研究人员发现一种名为Trojan.Ferret的僵尸程序。该程序用Delphi编写，bot通过HTTP与CC通信 。

该僵尸程序最大的特点是具有强大的生存能力。Bot程序支持UPX打包，字符串混淆，虚拟机识别，反调试，自修改代码等(UPX packing, string obfuscation, anti-virtual machine and anti-debugging measures, self-modifying code and process hollowing)。

Trojan.Ferret采用两种方法混淆，结合base64和异或(XOR)加密，来掩盖攻击者的攻击手段。不同加密密钥被用于恶意代码库的不同部分。两种混淆手段，一种用来加密恶意代码串，另一种用来隐藏与CC控制台的通信。

Trojan.Ferret程序的不足在于其对DDoS的支持并不全面，工具不支持诸如Slowloris, Apache Killer等应用层攻击。显然，Trojan.Ferret并不适合发起混合型DDoS攻击。

无独有偶，在本周，波兰CERT发现了另一个可感染Linux和Windows主机的僵尸程序。该僵尸主要发起DNS放大攻击。考虑到DNS放大攻击对目标系统资源的要求，该僵尸的感染目标就是有丰富带宽的服务器7。

显然，Linux主机是主要对象。攻击者入侵方式相当暴力，是对Linux主机发起SSH字典攻击。破解后登录，下载bot程序。CC和bot之间采用加密通信。

在windows下，僵尸的工作方式有所不同。Bot感染目标系统后，程序首先伪装为一个名为DBProtectSupport的Windows服务，通过高位TCP端口和CC通信。当Bot感染Windows系统后，其最大的问题在于，bot需要首先向8.8.8.8发送一个DNS查询请求获得CC地址，然后获得带有攻击目标详细信息的txt文件。截获这个txt文件，就可以知道cc的信息。

看来任何强大的东东都有其不足的方面。

(责任编辑：安博涛)