台南星電腦維修工作室

這篇報導應該跟”W32.Pilleuz”這隻有關係。

病毒名稱：W32.Pilleuz
病毒類型：蠕蟲

病毒分析：

使用者通常很少會注意到電腦系統資源回收桶裡的檔案內容。因此，有的惡意程式利用這一點，將自身隱藏於資源回收桶中，企圖躲過使用者的檢查。W32.Pilleuz就是這樣一種蠕蟲病毒。

開啟時，W32.Pilleuz會首先將自身複製到資源回收桶中並命名為sysdate.exe，接下來新增登錄表 (registry key)達到開機自動開啟，好讓每次開機的時候都會被自動執行。W32.Pilleuz還會開啟後門，遠端攻擊者可以利用開啟的後門執行以下操作：（1） 存取使用者電腦上的檔案（2） 下載可執行程式到使用者電腦並開啟，包括蠕蟲病毒的更新（3） 利用使用者電腦發起(DoS)攻擊（4） 修改hosts檔（5） 竊取使用者瀏覽器資料，如 Cookies 和保存在電腦中的密碼。

同時，W32.Pilleuz 也是一種傳播方式多樣的蠕蟲，其主要傳播方式有以下幾種：（1） 透過即時訊息，發送惡意的連結給受害使用者的好友。（2） 透過行動儲存裝置傳播。（3） 把自身複製到共享軟體的共用目錄，以借用這些共享軟體傳播自己。

所以說我在重灌系統之前，都會先針對MBR和資源回收筒等檔案去做處理，避免重複中毒。

接著看一下這兩天的報導：

入侵1200萬台電腦 23歲駭客落網

更新日期:2010/07/29 04:11

美國聯邦調查局（ＦＢＩ）二十七日宣布，一名二十三歲斯洛維尼亞籍駭客已落網，他編寫的惡意程式碼被用來打造「殭屍網路（botnet）」，感染全球一千兩百萬部電腦，並入侵各大銀行和世界各地的公司。

斯國刑事警察局、ＦＢＩ及西班牙當局經長時間調查後，日前在斯國第二大城馬里博爾逮捕這名網路化名「艾瑟度（Iserdo）」的男子。

此前，西班牙警方於二月間破獲一個大型網路詐騙案，並逮捕了操控所謂「蝴蝶（Mariposa）」殭屍網路的三名主嫌。該殭屍網路出現於二○○八年十二月，主要盜取信用卡和線上金融憑證資料，已知全球四十家大型銀行，以及「財星」雜誌一千大企業中逾半數都遭感染，所幸目前已遭瓦解。

殭屍網路，顧名思義受害電腦一旦被植入可遠端操控該電腦的惡意程式碼，即會像傀儡一般任人擺布，並與其他受感染電腦串聯起來，執行各種不法行為。

ＦＢＩ官員強調，「艾瑟度」落網，是重大突破，能防止他更新惡意程式碼，或重新控制那些仍受到感染的電腦。

官員不願透露「艾瑟度」真名，只表示他十天前落網，已獲交保。據網路報導，「艾瑟度」出售他編寫的惡意程式牟利，「基本版」索價五百美元，「進階版」一千三百美元以上，多付錢的顧客還可得到量身訂做以及更多功能的版本。

個人覺得是突破沒錯，但這種病毒不曉得原始病毒碼外流了沒，若已外流那就等著變種繼續出現吧！

另外一篇，大同小異，但是有提到今年二月已經逮捕的三名主嫌。

設計「蝴蝶殭屍網路」病毒 入侵1200萬台電腦 駭客落網

美國、西班牙與斯洛維尼亞執法當局廿八日宣布逮捕設計「蝴蝶殭屍網路」（Mariposa Botnet）的主嫌。犯罪駭客利用他編寫的惡意軟體打造僵屍網路，以病毒感染並操控全球一千兩百萬台電腦，進行大規模網路犯罪。

     美國聯邦調查局（ＦＢＩ）、斯洛維尼亞刑事警察與西班牙民防隊發表聯合聲明說，代號「伊瑟多」（Iserdo）的廿三歲斯洛維尼亞籍嫌犯已在上周落網。今年二月，西班牙警方已先逮捕三名「蝴蝶僵屍網路」主嫌，以電腦犯罪罪名起訴。

     「蝴蝶殭屍網路」設計目的在於竊取信用卡資料、網路銀行密碼、社群網站帳戶資料及其它機密資訊。此外，也可用來散播病毒和發動阻斷服務攻擊。西班牙警方指出，殭屍網路病毒已感染全球家庭、大學、銀行、政府機關與企業，《財星》雜誌美國一千大企業中，逾半都難以倖免。

     ＦＢＩ表示，經過兩年聯合偵查才破獲此案，遭「蝴蝶僵屍網路」病毒感染的全球電腦，約有八百萬至一千二百萬台。局長穆勒指出，過去兩年，「蝴蝶殭屍網路」的編寫軟體被賣給數以百計的罪犯，堪稱全球最惡名遠播的軟體之一。

來看看今年二三月時關於那三名主嫌被逮捕的兩則新聞…

網安／殺不死？殭屍病毒會自動上網更新變種難防

電腦病毒殺不完？專家指出，殭屍電腦可能已會自動上網更新變種，防毒軟體才偵測不停，解決辦法之一是從網路端阻擋更新動作，另一方面加強全球合作殲滅殭屍網路，像是西班牙警方日前已破獲跨國網路犯罪集團，順利剿滅所屬的殭屍網路「Mariposa」（西文：蝴蝶），大快人心。
HiNet資安監控中心資料顯示，該中心去年利用網路端的資安威脅主動偵測系統，對Botnet（殭屍網路）惡意程式進行分析，結果發現目前網路環境上仍存在許多用戶遭植入Bot程式，被偷取隱私資料或成為駭客的跳板。
中心說，Botnet程式在植入受駭用戶後，約5～6分鐘會下載新版病毒程式，進行自我更新變種動作，讓防毒軟體無法有效移除Bot病毒，故用戶往往需要從網路端來解決問題。以該中心為例，用此方式協助IPS用戶阻擋惡意程式的惡意站點，目前每日約有300至400個。
而西班牙警方日前所剿獲的殭屍網路「Mariposa」（蝴蝶），據統計，已控制了超過1300萬台電腦，遍布全球190個國家。
賽門鐵克表示，「蝴蝶」殭屍網路所使用的惡意軟體有各種名稱，其中最大宗的為W32.Pilleuz，該惡意軟體可透過USB、即時通訊、與P2P傳播，並在受感染電腦上建立後門軟體，讓遠端駭客獲得控制權，執行如分散式阻斷攻擊（DDoS）等動作。業者建議，消費者可考慮使用信譽評等的安全機制，提供抵擋新型惡意軟體更有效的方式。

西班牙警方聯合私人網路安全專家所破獲的網路犯罪集團，利用名為蝴蝶的殭屍電腦網路，蒐集使用者的個人帳號及信用卡號碼等進行犯罪。圖/美聯社

西班牙破獲全球最大駭客集團

2010-03-05 【記者顏嘉南／綜合外電報導】

西班牙警方周三宣布，已聯合私人網路安全專家，破獲了全球規模最大的網路犯罪集團，同時逮捕3名嫌疑犯，3人被控利用殭屍電腦網路，讓全球超過1,300萬台電腦受到病毒攻擊，以竊取信用卡號碼和其他資料。

     西班牙警方和協助辦案的網路安全公司表示，這幾名殭屍駭客的犯罪手法係利用名為蝴蝶的殭屍電腦網路（Mariposa Botnet），Mariposa為西班牙文蝴蝶之意，影響範圍遍及全球190個國家的家庭、政府機構、學校，逾半數的美國前1,000大企業，以及至少40家大型金融機構。

     加拿大網路安全公司Defence Intelligence於去年發現該病毒，該公司執行長戴維斯（Chris Davis）表示，「這個病毒十分惡劣，我們必須立即將它關閉，並從源頭消滅。」

     Defence與西班牙的Panda Security公司並未透露，在去年12月23日關閉蝴蝶殭屍網路的伺服器前，這些駭客從受害者處竊取多少金錢。安全專家表示，要從1,300萬台電腦移除惡意程式，可能需花費數千萬美元。

     蝴蝶殭屍網路被設計為祕密接管受攻擊的電腦，使其成為殭屍電腦之一，再蒐集使用者的銀行、社交網站和電子郵件登入資料，以及信用卡號碼，並記錄每次重要攻擊，再將資料送回駭客存放資料的「指揮控制中心」。

     蝴蝶殭屍網路最初是透過微軟IE瀏覽器漏洞來散布，也可藉由中毒的USB隨身碟影響電腦，或是利用微軟MSN即時訊息軟體傳送有毒連結。微軟發言人表示，公司無法立即發表評論。

     Panda Security資深安全顧問巴斯特曼迪（Pedro Bustamante）表示，其中1名嫌疑犯被逮捕時，手邊還有逾80萬筆個人資料，這3名嫌犯除了蒐集資料，還將數百萬台殭屍電腦出租給其他駭客，1隻羊剝兩層皮。

這就證明了，當初抓了三名主嫌，幕後卻還有個設計者在更新販售程式並不斷變種。

現在雖然抓到了「艾瑟度」，但病毒原始碼沒外流嗎？更何況，還交保了！

只能說，是否還有變種，且讓我們，拭目以待…

對殭屍病毒感到陌生的網友，可參考以下這篇文章，什麼是殭屍病毒：

http://starpc.pixnet.net/blog/post/11126818

--