5月23日,Canthink网络安全攻防研究实验室的研究人员将其 在超过5000个受损网站上发现的恶意PHP脚本 认定为 大规模垃圾邮件活动的来源。 这个脚本旨在 使 被黑网站控制在一群网络犯罪分子 手中 ,并对各种垃圾邮件活动的动态 进行 重定向管理。
据悉, 该脚本是名为“Brain Food”的恶意垃圾邮件僵尸网络基础架构的一部分 ,据Canthink研究人员称,僵尸网络运营商留下这个脚本,允许其按需执行,但它是大规模垃圾邮件操作中的主要角色。
Brain Food僵尸网络管理员通过发送垃圾邮件进行操作,以便在各种被黑客入侵的网站上发现与PHP脚本的链接。 如果用户点击 页面 左边的短片,他们就会到达PHP脚本,该脚本会将用户重定向到另一个网站 ,而这个网站中充斥着减肥塑形和促进智力的假冒药片。 PHP脚本能够根据他们最近的垃圾邮件活动从Brain Food运营商 那 接收新的“重定向目标” ,并统计 每个广告的点击 量 信息。
通过对包含这款PHP脚本副本的5000个网站的研究发现, 仅过去一周内就有近半数(超 2400个 )的 网站正在活跃运行 ,这些僵尸网络似乎不易受某些CMS平台的影响。 研究人员表示,Brain Food是一个在多种平台上运行的僵尸网络恶意邮件,如 WordPress 、Joomla等。
该脚本的代码 也 因此具有多态性 , 并且被多层base64 编码 混淆。此外,它还包括针对自动 Google 索引的保护,通过404代码“找不到页面”错误来响应Google的搜索 爬虫 。
不过,僵尸网络只推送垃圾内容,虽然对用户没有很大的危害,但对被感染的网站却很危险,因为它的后门式功能允许僵尸网络运营商执行任何代码。