威脅情報業者Anubis Networks於近日指出，全球最大殭屍網路Necurs在最近新增了分散式阻斷服務（Distributed Denial of Service，DDoS）模組，意謂著它除了用來傳送大量的垃圾郵件，並且夾帶惡意軟體之外，還具備了發動DDoS攻擊的能力。

Necurs掌控了全球將近500萬台的殭屍電腦，雖然它被用來遞送許多惡意程式，最知名的是勒索軟體Locky，然而，它不僅僅是個垃圾郵件機器人，還是個惡意程式模組，其主要模組為可動態載入其他模組的rootkit程式。

Anubis指出，迄今雖然有許多有關Necurs的研究，但範圍不脫rootkit、網域產生演算法（Domain Generation Algorithm，DGA）或垃圾郵件模組，但對於Necurs在垃圾郵件模組之外的是否載入其他模組一直沒有太多公開資訊。

但約莫在半年前，Anubis發現Necurs使用了不同的通訊埠，並載入了兩個不同的模組，其中一個為外界所熟知的垃圾郵件模組，另一個在以反向工程分析後，顯示它是一個可接受遠端命令的SOCKS/HTTP代理模組，代表駭客將能操縱Necurs殭屍網路以針對任何目標提出HTTP或UDP的無限請求，造成DDoS攻擊。

Anubis指出，該DDoS模組的時間戳為2016年8月23日，而且每天以下載至100萬台電腦的速度在擴散，讓Necurs成為擁有可造成強大DDoS攻擊的能耐。

在Necurs具備DDoS功能之後，其所能造成的損害將難以估計，現階段最大的物聯網（IoT）殭屍網路Mirai Botnet約掌控40萬個IoT裝置，在規模還只有十幾萬的時候，就能帶來接近1Tbps的攻擊流量，摧毀了資安部落格KrebsOnSecurity、拖慢了法國網站代管服務供應商OVH的效能，還參與了鎖定DNS服務供應商Dyn的DDoS攻擊。

不過，Anubis迄今尚未發現Necurs發動或參與任何的DDoS攻擊行動。