1. HKCERT對 Bankeiya 殭屍網絡感染作出的清理行動
2. Bankeiya 殭屍網絡造成的影響
3. 如何偵測及清除Bankeiya 惡意程式
4. 參考資料

HKCERT估計香港約有600部電腦受感染成為Bankeiya 殭屍網絡。為免你的電腦成為黑客工具，你可以依照我們提供步驟偵測電腦是否受感染及進行清理。

1. HKCERT 對 Bankeiya 殭屍網絡感染作出的清理行動

在 2014 年 5 月，HKCERT 收到 Symantec Security Response¹關於香港網絡受 Bankeiya 殭屍網絡感染的報告。香港約有 600 個 IP 地址曾連接到由保安研究人員設立的 sinkhole 偵測系統（即模擬殭屍網絡指揮控制中心的伺服器），反映使用這些 IP 地址進行連線的電腦可能已受 Bankeiya 惡意程式感染，並成為 Bankeiya 殭屍網絡的一分子。我們收到報告後，已通知管理這些 IP 地址的網絡供應商，提醒他們客戶的電腦可能已受感染。

2. Bankeiya殭屍網絡造成的影響

Bankeiya是一種針對銀行的惡意程式殭屍網絡，全球約有 2萬部電腦已受感染。日本是最受影響的國家，佔超過50%，香港排名第二，佔約 3%。

圖一：感染國家的分佈 (圖片來源：Symantec)

Bankeiya是一種針對Windows 作業系統的惡意程式，最早於 2014 年2月發現。它透過在入侵的網站內嵌入多個不同漏洞 (微軟 Internet Explorer, Oracle Java 等) 攻擊程式碼進行感染。其中一個例子是香港某著名的論壇網站被入侵，嵌入了一個Internet Explorer漏洞 (CVE-2014-0322) 攻擊程式碼去感染訪客的電腦。

這個惡意軟件的主要目的是從受感染的電腦上竊取銀行登入資料。如果受害者的電腦登入被針對的日本銀行網站²，它會顯示一個偽造的彈出視窗來誘騙受害者輸入銀行登入資料。它可能也會在受感染的電腦上下載惡意的比特幣採礦軟件名為“jhProtominer”，挪用受害者電腦的資源去開採虛擬貨幣。

3. 如何偵測及清除 Bankeiya惡意程式

若懷疑你的電腦受 Bankeiya 惡意程式感染，請依照 步驟 為電腦進行完整掃描。

4. 參考資料

以下是備註的參考資料及關於 Bankeiya 殭屍網絡的其他技術詳情。

1. http://www.symantec.com/connect/blogs/financial-trojans-persistent-attacks-japanese-internet-community
2. http://www.symantec.com/security_response/writeup.jsp?docid=2014-022508-0829-99&tabid=2