，进而导致系统的蓝屏死机。所以我猜测，恶意软件的开发人员的意图是想要尝试去实现对虚拟机系统进行某种注入检测，但是却使得虚拟机不断地死机，所以他们干脆直接将这项不成熟的技术当作一种凡虚拟化的技术来使用了(尽管这项技术不应该引起支持使用VMCPUID命令的虚拟机系统崩溃)。

当恶意软件成功利用漏洞CVE-2010-4398并为bot进程提权之后，bot的副本将会把可执行程序和相应驱动程序分别复制到C:\Installers\{BotGUID}\syshost.exe和C:\Drivers\{RandomName}.sys内。恶意软件会将这一可执行程序设置为一个自启动的服务，并且将驱动程序设置为启动设备(如果需要的话，bot还会启用TESTSIGNING模式来加载未进行签名的驱动程序)。在完成了相应的配置之后，系统将会重新启动。

在系统重启完成之后，bot将会尝试使用netsh.exe来将其进程列入系统防火墙的白名单中(在Windows XP系统中，恶意软件将会直接禁用系统的防火墙功能)。

(责任编辑：安博涛)