CSE CybSec Z-Lab恶意软件实验室在暗网调查恶意代码时发现“NetflixAccountGenerator.exe”软件，其承诺会生成Netflix Premium账户。然而这款软件并未按预期宣扬的路数走，因为它会安装“僵尸程序”（Bot），而不是创建预期账户。

恶意软件研究员分析该“exe”文件后发现，这款恶意软件尚未被识别为风险。自今年9月20日首度上传以来，“明网”（Clearnet，与暗网相对的网络）上只有一个网站将其认定为风险。研究人员认为作者上传这款恶意软件的意图可能是测试隐秘功能。

这款恶意软件的分析结果显示，这是一款“僵尸程序，其”属于目前仍存活的僵尸网络，专家将该僵尸网络称之为“Wonder”。这款软件的命令与控制服务器隐藏在下图左侧仿冒网站中。

左侧为仿冒网站，右侧为原网站

经专家证实，“wiknet.wikaba.com”的虚假网页“support.com”指向这个僵尸网络命令与控制服务器的前端。仿冒网站的每个链接均会被重定向至“support.com”相应页面。

专家发现一些隐藏的路径包含“僵尸程序”使用的信息和命令。

这款恶意软件包含两个部分：

下载器：.NET可执行文件，其唯一的目的是下载并执行上传至“pastebin.com/raw/E8ye2hvM”的真正“僵尸程序”代码。

真正的 “僵尸程序：会在下载与执行时感染主机，设置持续机制，并开始启动恶意行为，见下图：

Wonder僵尸网络的行为

CSE Cybsec ZLab发布的完整分析报告见，请戳！