執法部門剛剛對 Andromeda(又稱 Gamarue 或 Wauchos)造成致命打擊,該殭屍網路已感染包括歐洲在內的世界各地數百萬台機器。此次拆除行動是由聯邦調查局 (FBI) 與歐洲刑警組織、歐洲司法組織和呂訥堡警察局(德國)。私人公司微軟等埃塞特也貢獻了他們的專業知識。
此次行動識別並凍結了命令和控制伺服器的 1,214 個網域和 IP 位址。後者在全球管理 464 個不同的殭屍網路。據微軟稱,透過攔截通訊流,可以識別 223 個國家/地區的 200 萬個受害者的唯一 IP 位址。一名嫌疑犯也在白俄羅斯被捕。
自 2011 年以來,Andromeda 一直以模組化軟體包的形式在駭客論壇上銷售。例如,它的「插件」可以記錄鍵盤按鍵(Keylogger,150 美元)、擷取網路資料(Formgrabber,250 美元)以及控制機器(Teamviewer,250 美元)。
有些模組會自動包含在 Andromeda 中。 Socks4/5 通訊模組尤其如此,該模組將受感染的電腦轉變為用於分發惡意軟體的代理伺服器,而惡意軟體是該殭屍網路的主要資產之一。據發布者稱,Andromeda 已經實現了 80 多個惡意軟體家族的傳播:勒索軟體(Petya、Cerber、Troldesh)、特洛伊木馬(Ursnif、Carberg)、垃圾郵件傳播者(Lethic、Cutwail)等。
仙女座本身以多種方式進行廣播。受害者透過誘殺電子郵件、誘殺網站、社交網路上的誘殺連結或特洛伊木馬而受到感染。最近,駭客甚至透過感染 USB 金鑰來添加傳播媒介。
有趣的小細節:在將其安裝到 PC 之前,該殭屍網路會檢查它是否不是俄羅斯、白俄羅斯、烏克蘭或哈薩克的機器。這表明該惡意軟體的作者來自這些國家。如果惡意軟體偵測到防毒軟體、虛擬機器或惡意軟體分析軟體的存在,它也會離開。
一旦安裝完畢,Andromeda 就會盡量少掀起波瀾。它結合了多種技術,使其保持謹慎。因此,它嵌入了一個rootkit,允許它將其程式碼注入系統的各種合法進程中。至於插件,它們一般都儲存在Windows註冊表中,這可以確保它們不會在檔案系統中留下痕跡。 Andromeda 也會嘗試停用某些可能對其造成損害的功能,例如防火牆、自動更新或使用者帳號控制功能。
