เจ้าหน้าที่บังคับใช้กฎหมายได้ทำลายหนึ่งในบอตเน็ตที่ใหญ่ที่สุดบนอินเทอร์เน็ต มันถูกใช้เพื่อเผยแพร่มัลแวร์อื่น ๆ อีกมากมายทั่วโลก
การบังคับใช้กฎหมายเพิ่งจัดการกับ Andromeda หรือที่รู้จักในชื่อ Gamarue หรือ Wauchos ซึ่งเป็นบอตเน็ตที่แพร่ระบาดในเครื่องหลายล้านเครื่องทั่วโลก รวมถึงในยุโรปด้วย การรื้อดำเนินการโดย FBI ร่วมกับยุโรป,Eurojust และตำรวจLüneburg (เยอรมนี) บริษัทเอกชนไมโครซอฟต์etเอเซตยังได้ร่วมแบ่งปันองค์ความรู้อีกด้วย
การดำเนินการดังกล่าวทำให้สามารถระบุและตรึงโดเมน 1,214 รายการและที่อยู่ IP ของเซิร์ฟเวอร์คำสั่งและการควบคุมได้ หลังจัดการบ็อตเน็ตที่แตกต่างกัน 464 แห่งทั่วโลก จากข้อมูลของ Microsoft การสกัดกั้นกระแสการสื่อสารทำให้สามารถระบุที่อยู่ IP ที่ไม่ซ้ำกันสองล้านรายการของเหยื่อใน 223 ประเทศ ผู้ต้องสงสัยก็ถูกจับกุมในเบลารุสด้วย
Andromeda วางตลาดในฟอรัมแฮ็กเกอร์มาตั้งแต่ปี 2554 ในรูปแบบของชุดซอฟต์แวร์แบบแยกส่วน “ปลั๊กอิน” ของมันอนุญาตให้บันทึกการกดแป้นพิมพ์ (Keylogger, $150), เก็บข้อมูลเว็บ (Formgrabber, $250) และควบคุมเครื่อง (Teamviewer, $250)
บางโมดูลจะรวมอยู่ใน Andromeda โดยอัตโนมัติ โดยเฉพาะอย่างยิ่งในกรณีของโมดูลการสื่อสาร Socks4/5 ซึ่งแปลงเครื่องที่ติดไวรัสให้เป็นพร็อกซีเซิร์ฟเวอร์สำหรับการกระจายมัลแวร์ ซึ่งเป็นหนึ่งในทรัพย์สินหลักของบอตเน็ตนี้ ตามที่ผู้จัดพิมพ์ Andromeda ได้เปิดใช้งานการกระจายมัลแวร์มากกว่า 80 ตระกูล: ransomware (Petya, Cerber, Troldesh), ม้าโทรจัน (Ursnif, Carberg), ผู้จัดจำหน่ายสแปม (Lethic, Cutwail) ฯลฯ .
แอนโดรเมดาเองก็ออกอากาศหลายวิธี ผู้ที่ตกเป็นเหยื่อติดไวรัสผ่านอีเมลที่ติดกับดัก ไซต์ที่ติดกับดัก ลิงก์ที่ติดกับดักบนโซเชียลเน็ตเวิร์ก หรือม้าโทรจัน เมื่อเร็ว ๆ นี้แฮกเกอร์ได้เพิ่มเวกเตอร์การแพร่กระจายโดยการติดไวรัสคีย์ USB
รายละเอียดเล็กๆ น้อยๆ ที่น่าสนใจ: ก่อนที่จะติดตั้งตัวเองบนพีซี บ็อตเน็ตนี้จะตรวจสอบว่าไม่ใช่เครื่องของรัสเซีย เบลารุส ยูเครน หรือคาซัค ซึ่งบ่งบอกว่าผู้เขียนมัลแวร์นี้มาจากประเทศเหล่านี้ มัลแวร์จะหายไปหากตรวจพบว่ามีโปรแกรมป้องกันไวรัส เครื่องเสมือน หรือซอฟต์แวร์วิเคราะห์มัลแวร์
เมื่อติดตั้งแล้ว Andromeda จะพยายามสร้างคลื่นให้น้อยที่สุด ประกอบด้วยเทคนิคหลายอย่างที่ช่วยให้สามารถรักษาความสุขุมรอบคอบได้ ดังนั้นจึงฝังรูทคิทซึ่งช่วยให้สามารถแทรกโค้ดลงในกระบวนการที่ถูกต้องตามกฎหมายต่างๆ ของระบบได้ สำหรับปลั๊กอิน โดยทั่วไปจะถูกจัดเก็บไว้ในรีจิสทรีของ Windows ซึ่งทำให้แน่ใจได้ว่าจะไม่ทิ้งร่องรอยไว้ในระบบไฟล์ Andromeda จะพยายามปิดใช้งานฟังก์ชันบางอย่างที่อาจเป็นอันตรายต่อฟังก์ชันดังกล่าว เช่น ไฟร์วอลล์ การอัปเดตอัตโนมัติ หรือฟังก์ชันการควบคุมบัญชีผู้ใช้
🔴 เพื่อไม่ให้พลาดข่าวสารจาก 01net ติดตามเราได้ที่Google ข่าวสารetวอทส์แอพพ์-
