之前有些讨论SpyEye的博客，报道和技术白皮书均已发表，但尚未真正谈到其界面和犯罪份子如何利用SpyEye。

实际的界面共分为2个元件。第一个元件是叫做CN 1的前端界面，或称主要存取控制。这是僵尸网络/傀儡网络 Botnet操控者可用来与其操控的傀儡僵尸互动的界面。这个界面显示出与受感染系统相关的统计数据。

第二个界面比较像是后台，名叫SYN 1，或是Formgrabber表单存取控制。这个界面实际是在搜集及log编录数据资料。此界面还可让傀儡僵尸操控者就所搜集到的数据资料进行查询，及利用界面检视偷盗得的资料。本篇文章是重点关注CN 1这个元件，以及这个元件如何使用。

图1、SpyEye主要界面

上图的屏幕画面中，你可看到每个人现在都认得出的主要界面。页面有“黑入全世界！”的标识，显示出目前有多少僵尸网络/傀儡网络 Botnet在线，以及僵尸网络/傀儡网络 Botnet网络中目前共有多少傀儡僵尸。在这个画面中你可看到有2千3百92个傀儡僵尸在线，总数略超过1万8千。从本例可看出傀儡僵尸网络的规模相当大。除此之外，也可在画面左手边看到服务器的日期。

图2、SpyEye控制台

左上方的第一个功能键标识为“Create Task for Billing制作收款工作”。这个功能键，再加上billinghammer外挂程序（位在Plug-ins功能键内），让僵尸网络/傀儡网络 Botnet操控者对从特定网站收取来的信用卡进行请款。如此一来，操控者可直接从偷盗来的资料取得金钱利益。Brian Kreb在他的博客中有着更多billinghammer外挂程序细节的报道，有兴趣者可关注其本人推特。

图3、傀儡僵尸列表屏幕画面

接下来是Bots Monitoring僵尸网络/傀儡网络 Botnet监控键。在这个键之下会看到每个国家有多少受感染的傀儡僵尸列表，以及有多少傀儡僵尸在使用哪个版本的SpyEye，和每天增加多少数量的傀儡僵尸。上图的屏幕画面中没有列出国家的原因，是因为在更新IP的地理信息时产生错误的结果。多数的傀儡僵尸使用的10244版的SpyEye，此刻最近版已被更新至10265版。幕后的操控者平均每日可感染约1千5百名使用者，并将被感染者加入僵尸网络/傀儡网络 Botnet网络中。

图4、统计数据屏幕画面

上图的屏幕画面出现在按压Full Statistic完整统计数据功能键后。如所示，多数受感染的机器使用Windows XP操作系统。不过要特别注意的是，Windows 7也被包括在此图表中。图表同时也显示总数中大约百分之80的受感染使用者，是以管理者优先权登录进来的 。 

图5、下载网站屏幕画面#p#

控制台上的下一个功能键是Create Task for Loader搭载器工作制作键。这个功能键用来指示傀儡僵尸到特定的网站（产生点击以增加广告利润），或下载更多恶意软件。

图6、更新傀儡僵尸操控台之屏幕画面

Update Bot傀儡僵尸的更新键执行的任务一如其名。此键是由网络犯罪份子用来上传设定文件及更新SpyEye二位元文件，供旗下的傀儡僵尸下载使用。当操控者需要改变傀儡僵尸们的连结或更新版本时，就会使用到此键。

图7、检测功能屏幕画面

Virtest检测功能键非常特出，我觉得这个功能很有意思。Virtest是一个位在东欧的网站，登录进入的使用者可扫瞄二位元文件和入侵套组，以测试是否受到防毒软件的防毒引擎的侦测。这是个付费服务，使用者通常需要对每次的扫瞄付费。

SpyEye将这个网站的使用者加入其工具组中。当使用者利用Update 僵尸网络/傀儡网络 Botnet更新键上传更新过的两位元文件时，文件夹的连接就会于此展示。傀儡僵尸操控者只需点击Submit送出，更新过的文件案就会传送到Virtest，让操控者知道该文件案是否经常受到侦测。

图8、设定控制台屏幕画面

这是Setting设定功能键的屏幕画面。从这里可看到多数在CN 1控制台中运作功能的设定。注意这个键旁的Virtest检测功能键是用来登入Virtest的区块。此处也有FTB和Socks 5的backconnect后台连结。这些可让傀儡僵尸操控者制作出与傀儡僵尸们的反向连结，以进行更多不同的工作。

不同的傀儡僵尸愈发精良，SpyEye当然不例外。我们很快会发步本系列的下篇，讲述SYN 1如何运作，并以屏幕画面展示除了信用卡和银行交易凭证外，还有哪些资料会被偷盗。

【编辑推荐】

1. 黑客谈国内僵尸网络的现状与发展
2. 微软惊爆特大漏洞黑客借漏洞狂造僵尸网络