殭屍網路 - 資安趨勢部落格

趨勢科技協同 INTERPOL 國際刑警組織破獲SIMDA殭屍網路行動

2015 年 04 月 14 日2015 年 04 月 14 日趨勢科技 TrendMicro

趨勢科技資安專家也將於 INTERPOL World 2015 世界大會發表演講

【台北訊】全球資安軟體領導廠商趨勢科技 (東京證券交易所股票代碼：4704) 長久以來致力提倡全球公私部門合力打擊網路犯罪，今日公開表示參與了國際刑警組織 (INTERPOL) 的 SIMDA 「Botnet傀儡殭屍網路」

破獲行動，與其他資安及科技領導廠商共同協力鏟除一個大型的「Botnet傀儡殭屍網路」。除參與這項行動之外，趨勢科技專家也將於 4 月 14 至 16 日在新加坡舉行的第一屆 INTERPOL World 2015 大會當中，為全球執法及安全機關介紹最新的防護技術。

趨勢科技執行長暨共同創辦人陳怡樺表示：「想要掌握並遏止有特定組織在背後支持的縝密網路犯罪攻擊，最重要的關鍵就在於科技、資安與執法專家之間的協同合作。SIMDA 殭屍網路破獲行動再次突顯我們長久以來盡力與其他機關團體建立聯合陣線的主張，共同防止科技被用於不當用途。除此之外，我們也很榮幸能參與 INTERPOL World 2015 這場冠蓋雲集的歷史盛會，為建立一個更安全的資訊交換世界的理念而努力。身為資安威脅防禦專家，我們將繼續分享我們的知識和經驗來支援打擊網路犯罪的行動。」

SIMDA 破獲行動鏟除了一個感染超過 770,000 台電腦的大型全球「Botnet傀儡殭屍網路」。SIMDA 是一個能讓網路犯罪集團從遠端存取電腦的工具，可讓歹徒竊取銀行帳號密碼等個人資訊，而且還能安裝並散布其他惡意程式。所謂的殭屍網路，是一群感染惡意程式的電腦所組成的動態網路，可從遠端遙控並發動網路攻擊或散發垃圾郵件。要鏟除殭屍網路需要掌握精密的技術和時機，才能確保威脅不會擴散。除了趨勢科技和 INTERPOL 之外，共同參與這項聯合行動的還有 Microsoft 和 Kaspersky Labs。

繼續閱讀

趨勢科技協助 FBI 定罪 SyEye 銀行木馬駭客背後的故事

2014 年 02 月 10 日2014 年 02 月 17 日趨勢科技 TrendMicro

loveme、kissme、抓我、試試看

圖片來自dprotz，透過創用授權使用

最近美國聯邦調查局(FBI)發表一份新聞稿關於對Aleksandr Andreevich Panin（一名俄國人，更為人所知的名稱是「Gribodemon」或「Harderman」，在網路上跟惡名昭彰的SyEye銀行木馬連結在一起）和Hamza Bendelladj（一名突尼西亞人，網路綽號為「Bx1」）所進行的法律行動。Panin已經為進行線上銀行詐騙的指控認罪，而針對Bendelladj的控訴還在進行中。美國聯邦調查局的新聞稿裡也感謝趨勢科技的前瞻性威脅研究（FTR）團隊協助此次調查。

Bendelladj被指稱經營至少一個 SpyEye 的命令和控制伺服器，雖然我們的TrendLabs部落格和我們的調查已經明確指出他的參與還要更為深入。他在2013年1月5日在曼谷機場被逮捕，而Panin是在去年7月1日飛經亞特蘭大時被捕。

趨勢科技的前瞻性威脅研究團大概在四年前就開始對SpyEye的幕後黑手進行調查。在這段調查期間，我們描繪出支援該惡意軟體的基礎設施，確認該基礎設施的弱點，並找到若干重要線索指出這惡意銀行木馬背後的個人身份。當我們覺得已經有足夠的資訊時，我們和執法單位合作以達到今日你所見到的圓滿結果。

我們進行中的研究有著相當豐富的資料，許多因為法律行動還在進行中而不適合分享出來，但你可能會有興趣知道這些被告最常使用的密碼包括了「loveme」、「kissme」和「Danny000」。我讓你自己去想想有關安全實作的結論。

去年的逮捕行動和最近的認罪再次證明了趨勢科技針對網路犯罪幕後黑手繼續閱讀

如何檢查自己的網站是否為StealRat殭屍網路的一部分?

2013 年 08 月 19 日2013 年 08 月 19 日趨勢科技 TrendMicro

好幾個月來，趨勢科技一直在積極監視著稱為StealRat的垃圾郵件殭屍網路/傀儡網路 Botnet網路，它的運作主要是利用被入侵淪陷的網站和系統。我們持續地監視著其運作，並確定了約有195,000個網域和IP地址已經淪陷。這些淪陷網站的共通點是用了有弱點的內容管理系統，像是WordPress、Joomla和Drupal。

在本篇文章裡，我們會討論網站管理員可以如何檢查他們的網站是否已經淪陷，變成StealRat殭屍網路/傀儡網路 Botnet的一部分。

第一步是檢查是否有垃圾郵件發送腳本的存在，通常會用s 繼續閱讀

「Sent from Yahoo! Mail on Android」:Android 平台 Yahoo! App 程式漏洞可能讓駭客散發垃圾郵件

2012 年 07 月 26 日2012 年 07 月 26 日趨勢科技 TrendMicro

就在一波疑似某 Android 殭屍網路/傀儡網路 Botnet垃圾郵件(SPAM)的報導出現之後不久，趨勢科技就發現了 Android 平台Yahoo! App 程式的漏洞，此漏洞可讓駭客利用遭入侵的 Yahoo! 帳號散發垃圾郵件。

第一波透過 Android 殭屍網路散發的垃圾郵件？

近日趨勢科技發現了多個專門散發假藥品網站連結或網路釣魚（Phishing）網站連結的郵件。這一波垃圾郵件之所以特別，在於訊息的簽名部分有著「Sent from Yahoo! Mail on Android」(從 Android 上的 Yahoo! Mail 寄信) 的字樣，而且信件的 Message-ID 欄位數值為「androidMobile」。根據報導，其 IP 位址顯示這些訊息來自於開發中國家的網路業者。

某些專家依據這些證據猜測，這些垃圾郵件(SPAM)散發者可能利用了被植入惡意 App 程式的 Android 裝置。不過，Google 駁斥了垃圾郵件是從 Android 殭屍網路/傀儡網路 Botnet散發的說法，並宣稱歹徒應該是使用已感染的個人電腦，並在信件當中假冒行動裝置的特徵來試圖躲避電子郵件過濾機制。

就在最近，有人提出了另一種可能的情況。某些資訊安全研究人員推論，歹徒可能利用Android 平台Yahoo! App 程式的漏洞來入侵行動裝置並散發垃圾郵件(SPAM)。

歹徒可能利用 Adroid 平台的 Yahoo! Mail App 程式漏洞來散發垃圾郵件

不論這些訊息是從何而來，網路駭客是有可能利用 Android 平台的 Yahoo! App 程式漏洞來入侵 Yahoo! Mail 帳號然後散發垃圾郵件。事實上，趨勢科技最近在 Android 上的Yahoo! 郵件用戶端上發現了一個漏洞，此漏洞可允許攻擊者取得使用者的 Yahoo! Mail cookie。此問題來自於 Yahoo! 郵件伺服器和 Android 平台 Yahoo! 郵件用戶端之間的通訊弱點。在取得這個 cookie 之後，駭客就能使用已遭入侵的 Yahoo! Mail 帳號來散發精心製作的信件。此外，上述漏洞還可讓駭客存取使用者的收件匣和信件。繼續閱讀

《上網時間倒數中》FBI稱 57 萬電腦被駭,感染 DNS Changer 電腦, 7月 9 日後無法上網,即刻檢查!!~為何清除電腦上的DNS Changer(域名系統綁架病毒)很重要？

2012 年 07 月 04 日2012 年 07 月 11 日趨勢科技 TrendMicro

7 月 9 日後，您還能繼續上網嗎 ? 趨勢科技提供讓您對電腦進行自我檢驗步驟,立即檢查

去年趨勢科技協助 FBI 破獲史上最大殭屍網路DNS Changer(域名系統綁架病毒)之後， FBI發現若是直接關掉駭客犯罪用伺服器，中毒的 50 多萬電腦將無法連上網路。因此美國政府設立了替代伺服器,讓尚未修復的電腦可以正常上網,。FBI原先預定在今年3月8日關閉替代伺服器，但美國聯邦法院要求繼續提供DNS服務，給感染電腦多一點緩衝時間處理,但礙於經費，FBI已決定美國時間7月9日關掉伺服器，屆時數十萬尚未清除病毒的中毒電腦就會連不上網路。

趨勢科技呼籲大家立即檢查是否感染DNS Changer，因為FBI即將於7月9日關閉服務遭感染電腦所使用的DNS伺服器，屆時未修復的設備將無法上網。
即刻免費下載PC-cillin 2012掃瞄系統,清除電腦上感染的 DNS 竄改木馬程式

為何清除電腦上的DNS Changer(域名系統綁架病毒)很重要？

犯罪史追朔到2007年DNS Changer(域名系統綁架病毒) 除了讓你無法連上網際網路之外，網路犯罪者還可能利用(域名系統綁架病毒)側錄鍵盤輸入，或者將受害電腦當做代理器 (proxy) ，將別的使用者導向假冒的網路銀行或社交網站。因此，歹徒可藉此竊取您和他人的網路銀行與社交網路密碼。

DNS Changer(域名系統綁架病毒)是由Rove Digital這個網路犯罪集團控制,Rove Digital看起來是一個位在塔爾圖的正常IT公司，一個每天早上都有人來上班的辦公室。但實際上，這個在塔爾圖的辦公室控制著數以百萬計，位在世界各地的中毒電腦，每年都可以靠這些「Botnet傀儡殭屍網路」,獲取數百萬美金的不法所得。

賺進數百萬美金黑心錢的Rove Digital駭客集團的 "CEO",這名駭人不淺首腦已經被逮捕

每天都有人到駭客集團所成立的 Rove Digital 公司上班,主要業務:控制著數以百萬計中毒殭屍電腦，獲取數百萬美金的不法所得。

這個網路犯罪集團控制了每一個環節，從植入木馬到透過中毒的傀儡殭屍電腦來賺錢。它是一間愛沙尼亞的公司，稱為Rove Digital。Rove Digital是許多其他公司（像是Esthost、Estdomains、Cernel，UkrTelegroup和許多較無人知的空殼公司）的母公司。

Rove Digital看起來是一個位在塔爾圖的正常IT公司，一個每天早上都有人來上班的辦公室。但實際上，這個在塔爾圖的辦公室控制著數以百萬計，位在世界各地的中毒電腦，每年都可以靠這些「Botnet傀儡殭屍網路」,獲取數百萬美金的不法所得。

Rove Digital 已在 2011 年 11 月 8 日遭到破獲，該公司最為人所知的惡行就是散播 DNS 竄改木馬程式來協助其從事其他不法行動。駭客在四年內利用廣告詐欺獲利超過1400萬美元。若要了解 Rove Digital 的網路犯罪歷史，請參閱趨勢科技 TrendLabs 的圖文解說：「The Rise and Fall of Rove Digital」。

◎認識DNS（Domain Name System）伺服器與 DNS Changer 的偷天換日

IP地址就像是我們寄信的地址一樣，沒寫地址郵差先生沒法把信送給收件人。網路上的每台主機都有唯一的IP地址,電腦的位址不是用文字而是用四個數字表示。如xxx.xxx.xxx.xxx。但是一般人無法記住這些數字，這時DNS（Domain Name System）伺服器就發揮作用了。DNS伺服器能將易讀好記的網域名稱解析成IP位址。大部分網路使用者都會自動使用網路服務業者的DNS伺服器。

當你在網址列輸入像www.trendmicro.com.tw 或www.pccillin.com.tw的網址時，其實會先連到DNS（Domain Name System）域名系統，找出該網站對應的數字IP 位址,才能連上該網站。

DNS Changer(域名系統綁架病毒)會把你的DNS連線偷偷換掉, 使用惡意人士所設立DNS伺服器，用來將特定的網域解析成惡意網站的IP位址。因此，受害者會在不自覺的情況下被導到惡意網站。犯罪集團可以透過很多方法來賺黑心錢，包括更換受害者所訪問的網站廣告，劫持搜尋結果或是植入其他惡意軟體,如假防毒軟體等。

◎ 7月9日後您的網路還能正常連線嗎？
FBI稱全球約 57萬台電腦被駭, 7月9 後,中毒電腦不能上網!!