在过去的半年时间里,名叫Simda的僵尸网络,每个月都会新增感染12.8万台计算机。而其幕后的控制者,则通过它留下了安装更多恶意软件的后门、并且窃取受害者的网银凭证。好消息是,在执法机构和私营企业的联手打击之下,这个僵尸网络已经正式宣告被摧毁。在此之前,Simda已经感染了全球190个国家和地区超过77万台计算机。 通过分析木马的行为和后门特征,相关机构找到了Simda的幕后主使。而每隔几个小时,该木马都会抢在许多杀毒软件之前重新加壳演化,这使得它很难被人根除。 Simda的操控者借助了各种方法来感染计算机,包括利用已知的软件漏洞(比如Oracle Java、Adobe Flash和微软Silverlight)。 他们会借助Blackhole和Styx等套件,找到合适的网站漏洞来实施SQL注入;此外这帮人也会利用发送垃圾邮件等社会工程方式。 受影响最严重的国家包括美国(占感染计算机总数的22%)、英国和土耳其(均为5%)、以及加拿大和俄罗斯(均为4%)。 该恶意软件会修改Windows计算机中的HOSTS文件,并将域名映射到特定的IP地址。如此一来,当受害者访问rconnect.facebook.net或google-analytics.com等网站的时候,就会被暗中转移到被攻击者控制的下属服务器。 通常情况下,即使Simda的本体被消灭,HOSTS文件仍会驻留在系统之中,因此反复感染就变得难以避免。 安全研究人员建议任何可能被感染的人们检查其HOSTS文件(通常位于%SYSTEM32%\drivers\etc\hosts目录)。 本次打击行动共扫除了位于荷兰、美国、卢森堡、波兰、以及俄罗斯等地的14台命令控制服务器,参与行动的机构包括荷兰国家高科技犯罪小组(DNHTCU)、美国联邦调查局(FBI)、卢森堡Nouvelles Technologies公司的Grand-Ducale部门、俄罗斯打击网络犯罪部门,另外还有微软、卡巴斯基实验室、趋势科技、以及日本网络防御研究所的协助。 [编译自:ArsTechnica] 相关文章: [图]微软恶意软件清除工具加入了盗密码木马检测功能
