今年夏天,法國憲兵隊取得了漂亮的勝利,消滅了由超過 85 萬台電腦組成的殭屍網路。這些殭屍機器主要位於拉丁美洲,被名為 Retadup 的蠕蟲病毒感染,其主要目標是安裝門羅幣挖礦軟體。另一方面,命令與控制 (C&C) 伺服器大部分託管在法蘭西島。這就是為什麼成功識別出這項基礎設施的 Avast 安全研究人員於 2019 年 3 月下旬向 C3N(打擊數位犯罪中心)的憲兵求助。位於美國的另一部分基礎設施在聯邦調查局的幫助下被拆除。
手術的過程還蠻有趣的。先前對 Retadup 蠕蟲病毒副本的分析使 Avast 研究人員能夠檢測到 C&C 伺服器通訊協定中的缺陷。由於此漏洞,只要您可以控制這些伺服器,就可以向殭屍電腦發送消毒腳本。
消毒伺服器取代了盜版伺服器
憲兵們向巴黎檢察官辦公室報告了這一拆除場景,並獲得了批准。 7月2日,C&C伺服器被替換為消毒伺服器,消毒伺服器連接到殭屍機器,向它們傳輸解毒劑。在美國,聯邦調查局也採用了同樣的場景。到 7 月 8 日,駭客不再能夠控制受害者的機器。這是“世界第一”歡迎國家憲兵來到法新社。
順便說一句,警方還設法在 C&C 伺服器被斷開之前謹慎地複製了它們。該副本的部分內容已轉移給 Avast 研究人員,從而使他們能夠準確地了解受害者的地理分佈。受影響最嚴重的國家是秘魯,有 322,340 台計算機,其次是委內瑞拉和玻利維亞,分別有 130,469 台和 83,858 台受感染計算機。
有趣的小細節:C&C 伺服器本身被名為 Neshta/Apanas 的特洛伊木馬感染。他們永遠是鞋子最糟糕的鞋匠!“這表明惡意軟體作者也應該使用防毒軟體”,開玩笑地強調了 Avast 研究人員的說法。
來源:阿瓦斯特
