僅憑一部電腦就能夠讓電信癱瘓,讓交通堵塞、讓航空秩序崩潰、讓整個城市停電、讓銀行ATM機吐鈔，能夠影響整個城市甚至國家，神秘的黑客仿佛無所不能。然而，這似乎如同電影場景般的事件僅僅只是現實社會的一角縮影，真正的黑客攻擊遠比這要復雜，每一次成功入侵的背后都有著復雜的計算過程和長期的準備。一個頂尖的黑客除了擁有頂尖級的技術，還懂得人心騙術，也就是所謂的社會工程學。

近日，江民赤豹安全實驗室追蹤到，一款名為暗黑彗星（DarkComet）的木馬再次在全球范圍進行傳播，攻擊者通過魚叉郵件、下載網站傳播遠程控制木馬，在全球范圍內批量抓“肉雞”以竊取用戶隱私信息、機密文件，乃至下發勒索病毒，給用戶造成巨大的網絡安全威脅。此次被捕獲的其中一個樣本（MD5: 41c75b13dbe7a5c8d6a3a5761b116e9d）是被改造過后的DarkComet木馬控制端程序，幕后攻擊者通過將自己打造的木馬與DarkComet控制端捆綁發布，當其他的攻擊者使用該木馬進行“抓雞”行動時，該攻擊者的主機也已經被幕后的發布者所控制，自身成了“肉雞”大軍的一員,黑客之間也玩起了“黑吃黑”的操作。

 

Darkcomet木馬是一款使用Delphi語言編寫的木馬程序，最早被發現于2008年，又稱“暗黑彗星”。該木馬運行后攻擊者擁有該主機完整的控制權限，此時的用戶設備已處于不設防的高危狀態，攻擊者不僅可以竊取上傳受害者鍵盤輸入、錄音、攝像頭信息等隱私內容，還可根據服務端遠程指令執行下載、安裝軟件、啟動程序、運行腳本等控制操作。同時，攻擊者還可用被控制的電腦作跳板，對其它目標發起DDoS攻擊和下發勒索軟件。

 

江民全球惡意代碼樣本分析平臺數據顯示，近三個月來，全球有5244例DarkComet感染事件發生，波及范圍廣泛，該木馬幕后者可以完全控制，使用該木馬攻擊者和攻擊者所控制的其他“肉雞”，通過捕獲到的樣本文件中的Users遺留的數據可以看出來幕后攻擊者已經使用該木馬控制了部分主機，分布在阿拉伯國家、西班牙、越南、立陶宛、瑞典、日本、葡萄牙、芬蘭等國家。這種污染上游供應鏈的方式，同時也使得幕后人也實現了更高效的“抓雞”行為，其余使用該木馬的攻擊者都淪為了幕后人的“打工仔”，最終幕后人只需要坐收漁利就可以擁有全球大量的“肉雞”，因此也被稱為黑客版的“碟中諜”。

幕后者控制的部分主機名

幕后者使用的捆綁木馬也是DarkComet，C&C域名為fuckyoucunt.ddns.net，目前該域名已無效。這個古老的木馬深受攻擊者的青睞，盡管木馬作者于2012年已停止了對“暗黑彗星”木馬的更新，但由于其強大的木馬功能，至今仍有大量攻擊者使用該工具進行網絡攻擊。

控制端功能界面

DarkComet在感染后會釋放木馬到：%appdata%\Microsoft\Windows\Templates\下，并設置其為系統隱藏屬性；隨后啟動木馬進程，并將木馬注冊為開機啟動，使用PE映像切換技術將木馬隱藏于svchost進程中，作為持續后門，一般情況下用戶很難發現電腦感染了該木馬。

高危預警：

感染該木馬后，遠程攻擊者擁有該主機完整的控制權，主要包括：

1). 系統性能監控、系統信息獲取、系統所屬地區分析；

2). 文件管理、進程管理、注冊表管理、軟件安裝管理、遠程Shell；

3). 攝像頭監控、錄音監控、遠程桌面管理、監控鍵盤記錄；

4). 打開端口、網絡共享管理、打印機管理、Socks5代理、遠程下載執行；

手工清除方法

1). 打開任務管理器，找到名為side.exe的進程，找到進程所對應的應用程序，刪除該應用程序。找到名為svchost.exe但用戶名為當前用戶名的應用程序，結束該進程；

2). 刪除注冊表項：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\side；

3). 刪除注冊表項：HKCU\Software\DC3_FEXEC。

應對措施及建議

1). 不運行來源不明的應用程序，不要從不可信任站點下載應用。對于已經停止支持的軟件不從非官方渠道下載使用；

2). 安裝江民防病毒軟件，定期更新病毒庫使其能夠針對最新的變種病毒進行查殺。

江民安全專家表示，通過偽裝或者捆綁下載是當前互聯網比較常見的一種傳播惡意代碼的方式，對于非官方渠道提供的下載軟件應當謹慎使用，最好在使用之前校驗其哈希值，特別是對于已經停止維護的軟件更需要在使用前對其進行安全檢查，比較方便的方式是通過殺毒軟件驗證其安全性之后再使用，在一定程度上可以免受惡意代碼的侵害了。

詳細分析報告請訪問:http://m.myweblink.cn/download/DarkComet.pdf