下載種子當心了！新型木馬靠電影種子傳播 已感染超2萬台電腦

本文作者：謝幺

導語：以後下載種子也要小心了，可能會遇到假的種子。

種子是個神奇的東西。

小時候我得知，發芽的種子能掀翻最堅硬的岩石；

長大後我發現，種子能讓我贏來眾多網友的祝福，哪怕素未謀面。

【圖片來自網路】

種子是如此受歡迎，以至於黑客用它來傳播木馬病毒，短期內就感染了超過 20,000 台電腦，而且這一數量仍在持續增長……

最近，ESET 安全實驗室發現了一個由 20,000 多個機器組成的殭屍網路，它們主要針對 WordPress 博客網站發起攻擊。有意思的是，感染用戶機器的木馬比較奇特，主要是通過電影的種子的方式來傳播，至於是什麼電影，安全研究員沒說。

根據ESET研究人員的解釋，自去年六月份以來，一種叫做"Sathurbot 」的木馬開始蔓延開來，它的傳播方式主要是引誘用戶下載盜版內容的的種子文件（Torrent）。其中很大一部分帶木馬的文件都來自於WordPress 網站頁面 。

據雷鋒網(公眾號：雷鋒網)了解，木馬的傳播方法是這樣的：

一個不明真相的群眾打開了一個看似「正常」的種子（Torrent）文件，裡頭放著一部名字看起來「正常」的影片、一個「播放器的解碼器」，以及一個類似「看片須知」的文本。

文本會告訴用戶，想要看這部片，需要先安裝解碼器。

一般講到這裡，你應該就明白了，這個解碼器程序就是惡意木馬，打開後它會彈出一個文件錯誤的框，讓你以為文件失效，然後在後台默默載入一個叫「sathurbot DLL」的文件，開始連接遠程伺服器，等待攻擊者發布指令。

感染之後，Sathurbot 會自動更新和下載木馬「全家桶」，讓受害者的機器淪為肉雞，大量肉雞組成一個巨大的殭屍網路，在攻擊者的指揮下對其他網站發動攻擊。Sathurbot 會用網路爬蟲技術自動搜尋基於 WordPress 網站，然後用嘗試不同的賬號密碼來登錄這些網站，也就是所謂的「撞庫」。

ESET 的研究人員表示，用這種方式來進行撞庫有一個好處：

Sathurbot 殭屍網路中的每個肉雞在嘗試登錄時，每次只在一個網站嘗試一次或幾次。這樣就可以避免因為頻繁登錄而被拉入黑名單。

一個攻擊者控制2萬台機器，每台機器嘗試一個賬號密碼，每次都能撞2萬次，威力巨大。

當他們成功破解另一個網站的管理員賬號密碼時，會再次在網上掛上一個充滿誘惑的種子，吸引更多的人來點擊、下載、淪為肉雞、攻擊，無限循環。正如愚公移山那樣——「子子孫孫無窮匱也， 而山不加增， 何苦而不平？」

就是一個這麼簡單的套路，已經俘虜了兩萬多台機器，而且數量仍在增加。

在雷鋒網編輯看來，其實只要不打開種子裡面的可執行文件就能完全避免感染，然而竟有幾萬人依然不顧一切去打開它，究竟是怎樣的衝動驅使著這些受害者？雷鋒網編輯不是太懂。

雷鋒網原創文章，網站轉載需申請授權。但，歡迎分享轉發~

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！