多方協力:感染77萬臺PC的Simda僵尸網絡已被摧毀
責編:cnetsec |2015-04-14 17:31:50在過去的半年時間里,名叫Simda的僵尸網絡,每個月都會新增感染12.8萬臺計算機。而其幕后的控制者,則通過它留下了安裝更多惡意軟件的后門、并且竊取受害者的網銀憑證。好消息是,在執法機構和私營企業的聯手打擊之下,這個僵尸網絡已經正式宣告被摧毀。在此之前,Simda已經感染了全球190個國家和地區超過77萬臺計算機。
通過分析木馬的行為和后門特征,相關機構找到了Simda的幕后主使。而每隔幾個小時,該木馬都會搶在許多殺毒軟件之前重新加殼演化,這使得它很難被人根除。
Simda的操控者借助了各種方法來感染計算機,包括利用已知的軟件漏洞(比如Oracle Java、Adobe Flash和微軟Silverlight)。
他們會借助Blackhole和Styx等套件,找到合適的網站漏洞來實施SQL注入;此外這幫人也會利用發送垃圾郵件等社會工程方式。
受影響最嚴重的國家包括美國(占感染計算機總數的22%)、英國和土耳其(均為5%)、以及加拿大和俄羅斯(均為4%)。
該惡意軟件會修改Windows計算機中的HOSTS文件,并將域名映射到特定的IP地址。如此一來,當受害者訪問rconnect.facebook.net或google-analytics.com等網站的時候,就會被暗中轉移到被攻擊者控制的下屬服務器。
通常情況下,即使Simda的本體被消滅,HOSTS文件仍會駐留在系統之中,因此反復感染就變得難以避免。
安全研究人員建議任何可能被感染的人們檢查其HOSTS文件(通常位于%SYSTEM32%\drivers\etc\hosts目錄)。
本次打擊行動共掃除了位于荷蘭、美國、盧森堡、波蘭、以及俄羅斯等地的14臺命令控制服務器,參與行動的機構包括荷蘭國家高科技犯罪小組(DNHTCU)、美國聯邦調查局(FBI)、盧森堡Nouvelles Technologies公司的Grand-Ducale部門、俄羅斯打擊網絡犯罪部門,另外還有微軟、卡巴斯基實驗室、趨勢科技、以及日本網絡防御研究所的協助。