该僵尸网络被发现与Gafgyt恶意软件有关，因为它们共用了部分相同的代码。

新的P2P僵尸网络

研究人员对该僵尸网络进行了长达四个月的监控，发现其主要目的是用于DDoS攻击。

Mozi使用DHT协议来实现，该协议基于torrent客户端和其他P2P平台，通常用于存储节点联系信息的标准。

这项协议使僵尸网络的速度更快，并且无需使用服务器，此外还能够隐藏在DHT流量中的有效负载，以逃避检测。

为了确保组件的完整性和安全性，Mozi还使用了ECDSA384和XOR算法。

感染途径及影响

这个僵尸网络是如何和几大品牌的路由器有所关联呢？

又回到我们经常说起的话题：弱密码。

Mozi正是看准了这几种品牌中部分型号的弱密码设备，顺利登录后利用telnet将恶意软件传播到新的易受攻击的设备，并成功执行恶意负载，将受感染的设备自动加入Mozi P2P网络作为新节点。

下一阶段就是从攻击者控制的主服务器接收并执行命令了。

此外，为了确保僵尸网络不会其他攻击者接管，Mozi会在网络节点上设置自动验证，只有通过内置检查的命令才能被执行，最终发起大型DDoS攻击。

易受感染的型号

那么具体有哪些型号容易受到感染呢？如下所示：

近年来，P2P僵尸网络的攻击越来越普遍。

例如，2016年秋季Hajime被发现后的六个月内感染了30万台设备，  Hide'N Seek在2018年9月的短短几天内感染数超过90,000台设备。

尽管对于P2P僵尸网络的防御较难实现，但在了解更多Mozi的细节和弱点之前，任何人都可以猜测其可行性。

而对于受感染路由器的修补也应尽快落实，避免大型网络瘫痪的可能。

* 本文由看雪编辑 LYA 编译自 Bleeping Computer，转载请注明来源及作者。

* 原文链接：

d35K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2T1L8r3g2W2M7r3W2F1k6$3y4G2L8i4m8#2N6r3g2J5i4K6u0W2j5$3!0E0i4K6u0r3L8X3g2%4M7#2)9J5c8Y4y4W2j5%4g2J5K9i4c8&6i4K6u0r3L8X3g2%4i4K6u0V1L8h3!0*7K9g2)9J5k6s2l9J5M7q4)9J5k6r3u0G2N6r3&6W2N6q4)9J5k6s2c8S2K9$3g2K6i4K6u0V1L8%4k6W2M7W2)9J5k6r3&6W2N6r3N6W2j5i4u0Q4x3X3c8V1i4K6u0V1L8r3W2F1K9#2)9J5k6r3S2#2j5i4N6W2K9g2)9J5k6s2u0G2N6i4c8W2M7Y4y4Q4x3V1j5`.