今年夏天,法国宪兵队取得了一场漂亮的胜利,消灭了由超过 85 万台计算机组成的僵尸网络。这些僵尸机器主要位于拉丁美洲,被名为 Retadup 的蠕虫病毒感染,其主要目标是安装门罗币挖矿软件。另一方面,命令与控制 (C&C) 服务器大部分托管在法兰西岛。这就是为什么成功识别出这一基础设施的 Avast 安全研究人员于 2019 年 3 月下旬向 C3N(打击数字犯罪中心)的宪兵求助。位于美国的另一部分基础设施在联邦调查局的帮助下被拆除。
手术的过程还是蛮有趣的。之前对 Retadup 蠕虫病毒副本的分析使 Avast 研究人员能够检测到 C&C 服务器通信协议中的缺陷。由于此漏洞,只要您可以控制这些服务器,就可以向僵尸计算机发送消毒脚本。
消毒服务器取代了盗版服务器
宪兵们向巴黎检察官办公室报告了这一拆除场景,并获得了批准。 7月2日,C&C服务器被替换为消毒服务器,消毒服务器连接到僵尸机器,向它们传输解毒剂。在美国,联邦调查局也采用了同样的场景。到 7 月 8 日,黑客不再能够控制受害者的机器。这是“世界第一”欢迎国家宪兵来到法新社。
顺便说一句,警方还设法在 C&C 服务器被断开之前谨慎地复制了它们。该副本的部分内容已转移给 Avast 研究人员,从而使他们能够准确了解受害者的地理分布。受影响最严重的国家是秘鲁,有 322,340 台计算机,其次是委内瑞拉和玻利维亚,分别有 130,469 台和 83,858 台受感染计算机。
有趣的小细节:C&C 服务器本身被名为 Neshta/Apanas 的特洛伊木马感染。他们永远是鞋子最差的鞋匠!“这表明恶意软件作者也应该使用防病毒软件”,开玩笑地强调了 Avast 研究人员的说法。
来源:阿瓦斯特
