对典型僵尸网络进行长期跟踪和深入分析，有利于对僵尸网络的更多了解，从而给出有效的控制手段。本文详细地剖析了一个典型的僵尸网络，从僵尸网络客户端程序入手，分析了各种控制命令的功能，并对僵尸网络的活动进行了归类统计，最后对僵尸网络的控制者进行了定位。

客户端组成分析

文件名   -    beta.exe
文件大小     -    1.03MB
获得时间     -    6月24日
文件类型     -    应用程序，以SFX RAR加壳，即可以直接执行，在C:\Program Files\WebS3\上释放如下表中的文件。
文件名          文件说明
snpvt2k.exe     正常的mIRC.exe文件，故反病毒软件一般不把它视为病毒，版本为6.03。
repcale.exe     隐藏程序的运行画面，使用户看不到病毒的活动。有的反病毒软件将它视为病毒。在DOS命令行中调用。
hd.exe             隐藏程序的运行画面，有的反病毒软件把它视为病毒。也是在DOS命令行中调用。
orrl.exe           局域网sniff工具，可以记录LAN traffic，原名称为daSniff。
ps2m.exe        原名为pspv.exe，将Windows注册表中加密存储的用户名以及口令信息到出来解密显示。这是一个正常的软件，但由于它的特性，有的反病毒软件（Norton）将它视为Trojan/Virus类的hacking工具。这个工具的功能很强，可以从最新升级的Windows平台盗出私人信息。反病毒软件可能不起作用，有的防火墙会防止pspv向注册表中存储私人信息的区域的访问盗出信息。
cult.exe          正常的软件，原名为PrcView的进程管理软件，具有类似于"Windows任务管理器"的功能。
addx.exe        微软的修改Windows注册表的程序。
d.dll               未知
msn.dll          MSN messenger的应用程序扩展文件，可以利用此dll对messenger进行操作（如，加新联系，断接，查看状态等）。
xxx.reg          xxx为从100～999随机生成的数字，Windows注册表的       [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]项上添加" snpvt2k.exe"，使病毒Windows开始时自启动。
pxs.sys          mIRC脚本，包含恶意的代码。
lovely.sys      mIRC脚本，包含恶意的代码。
c.sys             mIRC脚本，包含恶意的代码。
as.sys           mIRC脚本，包含恶意的代码。
knlps.sys       knlps.exe的辅助文件。knlps.exe为列出当前系统中运行的进程的工具。但是，在beta.exe中缺了knlps.exe，无用。
v1rg1n           名字表，连接到其他IRC服务器时使用。
mirc.ini           mIRC必修的配置设置文件，将mIRC的sound项均匀设置为no sound，避免病毒隐藏运行时出声音，并读入上述4个含有恶意代码的mIRC脚本。
remote.ini       mIRC辅助文件aliases.inimIRC辅助文件，添加了IRC服务器上取昵称的命名规则，模式（mode）设置，状态设置等的附加信息。
v1reg.bat       DOS批处理文件，与上述的xxx.reg同样包含注册表修改的内容。
ksat.bat         DOS批处理文件，包含knlps.exe的处理过程（将当前运行的进程的列表写到taks.w里）。
w.e                局域网sniff的结果以text形式存放此处，便于在IRC上给Botnet黑客显示结果。
taks.w            进程的列表，为了便于在IRC上给Botnet黑客显示结果而生成。

客户端工作流程

1.beta.exe（原始自动脱壳文件），通过email、互联网、botnet等的路径存放到磁盘上并执行。
2.beta.exe在本地磁盘上自动脱壳，在指定的目录中释放壳内的文件，执行snpvt2k.exe（mIRC）。
3.mIRC执行，从mirc.ini读入配置信息，从lovely.sys、pxs.sys、as.sys、c.sys引入恶意代码。
4.隐藏mIRC界面，修改Windows注册表的自启动部分。
5.连接到指定的IRC服务器，并在指定的channel上等待黑客的命令。

控制指令分析

只有具有channel op权的黑客能发出的命令
进程操作：黑客可以杀bot上正在运行的进程，这样可以关掉防火墙、反病毒等软件。
窃听：窃听结果显示在IRC服务器的一个channel（不同于bots接受命令的channel）上显示。黑客在该channel上收看bots显示的窃听结果。
攻击命令：在互联网上进行流量攻击。
IRC操作命令：干扰其他IRC服务器（如发送大量的垃圾消息）。
其他命令:从互联网下载文件、断接后重新连接、允许输入所有的IRC命令等命令。
不受op权限制的命令
IRC操作命令：如!c、!c off、!ch、!ch off等命令。
控制MSN messenger：如      !msn、freeze、add等命令.