通過對最新發現的Kneber僵jiang屍shi網wang絡luo的de各ge種zhong信xin息xi的de彙hui總zong，我wo們men發fa現xian
，這zhe種zhong新xin型xing僵jiang屍shi可ke在zai同tong一yi主zhu機ji上shang利li用yong不bu同tong的de惡e意yi軟ruan件jian觸chu發fa多duo重zhong感gan染ran，而er惡e意yi軟ruan件jian之zhi間jian的de這zhe樣yang一yi種zhong複fu雜za的de合he作zuo機ji製zhi給gei了le所suo有you惡e意yi軟ruan件jian更geng高gao的de存cun活huo率lv。

當Kneber僵屍網絡在周四被發現時，其規模已相當龐大——大約已感染了2400多家企業的7.5萬台電腦。但是據發現了Kneber的NetWitness的研究部門高級谘詢師Alex Cox說
，Kneber如何與其他惡意軟件網絡相互作用從而產生一種共生關係，能夠更有效地抵禦對它們的清除，這才是安全行業更應該予以關注的。

Kneber是利用了一套功能完善的工具包創建的，這套能夠彙總各類僵屍網絡的工具包在網絡上已流行了多年

，被稱作ZeuS。Kneber隻不過是利用了ZeuS工具包構建的僵屍網絡之一而已
，不過由於Cox已經從指揮與控製服務器上捕獲了75GB的注冊數據


，所以他能夠對ZeuS所控製的電腦的特征進行詳細地分析。

他發現
，在被感染的7.5wantaidiannaozhong，yiduobandejiangshishanghaifaxianleqitadeeyiruanjian

，zhexieeyiruanjianshiyongleyizhongbutongdezhihuiyukongzhijiegou。ruguoyigejiangshiwangluobeijinyong，qitaweibeiqingchudejiangshiwangluozekeyizaicijiangqigoujianqilai。

“至少，兩個帶有不同的指揮與控製結構的獨立的僵屍網絡家族能在其中一個被安全防禦工作所清除時提供容錯功能和恢複功能，”Cox在其分析Kneber僵屍網絡的文章中稱。

在這一案例中
，構成Kneber僵屍網絡中的一多半電腦同時被ZeuS(竊取用戶數據)和Waledac(使用P2P機製傳播的垃圾郵件惡意軟件)所感染。Cox雖然尚不能肯定這兩種僵屍網絡是如何協同工作的
，但是有一個有趣的可能性是存在的：如果ZeuS的指揮與控製架構在某個點上被清除
，那麼ZeuS僵屍網絡的所有者便可聯絡Waledac僵屍網絡的人
，支付一定費用讓其推送一個ZeuS的升級包，從而讓ZeuS僵屍重新聯機，並向一台新的控製服務器報告。

此外，一個獨立的組織也可以同時運行ZeuS和Waledac僵屍網絡，這樣便可自己推送升級包。“從災難恢複的角度看
，這麼做也是合理的，”Cox說。

Kneber服務器的日誌包含了很多個人登錄各類網站如Facebook和Yahoo等的密碼。它的設計目的還在於竊取個人的在線金融賬號
，例如花旗銀行、富國銀行、支付寶、城市銀行和彙豐銀行等網站的登錄密碼，Cox的Kneber報告稱。

1月26日，Cox在NetWitness的一家客戶的網站上發現了Kneber。他發現了一台被ZeuS所感染的電腦，當時這台電腦正在下載其他可執行的惡意軟件。然後他跟蹤這一流量到了德國的一台ZeuS智慧與控製服務器
，在這裏
，他捕獲了該服務器將近一個月的日誌數據。

這個僵屍網絡因hilarykneber@yahoo.com郵箱而得名，該郵箱的注冊人就是在這個原始域名上將僵屍網絡的各個組成部分彙集起來的。該注冊人還一直在尋找包括PDF和Flash漏洞以及木馬安裝在內的其他惡意軟件的協助。

同一個注冊人還登錄了多個尋找資金騾子(非法利用其銀行賬號轉運金錢的人)的Web網站。

Kneber僵屍網絡從2009年3月25日以來就一直在活躍
，據NetWitness稱，大部分最活躍的站點在中國，約有17%的站點在美國。

Cox還通過鏈接發現了Kneber針對美國一些政府機構發動過釣魚攻擊，例如從美國國家安全局發出的一些郵件會要求接收人點擊可下載惡意軟件的鏈接。

Cox認為Kneber僵jiang屍shi網wang絡luo最zui大da的de收shou獲huo就jiu是shi社she交jiao網wang站zhan的de用yong戶hu名ming和he密mi碼ma。這zhe些xie數shu據ju可ke用yong來lai進jin入ru社she交jiao網wang站zhan
，給gei受shou感gan染ran的de網wang站zhan粘zhan貼tie惡e意yi鏈lian接jie。社she交jiao網wang站zhan上shang的de好hao友you們men更geng願yuan意yi相xiang信xin這zhe些xie鏈lian接jie，因yin為wei他ta們men認ren為wei這zhe些xie鏈lian接jie是shi他ta們men所suo信xin任ren的de人ren粘zhan貼tie的de。

社she交jiao網wang站zhan的de賬zhang號hao還hai可ke用yong於yu進jin一yi步bu開kai采cai可ke滲shen入ru用yong戶hu在zai線xian金jin融rong賬zhang號hao的de個ge人ren數shu據ju。比bi如ru說shuo
，如ru果guo某mou人ren社she交jiao網wang站zhan的de賬zhang號hao用yong的de是shi其qi母mu親qin未wei出chu嫁jia之zhi前qian的de名ming字zi，那na麼me這zhe個ge賬zhang號hao也ye有you可ke能neng會hui被bei用yong來lai重zhong置zhi銀yin行xing賬zhang號hao的de密mi碼ma
，從cong而er可ke能neng被bei攻gong擊ji者zhe利li用yong來lai竊qie取qu和he轉zhuan移yi金jin錢qian。(波波編譯)