种子是个神奇的东西。

小时候我得知，发芽的种子能掀翻最坚硬的岩石；

长大后我发现，种子能让我赢来众多网友的祝福，哪怕素未谋面。

▲图片来自网络

种子是如此受欢迎，以至于黑客用它来传播木马病毒，短期内就感染了超过20,000台电脑，而且这一数量仍在持续增长……

最近，ESET安全实验室发现了一个由20,000多个机器组成的僵尸网络，它们主要针对WordPress博客网站发起攻击。有意思的是，感染用户机器的木马比较奇特，主要是通过电影的种子的方式来传播，至于是什么电影，安全研究员没说。

根据ESET研究人员的解释，自去年六月份以来，一种叫做"Sathurbot”的木马开始蔓延开来，它的传播方式主要是引诱用户下载盗版内容的的种子文件（Torrent）。其中很大一部分带木马的文件都来自于WordPress网站页面。

据雷锋网了解，木马的传播方法是这样的：

不明真相的群众打开了一个看似“正常”的种子（Torrent）文件，里头放着一部名字看起来“正常”的影片、一个“播放器的解码器”，以及一个类似“看片须知”的文本。

文本会告诉用户，想要看这部片，需要先安装解码器。

一般讲到这里，你应该就明白了，这个解码器程序就是恶意木马，打开后它会弹出一个文件错误的框，让你以为文件失效，然后在后台默默加载一个叫“sathurbot DLL”的文件，开始连接远程服务器，等待攻击者发布指令。

感染之后，Sathurbot会自动更新和下载木马“全家桶”，让受害者的机器沦为肉鸡，大量肉鸡组成一个巨大的僵尸网络，在攻击者的指挥下对其他网站发动攻击。Sathurbot会用网络爬虫技术自动搜寻基于Wordpress网站，然后用尝试不同的账号密码来登录这些网站，也就是所谓的“撞库”。

ESET的研究人员表示，用这种方式来进行撞库有一个好处：

Sathurbot僵尸网络中的每个肉鸡在尝试登录时，每次只在一个网站尝试一次或几次。这样就可以避免因为频繁登录而被拉入黑名单。

一个攻击者控制2万台机器，每台机器尝试一个账号密码，每次都能撞2万次，威力巨大。

当他们成功破解另一个网站的管理员账号密码时，会再次在网上挂上一个充满诱惑的种子，吸引更多的人来点击、下载、沦为肉鸡、攻击，无限循环。正如愚公移山那样——“子子孙孙无穷匮也， 而山不加增， 何苦而不平？”

就是一个这么简单的套路，已经俘虏了两万多台机器，而且数量仍在增加。

在雷锋网编辑看来，其实只要不打开种子里面的可执行文件就能完全避免感染，然而竟有几万人依然不顾一切去打开它，究竟是怎样的冲动驱使着这些受害者？编辑不是太懂。