斯坦丁科殭屍網絡

眾所周知，Stantinko殭屍網絡自2012年以來一直活躍。其背後的網絡騙子以某種方式設法使該殭屍網絡保持了7年的活躍狀態，這令人印象深刻。似乎大多數係統都是斯坦汀科殭屍網絡的一部分，位於俄羅斯，烏克蘭，白俄羅斯，哈薩克斯坦等前蘇聯國家。據估計，斯坦汀科殭屍網絡包含超過500,000台受感染的計算機。大多數殭屍網絡都用於DDoS（分佈式拒絕服務）攻擊。但是，關於斯坦汀科殭屍網絡的有趣之處在於，儘管殭屍網絡規模很大，但該殭屍網絡仍未用於DDoS攻擊。相反，Stantinko殭屍網絡的運營商已將其用於各種其他活動，包括大量垃圾郵件，收集敏感數據，虛假廣告點擊，欺詐等。

Stantinko殭屍網絡用於開採Monero

最近，Stantinko殭屍網絡的運營商選擇將加密貨幣挖掘添加到他們的任務列表中。他們使用的是一種加密貨幣礦工，該礦工的構建源於攻擊者稍作改動的開源項目。大多數此類威脅都是基於XMRig的 ，但Stantinko殭屍網絡的運營商卻選擇了修改和使用" xmr-stak"項目。 Stantinko殭屍網絡所利用的礦工用於開採Monero加密貨幣。斯坦坦科殭屍網絡的運營商已確保對採礦模塊進行大量處理，以使其分解更加複雜。

從YouTube視頻描述中獲取IP地址

Stantinko殭屍網絡運營商使用的另一種混淆手段是其活動中使用的通信方法。 Stantinko殭屍網絡的創建者沒有使用固定的挖礦池，而是選擇從他們在平台上上傳的各種YouTube視頻的描述中獲取IP地址。當然，斯坦坦科殭屍網絡使用的地址不容易獲得，但必須先進行解碼。

自我保存技術

為了確保其惡意軟件正在使用受感染主機的所有計算能力，此威脅的作者提供了一項功能，該功能能夠檢測系統上可能存在的任何其他加密貨幣礦工。如果檢測到其他礦工，Stantinko殭屍網絡創建者使用的惡意軟件將終止它。看起來，Stantinko殭屍網絡的運營商也已經對其密碼挖掘模塊實施了自我保護技術。該礦工能夠確定用戶是否已啟動Windows任務管理器，如果已啟動，則挖掘模塊將停止其活動。這樣做是為了避免被受害者發現，因為當用戶看到正在使用多少CPU時，很明顯出現了問題。這種聰明的把戲使得發現加密貨幣礦工的活動變得更加困難，並且使威脅更有可能持續更長的時間。 Stantinko殭屍網絡也能夠發現受感染機器上可能存在的任何反惡意軟件應用程序。但是，有趣的是，即使受感染的主機上裝有防病毒軟件，也沒有採取任何措施隱藏威脅的有害活動。

Stantinko殭屍網絡背後的幕後黑手即使在運營了7年之後，仍在出色地擴展其網絡並保持活躍。 Stantinko殭屍網絡很有可能引起嚴重的麻煩，並且在活躍了這麼長時間之後，使用該殭屍網絡的罪犯不太可能有意圖立即停止活動。