Symantec與業界其他合作夥伴聯同歐洲警政署屬下的歐洲網絡犯罪中心(EC3)聯手出擊,成功攻破犯罪集團Ramnit殭屍網絡(由Symantec檢定為W32.Ramnit.B), 檢獲其伺服器和其他基礎設施。該網絡犯罪集團已運作了至少五年,並在此期間發展成為一個大規模的犯罪集團,感染總數超過320萬部電腦,當中有762部位於香港,並騙取大量無辜的受害者。今年2月25日展開的行動,有望顯著打擊該集團的資源和能力。
當電腦受感染,Ramnit讓犯罪分子以多種途徑欺詐受害者。它能夠讓犯罪分子監視受害者的網絡瀏覽過程並竊取銀行憑證和密碼。另外,它亦能讓犯罪分子盜取網站cookies,以虛假身分冒充受害者,讀取硬碟上的文件,遙距控制受感染電腦以讓犯罪分子輕易竊取資料或下載其它惡意軟件。
威脅日益增加 Ramnit(W32.Ramnit)的初形是蠕蟲病毒,首次出現於2010年,侵略性的自我繁殖策略使其迅速傳播。一旦入侵電腦,該病毒就會找出內置硬碟和外置硬碟上所有的EXE、DLL、HTM和HTML檔案,通過複製體感染這些檔案。
這款惡意軟件隨著時間進化,其控制者把重點從建立轉移到利用殭屍網絡。為了實現多種感染方法,Ramnit的最新版本(W32.Ramnit.B)已經去除了單一檔案感染模式。它參考了Zeus Trojan的幾種不同的模組(Trojan.Zbot,其源代碼於2011年5月洩露),大幅度提高了網絡犯罪能力。這發展使Ramnit殭屍網絡轉變成為一個巨大的網絡犯罪帝國,入侵了高達35萬部電腦,竊取大量受害人的銀行憑證、密碼、cookies和個人檔案等。
Ramnit的功能 Ramnit是一個全功能的網絡犯罪工具,包括六個標準模組,為攻擊者提供多種方式攻擊受害者。
持久威脅 Ramnit的製造者已經合併了多種功能,令其難以從感染的電腦上清除。在安裝過程中,它會將複製本植入電腦的內存,並將自身寫入硬碟。由於內存的複製本會監測硬碟,如果偵測到儲於硬碟的複製本已經被刪除或隔離,它會從新在硬碟上複製,保持其感染狀態。
Ramnit散播途徑 現時的攻擊者足智多謀,採用了不同的方法攻擊受害者。近年的一個主要方法為利用託管在受感染網站和社交媒體的組件,亦有公共的FTP伺服器被用於分發惡意軟件。另一個方法則為通過安裝來自未知來源的軟件時捆綁式安裝閒置應用程式。
受害者的位置 Ramnit已經影響到世界各地的受害者,大多數國家都發現了感染案例。近日受影響最嚴重的國家為印度、印尼、越南、孟加拉、美國和菲律賓。
Figure. Ramnit infections by region 在2014年11月,Symantec每日平均堵截大約6千7百個新感染案例,與2014年5月每日8千個案例相比,數字雖然有減少的跡象,但Ramnit殭屍網絡仍然非常活躍。
保護 Symantec提供一個工具可檢查電腦有否受到Ramnit病毒感染,並可協助你清除該病毒。工具可於這個頁面下載。http://www.symantec.com/security_response/writeup.jsp?docid=2015-022415-4725-99
Symantec和Norton產品有以下偵測Ramnit的方式:
防毒軟件
入侵防禦系統
更多有關安全管理員的入侵指示和詳細技術資料,請瀏覽Symantec技術資料:W32.Ramnit analysis