Pushdo 殭屍網絡在香港的偵測及清理

1. HKCERT 對 Pushdo 殭屍網絡感染作出的清理行動

在 2013 年 5 月，HKCERT 收到奧地利 CERT（CERT.at）關於香港網絡受 Pushdo  殭屍網絡感染的報告。香港共有 307 個 IP 地址曾連接到由保安研究人員設立的 sinkhole 偵測系統（即模擬殭屍網絡指揮控制中心的伺服器），反映使用這些 IP 地址進行連線的電腦可能已受 Pushdo 惡意程式感染，並成為 Pushdo 殭屍網絡的一分子。我們收到報告後，已通知管理這些 IP 地址的網絡供應商，提醒他們客戶的電腦可能已受感染。

2. Pushdo 殭屍網絡造成的影響

Pushdo 惡意程式最早於 2007 年發現，並用於散播 SpyEye 或 Zeus 惡意程式 [1]。Pushdo 可作為惡意程式的下載工具（dropper），即受感染電腦會下載其他惡意檔案，主要為 Wigon rootkit 或 Cutwail 垃圾郵件惡意程式 [2]。

Cutwail 最為人所知是其利用受感染的電腦傳送垃圾郵件。在 2013 第 1 及第 2 季，Cutwail 發送垃圾郵件的數量在一眾殭屍網絡中稱冠，在第 2 季錄更錄得 600 萬個新感染個案 [3 PDF]。

Pushdo 惡意程式的散播方式，一般透過惡意電郵附件，或不知情下按下惡意網站連結進行下載。

圖 1  2013 年第 2 季傳訊殭屍網絡感染情況（來源：McAfee Threats Report: Second Quarter 2013）

3. 如何偵測及清除 Pushdo 惡意程式

若懷疑你的電腦受 Pushdo 惡意程式感染，請按以下步驟使用 Microsoft Safety Scanner 為電腦進行完整掃描：

1. 到 http://www.microsoft.com/security/scanner/zh-hk/ 按「立即下載」下載 Microsoft Safety Scanner。
   
   
    
2. 執行 msert.exe。安裝前，你需要勾選「接受上述授權合約中所有的條款」接受授權合約。假如你接受合約，按「下一步」繼續。
   
   
    
3. 選擇「完整掃描」，然後按「下一步」開始掃描。
   
   
    
4. 掃描會進行一段時間。視乎你的電腦檔案數目，整個掃描可能需要數小時。
   
   
    
5. 如果你的電腦未受任何惡意程式感染，會顯示未偵測到疾病毒、間諜軟件和其他潛在的垃圾軟件。
   
   
    
6. 如果你的電腦受 Pushdo 惡意程式感染，掃描器會偵測並移除惡意程式。
   
   
    

4. 參考資料

以下是上述備註的參考資料及關於 Pushdo 殭屍網絡的其他技術詳情。

1. Pushdo botnet is evolving, becomes more resilient to takedown attempts, ComputerWorld（中文版，TWCERT/CC）
2. Trojan.Pushdo Variants, IBM Internet Security Systems
3. [PDF] McAfee Threats Report: Second Quarter 2013, McAfee
4. [PDF] McAfee Threats Report: First Quarter 2013, McAfee
5. [PDF] PushDo Evolves Again: Enhances Evasion with Domain Generation Algorithm (DGA), Damballa