3778727_874347

 

這篇報導應該跟”W32.Pilleuz”這隻有關係。

病毒名稱:W32.Pilleuz
病毒類型:蠕蟲

病毒分析:

使用者通常很少會注意到電腦系統資源回收桶裡的檔案內容。因此,有的惡意程式利用這一點,將自身隱藏於資源回收桶中,企圖躲過使用者的檢查。W32.Pilleuz就是這樣一種蠕蟲病毒。

開啟時,W32.Pilleuz會首先將自身複製到資源回收桶中並命名為sysdate.exe,接下來新增登錄表 (registry key)達到開機自動開啟,好讓每次開機的時候都會被自動執行。W32.Pilleuz還會開啟後門,遠端攻擊者可以利用開啟的後門執行以下操作:(1) 存取使用者電腦上的檔案(2) 下載可執行程式到使用者電腦並開啟,包括蠕蟲病毒的更新(3) 利用使用者電腦發起(DoS)攻擊(4) 修改hosts檔(5) 竊取使用者瀏覽器資料,如 Cookies 和保存在電腦中的密碼。

同時,W32.Pilleuz 也是一種傳播方式多樣的蠕蟲,其主要傳播方式有以下幾種:(1) 透過即時訊息,發送惡意的連結給受害使用者的好友。(2) 透過行動儲存裝置傳播。(3) 把自身複製到共享軟體的共用目錄,以借用這些共享軟體傳播自己。

所以說我在重灌系統之前,都會先針對MBR和資源回收筒等檔案去做處理,避免重複中毒。

 

接著看一下這兩天的報導:

入侵1200萬台電腦 23歲駭客落網

自由 更新日期:2010/07/29 04:11

美國聯邦調查局(FBI)二十七日宣布,一名二十三歲斯洛維尼亞籍駭客已落網,他編寫的惡意程式碼被用來打造「殭屍網路(botnet)」,感染全球一千兩百萬部電腦,並入侵各大銀行和世界各地的公司。

斯國刑事警察局、FBI及西班牙當局經長時間調查後,日前在斯國第二大城馬里博爾逮捕這名網路化名「艾瑟度(Iserdo)」的男子。

此前,西班牙警方於二月間破獲一個大型網路詐騙案,並逮捕了操控所謂「蝴蝶(Mariposa)」殭屍網路的三名主嫌。該殭屍網路出現於二○○八年十二月,主要盜取信用卡和線上金融憑證資料,已知全球四十家大型銀行,以及「財星」雜誌一千大企業中逾半數都遭感染,所幸目前已遭瓦解。

殭屍網路,顧名思義受害電腦一旦被植入可遠端操控該電腦的惡意程式碼,即會像傀儡一般任人擺布,並與其他受感染電腦串聯起來,執行各種不法行為。

FBI官員強調,「艾瑟度」落網,是重大突破,能防止他更新惡意程式碼,或重新控制那些仍受到感染的電腦。

官員不願透露「艾瑟度」真名,只表示他十天前落網,已獲交保。據網路報導,「艾瑟度」出售他編寫的惡意程式牟利,「基本版」索價五百美元,「進階版」一千三百美元以上,多付錢的顧客還可得到量身訂做以及更多功能的版本。

 

個人覺得是突破沒錯,但這種病毒不曉得原始病毒碼外流了沒,若已外流那就等著變種繼續出現吧!

另外一篇,大同小異,但是有提到今年二月已經逮捕的三名主嫌。

 

設計「蝴蝶殭屍網路」病毒 入侵1200萬台電腦 駭客落網

美國、西班牙與斯洛維尼亞執法當局廿八日宣布逮捕設計「蝴蝶殭屍網路」(Mariposa Botnet)的主嫌。犯罪駭客利用他編寫的惡意軟體打造僵屍網路,以病毒感染並操控全球一千兩百萬台電腦,進行大規模網路犯罪。

     美國聯邦調查局(FBI)、斯洛維尼亞刑事警察與西班牙民防隊發表聯合聲明說,代號「伊瑟多」(Iserdo)的廿三歲斯洛維尼亞籍嫌犯已在上周落網。今年二月,西班牙警方已先逮捕三名「蝴蝶僵屍網路」主嫌,以電腦犯罪罪名起訴。

     「蝴蝶殭屍網路」設計目的在於竊取信用卡資料、網路銀行密碼、社群網站帳戶資料及其它機密資訊。此外,也可用來散播病毒和發動阻斷服務攻擊。西班牙警方指出,殭屍網路病毒已感染全球家庭、大學、銀行、政府機關與企業,《財星》雜誌美國一千大企業中,逾半都難以倖免。

     FBI表示,經過兩年聯合偵查才破獲此案,遭「蝴蝶僵屍網路」病毒感染的全球電腦,約有八百萬至一千二百萬台。局長穆勒指出,過去兩年,「蝴蝶殭屍網路」的編寫軟體被賣給數以百計的罪犯,堪稱全球最惡名遠播的軟體之一。

 

來看看今年二三月時關於那三名主嫌被逮捕的兩則新聞…

 

網安/殺不死?殭屍病毒會自動上網更新變種難防

電腦病毒殺不完?專家指出,殭屍電腦可能已會自動上網更新變種,防毒軟體才偵測不停,解決辦法之一是從網路端阻擋更新動作,另一方面加強全球合作殲滅殭屍網路,像是西班牙警方日前已破獲跨國網路犯罪集團,順利剿滅所屬的殭屍網路「Mariposa」(西文:蝴蝶),大快人心。
HiNet資安監控中心資料顯示,該中心去年利用網路端的資安威脅主動偵測系統,對Botnet(殭屍網路)惡意程式進行分析,結果發現目前網路環境上仍存在許多用戶遭植入Bot程式,被偷取隱私資料或成為駭客的跳板。
中心說,Botnet程式在植入受駭用戶後,約5~6分鐘會下載新版病毒程式,進行自我更新變種動作,讓防毒軟體無法有效移除Bot病毒,故用戶往往需要從網路端來解決問題。以該中心為例,用此方式協助IPS用戶阻擋惡意程式的惡意站點,目前每日約有300至400個。
而西班牙警方日前所剿獲的殭屍網路「Mariposa」(蝴蝶),據統計,已控制了超過1300萬台電腦,遍布全球190個國家。
賽門鐵克表示,「蝴蝶」殭屍網路所使用的惡意軟體有各種名稱,其中最大宗的為W32.Pilleuz,該惡意軟體可透過USB、即時通訊、與P2P傳播,並在受感染電腦上建立後門軟體,讓遠端駭客獲得控制權,執行如分散式阻斷攻擊(DDoS)等動作。業者建議,消費者可考慮使用信譽評等的安全機制,提供抵擋新型惡意軟體更有效的方式。

M993051D.jpg

西班牙警方聯合私人網路安全專家所破獲的網路犯罪集團,利用名為蝴蝶的殭屍電腦網路,蒐集使用者的個人帳號及信用卡號碼等進行犯罪。圖/美聯社

 

 

 

西班牙破獲全球最大駭客集團

2010-03-05 【記者顏嘉南/綜合外電報導

西班牙警方周三宣布,已聯合私人網路安全專家,破獲了全球規模最大的網路犯罪集團,同時逮捕3名嫌疑犯,3人被控利用殭屍電腦網路,讓全球超過1,300萬台電腦受到病毒攻擊,以竊取信用卡號碼和其他資料。

     西班牙警方和協助辦案的網路安全公司表示,這幾名殭屍駭客的犯罪手法係利用名為蝴蝶的殭屍電腦網路(Mariposa Botnet),Mariposa為西班牙文蝴蝶之意,影響範圍遍及全球190個國家的家庭、政府機構、學校,逾半數的美國前1,000大企業,以及至少40家大型金融機構。

     加拿大網路安全公司Defence Intelligence於去年發現該病毒,該公司執行長戴維斯(Chris Davis)表示,「這個病毒十分惡劣,我們必須立即將它關閉,並從源頭消滅。」

     Defence與西班牙的Panda Security公司並未透露,在去年12月23日關閉蝴蝶殭屍網路的伺服器前,這些駭客從受害者處竊取多少金錢。安全專家表示,要從1,300萬台電腦移除惡意程式,可能需花費數千萬美元。

     蝴蝶殭屍網路被設計為祕密接管受攻擊的電腦,使其成為殭屍電腦之一,再蒐集使用者的銀行、社交網站和電子郵件登入資料,以及信用卡號碼,並記錄每次重要攻擊,再將資料送回駭客存放資料的「指揮控制中心」。

     蝴蝶殭屍網路最初是透過微軟IE瀏覽器漏洞來散布,也可藉由中毒的USB隨身碟影響電腦,或是利用微軟MSN即時訊息軟體傳送有毒連結。微軟發言人表示,公司無法立即發表評論。

     Panda Security資深安全顧問巴斯特曼迪(Pedro Bustamante)表示,其中1名嫌疑犯被逮捕時,手邊還有逾80萬筆個人資料,這3名嫌犯除了蒐集資料,還將數百萬台殭屍電腦出租給其他駭客,1隻羊剝兩層皮。

 

這就證明了,當初抓了三名主嫌,幕後卻還有個設計者在更新販售程式並不斷變種。

現在雖然抓到了「艾瑟度」,但病毒原始碼沒外流嗎?更何況,還交保了!

只能說,是否還有變種,且讓我們,拭目以待…

 

對殭屍病毒感到陌生的網友,可參考以下這篇文章,什麼是殭屍病毒:

http://starpc.pixnet.net/blog/post/11126818

 

--

創作者介紹
創作者 台南星電腦快修 的頭像
台南星電腦快修

台南星電腦維修工作室

台南星電腦快修 發表在 痞客邦 留言(0) 人氣()