KOOBFACE僵尸网络的出名是因为它利用了流行的社交网站作为传播介质，并且将这些平台滥用到恶意用途中上。趋势科技最近观察到KOOBFACE不再积极地通过社交网络进行传播，而是转为通过BT等P2P网络分享木马化的应用程序文件。

在研究过程中，我们找到一个KOOBFACE所使用的加载器程序。这个组件被用来下载僵尸网络的其他组件。它可以通过木马化的BT文件进入受害者的系统，或是经由一个被我们确定为WORM_KOOBFACE.AV的新KOOBFACE组件：tor2.exe。

WORM_KOOBFACE.AV在运行后会连接C&C服务器，并索取BT种子。收到之后，会执行一个放在文件资源部分的BT客户端。这个BT客户端是版本号为2.2.1的uTorrent，可以在不让用户觉察的情况下在暗地里进行下载。

这个BT客户端会下载之前接收的BT种子内所包含的文件。有个种子样本内包含四个文件，应该是被改造过的Adobe Lightroom安装程序：

这些文件有着不同的功能：

setup.exe解开并执行setup3.cab，然后执行setup2.cab。

setup1.cab用来下载其他组件。

setup2.cab是真的Adobe Lightroom安装程序。

setup3.cab解开并执行setup1.cab。

这些文件(setup.exe、setup1.cab和setup3.cab)都被检测为WORM_KOOBFACE.AV。

请注意，受WORM_KOOBFACE.AV感染的系统上还会执行一个隐藏的BT客户端程序，这会使得电脑成为P2P网路中分享恶意文件的一个节点。有越多电脑为特定种子做种，也会让越多的用户有机会下载，因为这样可以获得更快的下载速度。

KOOBFACE木马化的种子出现在热门BT网站

不知情的用户在寻找热门的盗版软体(例如游戏、工具软件或办公软件)时，就会收到这份“惊喜”，因为这些木马化应用程序种子已经出现在热门BT网站上。以下是部分观察到的KOOBFACE木马化应用程序种子名称清单：

搜索这些种子时，就会发现它们出现在很多BT网站中。下图显示了一个范例，69_Lightroom.torrent出现在BitSnoop BT网站。

通过多个组件和加密来躲避防毒软件

另一个值得注意的地方是，它们使用了多个组件和加密技术。使用多个组件，以及对部分组件进行加密这种方法，可以让殭尸网络的组件避免被BT网站上的防毒软件检测到。好几个组件结合在一起就可以达到特定目的，也能让分析时间更长、更难以发现。而且如果只拿到其中一个组件，也会让分析者做出这不是恶意软件的判断。因为分析者需要拿到其他组件才能看出这个恶意软件的真正行为和目的。

从致力于通过社交网站进行传播，演变到通过P2P网络传播，这可能是因为被当成目标的社交网站努力防止被KOOBFACE殭尸所滥用导致的结果。尽管出现了这种变化，用户依然需要注意，KOOBFACE恶党从没停止过想要感染用户的系统，他们只是在寻找其他可行方法。

注释：作者Jonell Baltazar现为趋势科技资深威胁研究员。