HKCert
保安博錄

Pushdo 殭屍網絡在香港的偵測及清理

發布日期: 27 / 09 / 2013
最後更新: 11 / 12 / 2013

 

1. HKCERT 對 Pushdo 殭屍網絡感染作出的清理行動

 

在 2013 年 5 月,HKCERT 收到奧地利 CERT(CERT.at)關於香港網絡受 Pushdo  殭屍網絡感染的報告。香港共有 307 個 IP 地址曾連接到由保安研究人員設立的 sinkhole 偵測系統(即模擬殭屍網絡指揮控制中心的伺服器),反映使用這些 IP 地址進行連線的電腦可能已受 Pushdo 惡意程式感染,並成為 Pushdo 殭屍網絡的一分子。我們收到報告後,已通知管理這些 IP 地址的網絡供應商,提醒他們客戶的電腦可能已受感染。

 

2. Pushdo 殭屍網絡造成的影響

 

Pushdo 惡意程式最早於 2007 年發現,並用於散播 SpyEye 或 Zeus 惡意程式 [1]。Pushdo 可作為惡意程式的下載工具(dropper),即受感染電腦會下載其他惡意檔案,主要為 Wigon rootkit 或 Cutwail 垃圾郵件惡意程式 [2]。

 

Cutwail 最為人所知是其利用受感染的電腦傳送垃圾郵件。在 2013 第 1 及第 2 季,Cutwail 發送垃圾郵件的數量在一眾殭屍網絡中稱冠,在第 2 季錄更錄得 600 萬個新感染個案 [3 PDF]。

 

Pushdo 惡意程式的散播方式,一般透過惡意電郵附件,或不知情下按下惡意網站連結進行下載。

 

 

圖 1  2013 年第 2 季傳訊殭屍網絡感染情況(來源:McAfee Threats Report: Second Quarter 2013)

 

3. 如何偵測及清除 Pushdo 惡意程式

 

若懷疑你的電腦受 Pushdo 惡意程式感染,請按以下步驟使用 Microsoft Safety Scanner 為電腦進行完整掃描:

  1. http://www.microsoft.com/security/scanner/zh-hk/ 按「立即下載」下載 Microsoft Safety Scanner。


     
  2. 執行 msert.exe。安裝前,你需要勾選「接受上述授權合約中所有的條款」接受授權合約。假如你接受合約,按「下一步」繼續。


     
  3. 選擇「完整掃描」,然後按「下一步」開始掃描。


     
  4. 掃描會進行一段時間。視乎你的電腦檔案數目,整個掃描可能需要數小時。


     
  5. 如果你的電腦未受任何惡意程式感染,會顯示未偵測到疾病毒、間諜軟件和其他潛在的垃圾軟件。


     
  6. 如果你的電腦受 Pushdo 惡意程式感染,掃描器會偵測並移除惡意程式。


     

4. 參考資料

 

以下是上述備註的參考資料及關於 Pushdo 殭屍網絡的其他技術詳情。

  1. Pushdo botnet is evolving, becomes more resilient to takedown attempts, ComputerWorld(中文版,TWCERT/CC)
  2. Trojan.Pushdo Variants, IBM Internet Security Systems
  3. [PDF] McAfee Threats Report: Second Quarter 2013, McAfee
  4. [PDF] McAfee Threats Report: First Quarter 2013, McAfee
  5. [PDF] PushDo Evolves Again: Enhances Evasion with Domain Generation Algorithm (DGA), Damballa