跳至主內容

ZeroAccess 殭屍網絡在香港的偵測及清理

發佈日期: 2013年12月10日 5936 觀看次數

 

 

HKCERT估計香港約有2,500台電腦受感染成為ZeroAccess 殭屍網絡。為免你的電腦成為黑客工具,你可以依照我們提供步驟偵測電腦是否受感染及進行清理。

 

1. HKCERT 對 ZeroAccess 殭屍網絡感染作出的清理行動

在 2013 年 11 月,HKCERT 收到 Symantec Security Response及 Shadowserver Foundation關於香港網絡受 ZeroAccess 殭屍網絡感染的報告。香港約有 2,500 個 IP 地址曾連接到由保安研究人員設立的 sinkhole 偵測系統(即模擬殭屍網絡指揮控制中心的伺服器),反映使用這些 IP 地址進行連線的電腦可能已受 ZeroAccess 惡意程式感染,並成為 ZeroAccess 殭屍網絡的一分子。我們收到報告後,已通知管理這些 IP 地址的網絡供應商,提醒他們客戶的電腦可能已受感染。

 

2. ZeroAccess 殭屍網絡造成的影響

ZeroAccess,別名 Sirefef, max++ ,是目前其中一個最大型點對點(P2P)運作模式的殭屍網絡,全球約有 200萬台電腦已受感染。美國是最受影響的國家,佔 28.76% [1]。

 

圖一:10大感染國家 (圖片來源:Symantec)

 

ZeroAccess是一種針對Windows 作業系統的惡意程式,最早於 2011 年發現,主要透過以下多個途徑進行散播 [2]:

  • 開啟電郵附件/連結
  • 安裝軟件破解程式
  • 開啟偽裝媒體檔案
  • 瀏覽含有攻擊套件(Exploit kits)的網站

 

它會在受感染的電腦建立一個惡意軟件下載平台,透過點對點網絡下載及安裝其他惡意插件來執行不同任務。有別與一般惡意程式,它並不是以直接偷取電腦上帳戶資料獲利,而是利用受感染電腦執行以下任務而獲利,包括:

  • 安裝付費 (Pay-per-install) ,即向其他黑客售賣在受感染電腦上安裝軟件服務
  • 廣告欺詐點擊(Click Fraud)
  • 比特幣採礦(Bitcoin mining)

 

根據保安研究人員估計,ZeroAccess殭屍網絡利用上述方法,黑客每年可以從中賺取數以千萬美元利潤。此外,研究人員發現它在受感染的電腦上執行任務會消耗額外電源,估計整個ZeroAccess 殭屍網絡每日消耗 3,458 MWh電力,足以應付111,000戶家庭一日電力所需 [3]。

 

3. 如何偵測及清除 ZeroAccess 惡意程式

若懷疑你的電腦受 ZeroAccess 惡意程式感染,請按以下步驟使用 Microsoft Safety Scanner 為電腦進行完整掃描:

  1. http://www.microsoft.com/security/scanner/zh-hk/ 按「立即下載」下載 Microsoft Safety Scanner。


     
  2. 執行 msert.exe。安裝前,你需要勾選「接受上述授權合約中所有的條款」接受授權合約。假如你接受合約,按「下一步」繼續。


     
  3. 選擇「完整掃描」,然後按「下一步」開始掃描。


     
  4. 掃描會進行一段時間。視乎你的電腦檔案數目,整個掃描可能需要數小時。


     
  5. 如果你的電腦未受任何惡意程式感染,會顯示未偵測到疾病毒、間諜軟件和其他潛在的垃圾軟件。


     
  6. 如果你的電腦受 ZeroAccess 惡意程式感染,掃描器會偵測並移除惡意程式。


     

其他清理工具:

 

諾頓™清除大師
https://security.symantec.com/nbrt/npe.aspx
  • 若需使用諾頓清除大師的更多資訊,請按一下 這裡 以取得教學。

 
https://download.sp.f-secure.com/tools/F-SecureOnlineScanner.exe
  • 若需使用F-Secure Online Scanner的更多資訊,請按一下 這裡 以取得教學。

 

4. 參考資料

以下是上述備註的參考資料及關於 ZeroAccess 殭屍網絡的其他技術詳情。