仅凭一部电脑就能够让电信瘫痪,让交通堵塞、让航空秩序崩溃、让整个城市停电、让银行ATM机吐钞，能够影响整个城市甚至国家，神秘的黑客仿佛无所不能。然而，这似乎如同电影场景般的事件仅仅只是现实社会的一角缩影，真正的黑客攻击远比这要复杂，每一次成功入侵的背后都有着复杂的计算过程和长期的准备。一个顶尖的黑客除了拥有顶尖级的技术，还懂得人心骗术，也就是所谓的社会工程学。

近日，江民赤豹安全实验室追踪到，一款名为暗黑彗星（DarkComet）的木马再次在全球范围进行传播，攻击者通过鱼叉邮件、下载网站传播远程控制木马，在全球范围内批量抓“肉鸡”以窃取用户隐私信息、机密文件，乃至下发勒索病毒，给用户造成巨大的网络安全威胁。此次被捕获的其中一个样本（MD5: 41c75b13dbe7a5c8d6a3a5761b116e9d）是被改造过后的DarkComet木马控制端程序，幕后攻击者通过将自己打造的木马与DarkComet控制端捆绑发布，当其他的攻击者使用该木马进行“抓鸡”行动时，该攻击者的主机也已经被幕后的发布者所控制，自身成了“肉鸡”大军的一员,黑客之间也玩起了“黑吃黑”的操作。

 

Darkcomet木马是一款使用Delphi语言编写的木马程序，最早被发现于2008年，又称“暗黑彗星”。该木马运行后攻击者拥有该主机完整的控制权限，此时的用户设备已处于不设防的高危状态，攻击者不仅可以窃取上传受害者键盘输入、录音、摄像头信息等隐私内容，还可根据服务端远程指令执行下载、安装软件、启动程序、运行脚本等控制操作。同时，攻击者还可用被控制的电脑作跳板，对其它目标发起DDoS攻击和下发勒索软件。

 

江民全球恶意代码样本分析平台数据显示，近三个月来，全球有5244例DarkComet感染事件发生，波及范围广泛，该木马幕后者可以完全控制，使用该木马攻击者和攻击者所控制的其他“肉鸡”，通过捕获到的样本文件中的Users遗留的数据可以看出来幕后攻击者已经使用该木马控制了部分主机，分布在阿拉伯国家、西班牙、越南、立陶宛、瑞典、日本、葡萄牙、芬兰等国家。这种污染上游供应链的方式，同时也使得幕后人也实现了更高效的“抓鸡”行为，其余使用该木马的攻击者都沦为了幕后人的“打工仔”，最终幕后人只需要坐收渔利就可以拥有全球大量的“肉鸡”，因此也被称为黑客版的“碟中谍”。

幕后者控制的部分主机名

幕后者使用的捆绑木马也是DarkComet，C&C域名为fuckyoucunt.ddns.net，目前该域名已无效。这个古老的木马深受攻击者的青睐，尽管木马作者于2012年已停止了对“暗黑彗星”木马的更新，但由于其强大的木马功能，至今仍有大量攻击者使用该工具进行网络攻击。

控制端功能界面

DarkComet在感染后会释放木马到：%appdata%\Microsoft\Windows\Templates\下，并设置其为系统隐藏属性；随后启动木马进程，并将木马注册为开机启动，使用PE映像切换技术将木马隐藏于svchost进程中，作为持续后门，一般情况下用户很难发现电脑感染了该木马。

高危预警：

感染该木马后，远程攻击者拥有该主机完整的控制权，主要包括：

1). 系统性能监控、系统信息获取、系统所属地区分析；

2). 文件管理、进程管理、注册表管理、软件安装管理、远程Shell；

3). 摄像头监控、录音监控、远程桌面管理、监控键盘记录；

4). 打开端口、网络共享管理、打印机管理、Socks5代理、远程下载执行；

手工清除方法

1). 打开任务管理器，找到名为side.exe的进程，找到进程所对应的应用程序，删除该应用程序。找到名为svchost.exe但用户名为当前用户名的应用程序，结束该进程；

2). 删除注册表项：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\side；

3). 删除注册表项：HKCU\Software\DC3_FEXEC。

应对措施及建议

1). 不运行来源不明的应用程序，不要从不可信任站点下载应用。对于已经停止支持的软件不从非官方渠道下载使用；

2). 安装江民防病毒软件，定期更新病毒库使其能够针对最新的变种病毒进行查杀。

江民安全专家表示，通过伪装或者捆绑下载是当前互联网比较常见的一种传播恶意代码的方式，对于非官方渠道提供的下载软件应当谨慎使用，最好在使用之前校验其哈希值，特别是对于已经停止维护的软件更需要在使用前对其进行安全检查，比较方便的方式是通过杀毒软件验证其安全性之后再使用，在一定程度上可以免受恶意代码的侵害了。

详细分析报告请访问:http://www.jiangmin.com/download/DarkComet.pdf