返回新闻列表

卡巴斯基实验室携手CrowdStrike 解除第二个Hlux/Kelihos 僵尸网络危机

        在对抗僵尸网络运营以及网络犯罪方面,卡巴斯基实验室的专家同CrowdStrike Intelligence Team、Dell SecureWorks以及Honeynet Project的成员一道,成功打掉和关闭了第二个Hlux僵尸网络(又被称为Kelihos僵尸网络)。第一个Hlux/Kelihos僵尸网络于2011年9月被关闭,而最新被关闭的这个僵尸网络的规模是其规模的近三倍。在开始执行打击该僵尸网络行动的5天内,卡巴斯基实验室就为109,000台受感染计算机清除了感染。而第一个Hlux/Kelihos僵尸网络大约只感染了40,000台计算机。

第一个Hlux/Kelihos僵尸网络

        这已经不是卡巴斯基实验室第一次同Hlux/Kelihos僵尸网络打交道了。2011年9月,卡巴斯基实验室同微软打击数字犯罪小组、SurfNet和Kyrus Tech,Inc一起,成功关闭了首个Hlux/Kelihos僵尸网络。期间,卡巴斯基实验室执行了排污行动,通过命令控制服务器(C&C)关闭了僵尸网络及其备份基础设施。

        尽管首个Hlux僵尸网络已被关闭并得到控制,但卡巴斯基实验室的专家在2012年1月发表的一篇最新的研究报告中指出,第二个Hlux/Kelihos僵尸网络已经在运行。虽然这个僵尸网络是新的,但其中所使用的恶意软件代码同首个Hlux/Kelihos僵尸网络所使用的代码一致。新的恶意软件表明第二个僵尸网络进行了功能升级,包括感染手段以及比特币采集和电子钱包盗窃功能。同之前的僵尸网络一样,新的僵尸网络会利用受感染计算机发送垃圾邮件、窃取用户个人数据,并针对特定目标实施DDoS攻击。

第二个Hlux/Kelihs僵尸网络是如何被关闭的

        2012年3月19日那周,卡巴斯基实验室和CrowdStrike Intelligence Team、Dell SecureWorks以及Honeynet Project共同启动了排污行动,成功关闭了第二个僵尸网络。这两个Hlux/Kelihos僵尸网络都是点对点(P2P)类型的僵尸网络,即网络中的任何一台受感染计算机,都可以充当服务器或客户端。而传统的僵尸网络则不同,必须依靠一台唯一的C&C服务器。为了打掉这一灵活的P2P僵尸网络,来自上述公司和组织的安全专家创建了一个分布式计算机全球网络,将其安装在僵尸网络的基础设施中。经过短暂时间后,排污网络在僵尸网络中的影响力逐渐增强,使得越来越多的受感染计算机被卡巴斯基实验室专家所控制,同时阻止恶意僵尸网络操作者访问这些计算机。随着越来越多的受感染计算机中的恶意程序被清除,使得僵尸网络的P2P架构逐渐失效。其控制的计算机数量开始急剧下降,威力也成倍下降。

        自3月19日排污行动开始后,该僵尸网络就已经无法被操作。目前,大多数被感染的计算机都已经连接到排污网络。卡巴斯基实验室的专家可以利用僵尸网络收集到的信息,追踪此次僵尸网络造成的感染情况和地理分布趋势。

        截止到目前,卡巴斯基实验室已经发现109,000台受感染计算机。其中大部分IP地址都位于波兰。

        想要了解本次关闭最新Hlux/Kelihos僵尸网络行动的详细分析,请访问Securelist上的最新博文。

        卡巴斯基实验室在此对CrowdStrike Intelligence Team、Dell SecureWorks和Honeynet Project在此次行动中的支持表示感谢。