近期，CNCERT监测发现BlackMoon僵尸网络在互联网上进行大规模传播，通过跟踪监测发现其1月控制规模（以IP数计算）已超过100万，日上线肉鸡数最高达21万，给网络空间带来较大威胁。

一、BlackMoon僵尸网络分析

该僵尸网络大规模传播的样本涉及10个下载链接、6个恶意样本（详情见第4节相关IOC），样本分为两类：一类用于连接C2，接受控制命令的解析程序，包括Yic.exe、nby.exe、yy1.exe、ii7.exe、ii8.exe；另一类为执行DDoS攻击的程序，为Nidispla2.exe。该僵尸网络样本功能不复杂，仅发现DDoS功能，截至目前攻击目标均为一个IP，且未发现针对该IP的明显攻击流量，因此初步怀疑该僵尸网络还在测试过程中。

通过关联分析发现，该BlackMoon僵尸网络传播方式之一是借助独狼（Rovnix）僵尸网络进行传播。独狼僵尸网络通过带毒激活工具（暴风激活、小马激活、 KMS等）进行传播，常被用来推广病毒和流氓软件。

二、防范建议

请全校教职工生强化风险意识，加强安全防范，避免不必要的经济损失，主要建议包括：

1.安装学校提供的企业杀毒软件——天融信终端防御系统，下载地址：http://edr.huuc.edu.cn。

2.不要点击来源不明邮件。

3.不要打开来源不可靠网站。

4.不要安装来源不明软件。

5.不要插拔来历不明的存储介质。

当发现主机感染僵尸木马程序后，立即核实主机受控情况和入侵途径，并对受害主机进行清理。