多方协力:感染77万台PC的Simda僵尸网络已被摧毁
在过去的半年时间里,名叫Simda的僵尸网络,每个月都会新增感染12.8万台计算机。而其幕后的控制者,则通过它留下了安装更多恶意软件的后门、并且窃取受害者的网银凭证。好消息是,在执法机构和私营企业的联手打击之下,这个僵尸网络已经正式宣告被摧毁。在此之前,Simda已经感染了全球190个国家和地区超过77万台计算机。
通过分析木马的行为和后门特征,相关机构找到了Simda的幕后主使。而每隔几个小时,该木马都会抢在许多杀毒软件之前重新加壳演化,这使得它很难被人根除。
Simda的操控者借助了各种方法来感染计算机,包括利用已知的软件漏洞(比如Oracle Java、Adobe Flash和微软Silverlight)。
他们会借助Blackhole和Styx等套件,找到合适的网站漏洞来实施SQL注入;此外这帮人也会利用发送垃圾邮件等社会工程方式。
受影响最严重的国家包括美国(占感染计算机总数的22%)、英国和土耳其(均为5%)、以及加拿大和俄罗斯(均为4%)。
该恶意软件会修改Windows计算机中的HOSTS文件,并将域名映射到特定的IP地址。如此一来,当受害者访问rconnect.facebook.net或google-analytics.com等网站的时候,就会被暗中转移到被攻击者控制的下属服务器。
通常情况下,即使Simda的本体被消灭,HOSTS文件仍会驻留在系统之中,因此反复感染就变得难以避免。
安全研究人员建议任何可能被感染的人们检查其HOSTS文件(通常位于%SYSTEM32%\drivers\etc\hosts目录)。
本次打击行动共扫除了位于荷兰、美国、卢森堡、波兰、以及俄罗斯等地的14台命令控制服务器,参与行动的机构包括荷兰国家高科技犯罪小组(DNHTCU)、美国联邦调查局(FBI)、卢森堡Nouvelles Technologies公司的Grand-Ducale部门、俄罗斯打击网络犯罪部门,另外还有微软、卡巴斯基实验室、趋势科技、以及日本网络防御研究所的协助。
相关文章
- 5条评论
- 末屿袖间2022-05-29 09:53:41
- a的幕后主使。而每隔几个小时,该木马都会抢在许多杀毒软件之前重新加壳演化,这使得它很难被人根除。Simda的操控者借助了各种方法来感染计算机,包括利用已知的软件漏洞(比如Oracle
- 澄萌桃靥2022-05-29 05:50:37
- 与行动的机构包括荷兰国家高科技犯罪小组(DNHTCU)、美国联邦调查局(FBI)、卢森堡Nouvelles Technologies公司的Grand-Ducale部门、俄罗斯打击网络犯罪部门,另外还有微软
- 惑心幕倦2022-05-29 07:15:27
- 在过去的半年时间里,名叫Simda的僵尸网络,每个月都会新增感染12.8万台计算机。而其幕后的控制者,则通过它留下了安装更多恶意软件的后门、并且窃取受害者的网银凭证。好消息是,在执法机构和私营企业的联手打击之下,这个僵尸网络已经正式宣告被摧毁。在此之前,
- 听弧绾痞2022-05-29 09:38:20
- HTCU)、美国联邦调查局(FBI)、卢森堡Nouvelles Technologies公司的Grand-Ducale部门、俄罗斯打击网络犯罪部门,另外还有微软、卡巴斯基实验室、趋势科
- 忿咬绿脊2022-05-29 08:03:24
- 会驻留在系统之中,因此反复感染就变得难以避免。安全研究人员建议任何可能被感染的人们检查其HOSTS文件(通常位于%SYSTEM32%\drivers\etc\host