偽裝盜版軟體的ZeroAccess殭屍網路剷除行動,後續影響

在去年十二月,微軟和某些執法單位合作,宣布剷除了ZeroAccess的運作。然而,這也意外地影響到另一個著名的殭屍網路/傀儡網路 Botnet – TDSS。

hacker with hat

 TDSS和ZeroAccess

ZeroAccess是世上最著名的殭屍網路/傀儡網路 Botnet之一,其惡意軟體以Rootkit能力聞名。它通常會偽裝成盜版軟體,透過點對點網路(P2P)來下載。同樣地,TDSS也是以利用Rootkit技術來閃躲偵測而著稱,並且會散播其他惡意軟體,如假防毒軟體DNS變更木馬。這兩種殭屍網路都和點擊詐騙( clickjack)有關

趨勢科技之前的文章裡,我們提到特定的ZeroAccess變種如何導向到和TDSS相關的網址,顯示出這兩個殭屍網路共享了部分的命令與控制(C&C)基礎設施。由於我們在監控兩個殭屍網路之間的連結,因此發現ZeroAccess客戶感染和通訊數量在剷除行動後的第二天有顯著地下降。在這些感染ZeroAccess的系統裡,只有2.8%嘗試(但失敗了)跟其C&C伺服器進行通訊。

 

圖一、2013年11月到12月的ZeroAccess活動

在同一時期,趨勢科技觀察到TDSS的點擊詐騙運作也受到明顯地影響。和點擊詐騙相關的TDSS通訊次數在12月5日之後幾日下降了,也就是微軟宣布剷除ZeroAccess殭屍網路/傀儡網路 Botnet的那天。然而,這些活動在年底突然出現高峰,顯示TDSS的點擊詐騙活動仍然在活躍著,剷除行動可能只造成暫時的影響。

圖二、2013年11月到12月的TDSS點擊詐騙活動

 

然而,TDSS的感染和通訊數量並沒有被剷除行動所影響,表示它只有點擊詐騙( clickjack)方面受到影響。

 

圖三、2013年11月到12月的TDSS活動

 

殭屍網路連結

TDSS點擊詐騙運作的顯著下降,是因為它和ZeroAccess本身點擊詐騙( clickjack)

活動的關連。正如我們之前的研究所指出,因為這兩個殭屍網路都進行點擊詐騙( clickjack)活動,它們可能互相交換網址列表以產生更多利潤。證明這兩個惡名遠播的殭屍網路之間的交易證據,可以從ZeroAccess所使用的重新導向網址看出。

當開始點擊詐騙活動,我們注意到幾個ZeroAccess變種導向到TDSS相關的網址。這些重新導向活動也反過來增加了TDSS所產生的點擊數,也因此從中獲取更多利潤。我們還注意到TDSS惡意軟體,特別是DGAv14這版本會使用舊ZeroAccess的網域生成演算法(DGA)模組,而新的ZeroAccess變種也採用了DGAv14的功能。

雖然剷除ZeroAccess對於TDSS的賺錢計劃造成破壞性的影響,它的感染和通訊仍然照常運作,意味著TDSS殭屍網路很可能從其他殭屍網路中獲利。

趨勢科技可以偵測TDSS和ZeroAccess變種,以及封鎖相關網址來防護使用者對抗此威脅。作為額外的預防措施,我們建議使用者不要下載來自未經驗證網站和點對點(P2P)網路的檔案,那是ZeroAccess變種已知會出現的地方。

@原文出處:ZeroAccess Takedown and the TDSS Aftermath作者:Yuki Hsu(資深工程師)

 

freeDownload_540x90

PC-cillin 2014雲端版跨平台同時支援Win、Mac及Android手機與平板,立即下載試用

◎ 歡迎加入趨勢科技社群網站