來源：歐洲刑警

由歐洲刑警領導並聯同 30 多國執法、司法機構及保安研究員採取聯合行動，關閉名為「雪崩（Avalanche）」的網絡犯罪寄存平台。是次行動共逮捕 5 人及扣查 39 部伺服器，另透過寄存服務商關閉 221 部伺服器。超過 830,000 個網站域名被暫停、阻截及「接管（sinkhole）」。

「雪崩」於 2009 年建立，由全球約 600 部伺服器組成，主要被網絡罪犯用於發放財務犯罪軟件（如 Zeus、SpyEye）、對受感染的裝置發出指令（如寄出詐騙電郵、進行洗錢活動）。為隱藏伺服器的真正位置，該平台會利用代理伺服器及「雙重匿蹤（double fast flux）」技術，即每 5 分鐘更改惡意域名的 DNS 及 IP 地址，該受感染裝置連接到平台。

經濟損失及有港人受影響

據英國執法部門估計，透過「雪崩」平台進行的犯罪活動造成數以億計美元經濟損失。在「雪崩」平台常見的惡意軟件通常會感染視窗電腦，然後盗取登入資料及進行其他配合詐騙的非法活動。

由德國 CERT-Bund 及保安研究組織 Shadowserver 提供的資料，有位於香港的裝置曾連接到「雪崩」平台。經整理初步資料，約 350 個香港 IP 地址受影響，當中涉及超過 50 間 ISP 。我們將於下周通知相關 ISP 聯絡他們的客戶。

我怎樣知道及處理裝置受感染？

• 受影響裝置的用戶將收到 ISP 通知。你亦可自行掃描電腦檢查有否受感染。
• 請確保你的保安軟件如防毒軟件已更新。你可使用已安裝的軟件檢查及移除惡意軟件。
• 假如未能更新或繼續使用原有的保安軟件，請下載 Microsoft Safety Scanner 掃描及移除惡意軟件：
  https://www.microsoft.com/security/scanner/default.aspx

防止受惡意軟件感染的建議

• 在裝置安裝基本的保安軟件，並確保軟件更新。
• 確保操作系統及軟件包括插件已安裝最新的保安更新。
• 請勿打開可疑電郵內的附件或連結。
• 備份重要檔案，並不要把備份與裝置連線（如備份後移除 USB 裝置）。
• 定期進行掃描以確保裝置獲得基本保護。

參考資料

• http://www.eurojust.europa.eu/press/PressReleases/Pages/2016/2016-12-01.aspx
• http://www.nationalcrimeagency.gov.uk/news/962-avalanche-takedown
• https://www.bsi-fuer-buerger.de/BSIFB/DE/Risiken/BotNetze/BotNets/botnets_node.htm
• http://blog.shadowserver.org/2016/12/01/avalanche/
• https://www.us-cert.gov/ncas/alerts/TA16-336A
• https://krebsonsecurity.com/2016/12/avalanche-global-fraud-ring-dismantled/