国际执法联盟于上月彻底铲除Andromeda僵尸网络

11月29日，一个由美国联邦调查局（FBI）、德国吕讷堡中央刑事调查监察局、欧洲刑警组织下属的欧洲网络犯罪中心（EC3）、联合网络犯罪行动特别工作组（J-CAT）、欧洲检察官组织（Eurojust）和私营部门（Private Sector）组成的国际执法联盟宣布，现存时间最长的恶意软件家族之一 ——仙女座（Andromeda，也被称为Gamarue或Wauchos）被彻底铲除。

参与行动的私营部门包括影子服务器基金会（Shadowserver Foundation）、微软、安全公司ESET、域名注册机构（RoLR）、互联网名称与数字地址分配机构（ICANN）及相关域名注册机构、夫琅和费通信研究所（Fraunhofer Institute for Communication）、信息处理和人机工程学研究所（FKIE）和德国联邦信息安全办公室（BSI）以及来自澳大利亚、奥地利、白俄罗斯、比利时、加拿大、芬兰、法国、意大利、黑山、荷兰、波兰、新加坡、西班牙、英国和中国台湾的执法部门代表。

受Andromeda感染的计算机被用于构建一个规模超大的僵尸网络。它是一个模块化的僵尸网络，由受感染的Windows计算机组成，首次被发现是在2011年年底。

据微软称，Andromeda僵尸网络的目标是分发其他恶意软件家族，用以执行大规模全球恶意软件攻击。调查发现，Andromeda至少和80个恶意软件家族之间存在关联，例如ZeuS、Torpig和Fareit。

作为一个模块化僵尸网络，Andromeda只是一个装载程序，它的主要作用是在执行过程中从C＆C服务器下载模块和更新。加载程序具有反VM和反调试功能，它将自动注入可信任的进程，隐藏然后删除原始的僵尸程序。在与C＆C服务器通信之间，僵尸程序长时间休眠（从几天到几个月不等），这使得执法人员很难获得受感染计算机与C＆C服务器之间的网络流量信息。

美国联邦调查局联合微软在2015年开始对Andromeda进行调查，根据调查结果显示，Andromeda通过垃圾电子邮件或漏洞利用工具在过去的六个月期间，平均每个月都会感染超过100多万台计算机。

在此次国际执法联盟的联合执法行动中，用于传播和控制Andromeda的7台C＆C服务器以及1500多个网络域名被拿下。执法联盟随即对这些域名进行了渗透，并获取到一些令人心惊的数据。

据微软称，在48小时内就有来自至少223个国家的约200多万个唯一IP地址被捕获。换句话说，只需两天时间就会新增约200多万个Andromeda受害者。

这是至关重要的，7台C＆C服务器管理着460多个更小型的Andromeda僵尸网络。这种分散的结构也是执法当局迟迟不能彻底铲除Andromeda僵尸网络的主要原因之一，因为这种结构使得某一台服务器很容易成为“漏网之鱼”，而这样一台服务器足以让Andromeda僵尸网络卷土重来。

本文由 黑客视界 综合网络整理，图片源自网络；转载请注明“转自黑客视界”，并附上链接。