研究中发现，网络中存在着各式各样的僵尸计算机类型。以下我们将讨论几种比较流行和危害面较大的僵尸类型。我们将介绍几种恶意软件的基本概念，然后再详尽的描述它们的特征。此外，我们还将描述僵尸的源代码以及它们的命令设置清单。

　　1.Agobot/Phatbot/Forbot/XtremBot

　　这些很可能是最出名的僵尸类型。目前，杀毒软件厂商Sophos已经查明了Agobot病毒的500多种变体，目前这一数字正在稳步增加。这一僵尸病毒本身是在跨站平台上用C++语言编程的，并且它的源代码是在通用性公开许可证(General Public License,简称GPL)准则之下的。Agobot是由Ago编写的，他化名为Wonk，这名德国男子在2004年的时候因为计算机犯罪被警方拘捕。Agobot的最新变体是以C++语言编程，但是它的设计更为抽象。这一僵尸病毒以一种非常复杂的模结构出现，很容易就可以利用计算机的漏洞执行扫描或是运行命令：延伸到CCommandHandler 或CScanner层级然后增加这一特征。Agobot利用libpcap(一种信息包嗅探库)和PCRE(Perl兼容正则表达式库，是个开放源代码的软件,可提供正则表达式支持)来嗅探和分析流量。Agobot可以利用NTFS(NT File System, Windows NT以上版本支持的一种文件系统)交替数据流(ADS)，还可以提供像文件一样的Rootkit和进程来隐藏自己，这样受到威胁的计算机就难以发现了。除此之外，要反设计类似的恶意软件是很困难的，因为它包含有侦查调试器(譬如，SoftICE 和 OllyDbg，)和虚拟技术计算机的功能(譬如虚拟软件和虚拟PC)。Agobot是目前已知的唯一利用控制协议的病毒，其它病毒利用的一般是IRC(在线聊天系统)。利用在线聊天系统(IRC)的网络是有可能的。但是，Linux版本的操作系统可以侦查到受威胁的计算机的分布然后对脚本进行修正。

　　2.SDBot/RBot/UrBot/UrXBot/...

　　这种类型的恶意软件目前很是嚣张：在Sophos公司最近的十大网络警告中，有7个就是这一家族病毒的变体。SDBot是以非常简单的C语言写成的，也以GPL的形式出现。它是RBot, RxBot, UrBot, UrXBot, JrBot, ..或是其它病毒产生的母体。这种僵尸病毒的源代码设计的并不是太好。尽管如此，攻击者却对它情有独钟，目前也很是流行。它与Agobot有某些类似之处，但是它的命令设置以及执行的复杂程度都不能与Agobot同日而语。

　　3.以mIRC为基础的僵尸和GT僵尸

　　我们把所有的以mIRC为基础的僵尸都当作是GT僵尸病毒，因为它们的变体实在是数不胜数，要想摸清所有的变体是很困难的。mIRC本身就是Windows操作系统上非常流行的一款在线聊天系统程序。GT是Global Threat(全球威胁)的简称。对于所有的以mIRC为脚本的僵尸病毒都可以这样称呼。这些僵尸病毒利用一套脚本程序和二进位来利用mIRC在线聊天系统程序。其中有一种叫做HideWindow的可执行二进位程序会导致mIRC在线聊天系统程序对用户的屏蔽。其它一些二进位程序主要是与mIRC相联系的DLL，可能会加载新的特征，这样mIRC脚本就会被利用。mIRC脚本的后缀名一般是“.mrc”，通常是用来控制僵尸计算机的。GT僵尸病毒一般利用的是远程计算机的缺陷，然后将病毒上传到受威胁的主机上(一般来说文件大小超过1MB)。

　　以上三中僵尸病毒类型在我们日常的使用中经常会出现，除此之外，还有一些少见的僵尸计算机病毒。其中一些僵尸病毒有一些很有趣的特征，因此在这里我们有必要提及一下。

　　1. DSNX 僵尸病毒

　　DSNX僵尸病毒以C++语言写成且有一个方便的插件界面。攻击者很容易就利用其重写扫描器将其作为插件然后扩展僵尸病毒的特征。此外，代码也以GPL的形式出现。但是这种僵尸病毒的致命伤就是：默认版本并不与任何扩展槽相适应。但是插件可以超越这一障碍。另外，插件亦可用于DDoS攻击，端口界面扫描，以及隐藏HTTP网页服务器。

　　2.Q8 僵尸病毒

　　Q8 僵尸病毒是一种很小的僵尸病毒，它只含有926个C代码。此外，一个明显的特征就是：它的对象主要是Unix/Linux操作系统，它执行所有僵尸病毒共有的特征：通过HTTP下载的动态上传，各式各样的DDoS攻击(譬如，SYN和UDP洪量攻击)，执行未经审核的命令，等等。在我们检测到的版本中还不包括扩展功能。但是可以推断的就是现存的这一版本应该是包含扩展功能的。

　　3.Kaiten

　　这种病毒也缺乏扩展功能，也主要针对Unix/Linux操作系统。不够谨慎的用户授权会让kaiten非常容易的就劫持僵尸计算机。这一僵尸病毒本身只包含有一个文件，这样，使用wget就可以轻而易举的找到它的源代码，然后使用一个脚本就可以在一个受威胁的环境中编辑它。Kaiten提供了一种非常简单的远程攻击命令，因此通过检查远程漏洞来寻找网络访问权限一般是通过IRC(在线聊天系统)来实现的。

　　4.Perl(一种GGl脚本)为基础的脚本

　　目前有很多的版本，它们的基础仅仅就是使用Perl程序语言。一般来说，这些僵尸病毒很小，甚至只含有区区几百个代码而已。它们只是提供一些根本的命令(主要是DDoS攻击)，主要针对Unix操作系统。

[1] [2] [3] [4] [5] [6] [7] [8] 下一页