在去年十二月,微軟和某些執法單位合作,宣布剷除了ZeroAccess的運作。然而,這也意外地影響到另一個著名的殭屍網路/傀儡網路 Botnet – TDSS。
TDSS和ZeroAccess
ZeroAccess是世上最著名的殭屍網路/傀儡網路 Botnet之一,其惡意軟體以Rootkit能力聞名。它通常會偽裝成盜版軟體,透過點對點網路(P2P)來下載。同樣地,TDSS也是以利用Rootkit技術來閃躲偵測而著稱,並且會散播其他惡意軟體,如假防毒軟體和DNS變更木馬。這兩種殭屍網路都和點擊詐騙( clickjack)有關
在趨勢科技之前的文章裡,我們提到特定的ZeroAccess變種如何導向到和TDSS相關的網址,顯示出這兩個殭屍網路共享了部分的命令與控制(C&C)基礎設施。由於我們在監控兩個殭屍網路之間的連結,因此發現ZeroAccess客戶感染和通訊數量在剷除行動後的第二天有顯著地下降。在這些感染ZeroAccess的系統裡,只有2.8%嘗試(但失敗了)跟其C&C伺服器進行通訊。
圖一、2013年11月到12月的ZeroAccess活動