2014.06.25

文件病毒在恶意软件中并不常见，因此不法分子用来建立广泛的僵尸网络的病毒Win32.Sector尤为值得关注。Doctor Web公司的病毒分析师对此病毒进行了分析了，已能够确认目前的感染范围。

恶意软件Win32.Sector2008年被首次侦测，是一种复杂的多态病毒，能够独立传播（无需用户参与）感染文件对象。其主要功能为从P2P网络下载并在受感染的电脑运行各种可执行文件。此恶意软件能够内置到受感染电脑正在运行的进程中，还能够停止某些反病毒软件运行，阻止访问反病毒软件厂商的网站。病毒能够感染本地硬盘和可移动载体上的文件对象（感染过程中创建自启动文件autorun.inf） ，以及保存在共享网络文件夹的文件。目前已知若干个Win32.Sector变种，其区别是在P2P网络中进行数据交换时利用不同的协议，并在结构上有所不同。

Win32.Sector没有管理服务器，而是利用与其它受感染电脑上运行的僵尸连接。病毒能够确认电脑是否有外部IP地址，以及是否在利用NAT的网络中运行。在受感染的电脑上启动后，Win32.Sector与其他僵尸连接，并使用其初始IP地址列表。如此操作成功完成，病毒将会执行下列命令：

1. 请求URL配置文件，用于加载文件（利用UDP协议）。
2. 请求插件（利用TCP协议）。
3. 检查是否有NAT，如有，僵尸会获得独有ID验证码（利用UDP协议）。
4. 获得另一受感染电脑IP地址用于建立连接（利用UDP协议）。

利用命令3病毒在受感染电脑开始执行路由功能：NAT网络中其他没有外部IP地址的僵尸会与其建立连接。通过命令4可获取其他受感染电脑的IP地址列表。Doctor Web公司的技术人员根据这些命令统计出了僵尸网络中受感染站点的总数，对威胁的传播范围作出了评估。

根据2014年5月20日的信息，僵尸网络Win32.Sector中有1 197 739台僵尸，其中109 783台有外部IP地址并且能够为其他受感染站点提供路由功能。僵尸网络的增长动态见下图：

僵尸网络Win32.Sector数量增长

日均有将近60 000受感染电脑处于活动状态。僵尸网络Win32.Sector活动情况见下图：

僵尸网络Win32.Sector日均活动

从地理分布看，感染Win32.Sector病毒的电脑大部分位于台湾，有212 401台。感染数量第二的是埃及（108 770台），第三是印度（106 249台）。在俄罗斯发现有15 600台受感染电脑。文件病毒Win32.Sector在世界各国的分布见下图：

目前利用僵尸网络Win32.Sector进行传播的恶意软件有：

• Trojan.PWS.Stealer.1630——盗取密码和其他机密信息的软件；
• Trojan.Mssmsgs.4048——发送垃圾邮件的插件；
• Trojan.DownLoader8.17844——http和socks5代理；
• Trojan.DownLoader10.49375——http和socks5代理；;
• Trojan.Siggen6.11882——DNS通道（53 udp端口），TCP通道（80端口）；
• Trojan.Rbrute——破解Wi-Fi路由的木马;
• Trojan.Proxy.26841——向指定站点传输http流量的通道。

包括文件病毒Win32.Sector本身在内的所有上述威胁Dr.Web反病毒软件都能成功侦测并删除，因此不会对用户构成威胁。Doctor Web公司的技术人员将继续关注此僵尸网的进一步动态。