返回新闻列表

揭秘超强Bredolab僵尸网络 疯狂感染3000万台计算机

        近日,卡巴斯基实验室发表了一篇题为《Bredolab僵尸网络的终结》的分析文章,文章作者为卡巴斯基实验室恶意软件分析师Alexey Kadiev。Bredolab僵尸网络成型于2009年中,感染并控制了全球约3000万台计算机。今年十月,荷兰警方网络犯罪调查科宣布他们已经关闭了143个Bredolab僵尸网络的控制服务器。Alexey Kadiev在文章中详细分析了该僵尸网络的商业模式以及创建僵尸网络所使用的恶意软件技术,揭秘其为何能够在如此长的时间内成功运转。

        Bredolab僵尸网络的主要目的是下载其他恶意程序到受感染计算机。该僵尸网络一个最显著的特点是其操作方式,即利用合法的已经被攻陷的网站对僵尸程序进行传播。访问这些网站的计算机用户会被重定向到包含恶意资源的地址,从而造成计算机被Backdoor.Win32.Bredolab僵尸程序所感染。之后,Bredolab僵尸程序会下载其他恶意程序到受感染计算机,其中包括一种可以窃取FTP账号的木马。过一段时间后,丢失FTP账号的网站也会被感染。因为网络罪犯会利用窃取到的网站FTP用户名和密码,下载网站部分内容,然后利用服务器将其中注入恶意代码,然后再上传回网站,造成网站被感染。当再有其他用户访问该被感染网站时,上述过程就会从头开始。毫无疑问,该僵尸网络的自我维系和推广能力非常有效。尽管如此,网络罪犯还在不停地寻找其他新的传播方式,目的就是将这个邪恶的网铺地更大更广。举例来说,其恶意代码可以被嵌入一些非常知名和常用的网站中,或者可以伪装成Twitter、YouTube、Amazon、Facebook以及Skype等网站或网络服务发送垃圾邮件,通过邮件途径大肆传播。

        Alexey Kadiev说:“由于Bredolab僵尸网络非常复杂,所以控制它的应该不是一个人,而是多个网络罪犯。但是目前,仅有一名网络罪犯由于同该僵尸网络有关联而被捕。所以很可能控制该僵尸网络的网络罪犯集团其他成员仍然在积极进行恶意活动,毕竟该僵尸网络的传播和操作手段都非常有效。”

        网站编码中的漏洞可能会导致网站被感染。为了减小网络罪犯利用漏洞感染网站的风险,网站需要留意软件升级的更新,及时更新网站所使用的软件。此外,还有一些服务可以对恶意软件代码和未授权的网站内容变化进行扫描。出于安全考虑,最好将FTP客户端软件中的自动保存账号木马功能禁用。很多恶意程序会窃取FTP账号和密码,尤其Bredolab僵尸网络所使用的Trojan-PSW.Win32.Agent.qgg木马。该木马会会查找用户保存在受感染计算机上的密码,一旦发现,就会将其窃取。对网站管理员来说,可以定期对网站进行备份,备份内容包括所有重要数据、数据库和文件。这样即使遭遇感染,也会保证数据安全。

        欲浏览此分析文章全文,请访问:www.securelist.com/en.