与其他套件连结

　　这个 Phoenix 漏洞攻击套件的访问者几乎都是来自于英国。显然，该 Bot 网络的幕后经营者可能是向其他网络犯罪者购买了来自英国的流量，或者是入侵了某个英国的热门网站。

　　同一部服务器上也还有其他 Phoenix 漏洞攻击套件复本。在所有案例中 （不限于前述讨论的案例），该套件所植入的程序都会连线至同一服务器上的好几个 DLoader 复本。例如，该套件的其他复本共获得了 5,871 位访问者。这些访问者主要来自德国和俄罗斯。其中有 360 位 （6.13%） 是因为 Java 漏洞攻击而被入侵成功 （再次成为榜首）。

　　

　　这些植入的恶意程序会强迫使用者电脑连上同一服务器上的多份 DLoader 复本。这些 Phoenix 漏洞攻击套件的复本，就是趋势科技所侦测到的 TROJ_INJECT.XSI、TROJ_DLOADER.TEP、TROJ_BAMITAL.AJ 和 TROJ_OBFUS.CJ。

　　在下面我们将进一步说明 DLoader 工具组，以及该工具组如何提供一种随安装次数付费 （Pay-Per-Install） 的 Bot 网络经营模式。

　　DLoader 和 Bot 网络经营模式

　　恶意程序散播通常是一种合作关系或联合的行动。Bot 网络赚钱的方式之一，就是所谓的随安装次数付费 （Pay-Per-Install，简称 PPI） 模式，也就是只要在一台受害电脑上安装一份恶意程序，就可以赚取一笔费用。

　　DLoader 是一种网页式系统管理工具，可让 Bot 网络经营者管理旗下的 Bot 电脑所要安装的恶意程序。每完成一次安装，Bot 网络的经营者就可以向合作夥伴收取一笔费用。

　DLoader 的价码在地下论坛大约是 250 美元。虽然它的功能主要是安装其他恶意程序，但它也可能伴随一些额外的模组一起贩售，例如：专门窃取 FTP 帐号密码的 FTP GRABBER 以及专门盗取热门线上扑克网站帐号密码的 POKER ACCOUNT GRABBER。这些要价大约是 200 美元。FTP 帐号窃取工具之所以重要，是因为它可让 Bot 网络经营者在合法网站当中植入恶意程序码，进而将浏览该网站的使用者导向漏洞攻击套件。如此，Bot 网络经营者就能拥有源源不绝的受害者来源。

　　

　　依国别而不同植入不同恶意程序

　　我们分析了前一篇文章所述的服务器上各个 DLoader 复本。其中的一个复本掌管了 7,957 台 Bot 电脑，主要分布在越南和印尼。另一个复本掌管了 10,726 台 Bot 电脑，主要分布在德国和俄罗斯。该服务器上的 DLoader 复本包含了各式各样的恶意程序，它们会视 Bot 电脑所在国家而提供不同的程序。
 

(责任编辑：)