0 月 23 日消息，CSE CybSec ZLab 实验室研究人员近期在暗网调查恶意代码时发现一份以 “NetflixAccountGenerator.exe” 命名的应用软件，其承诺为用户免费提供 Netflix 网站高级帐号。然而用户一旦下载该软件将会自动安装僵尸程序感染自身系统，从而被动参与黑客发起的网络攻击活动。目前，该恶意程序被用于僵尸网络 Wonder 传播。 [出自:jiwo.org]

调查显示，研究人员在分析这款 “exe” 应用文件时发现只有一个网站于 9 月 20 日首次上传该恶意软件后被提示存在风险。对此，研究人推测可能是恶意软件开发人员为其设置了 “隐身” 程序。此外，该款恶意软件的命令与控制服务器的接口隐藏在虚假页面链接中。（如下图）

对此，研究人员经检验证实，位于虚假页面 “wiknet.wikaba.com” 左侧链接上的 “support.com” 指向僵尸网络 C&C 服务器前端。有趣的是，它的每个链接指的都是原始页面。只要点击一个链接，研究人员就将被重定向至 “support.com” 相应页面。另外，研究人员还发现了一些隐藏的路径，其中包含僵尸程序使用的信息和命令。（如下图）

知情人士透露，该恶意软件由两部分组成：

Ο 下载器：它是一个 .NET 可执行文件，其唯一目的是下载并执行真正的僵尸程序代码后上传到 “pastebin.com/raw/E8ye2hvM” 上。

Ο 真正的僵尸程序：当它被下载和执行时，将会感染主机、设置持久机制并启动恶意操作。

CSE Cybsec ZLab 发布的报告中还包括 IoCs 和 Yara 规则的进一步技术细节，感兴趣的用户可通过以下链接下载完整报告进行查看：《Malware Analysis Report: Wonder Botnet》