微软从城堡僵尸网络中解放了超过120万台PC
包括微软,联邦调查局和金融公司在内的行业和执法合作伙伴团队已成功破坏了运行在Citadel Trojan上的一系列僵尸网络,使超过120万台计算机摆脱了网络分子的控制,数字部门本周表示。6月6日,Microsoft宣布已对僵尸网络运营商进行第七次操作,目的是显着破坏在Citadel Trojan上运行的近1,500个僵尸网络的集合。通常,受Citadel侵害的计算机会尝试连接到某些域并接收命令,但是Microsoft和世界各地的计算机紧急响应小组已重定向了许多这些域。
Microsoft通过法院命令获得控制权的域被重定向或“陷入困境”到公司控制的基础结构中,Microsoft对其进行监视以衡量僵尸网络的大小。
微软数字部门助理法律总顾问理查德·博斯科维奇(Richard Boscovich)告诉eWEEK,在第一周内,有超过120万个唯一IP地址将1.78亿次连接到了漏洞服务器。虽然很难确定每个Internet地址后面有多少台受感染的计算机,但Microsoft估计最少需要120万台。
他说:“这是一个非常保守的数字。” 博斯科维奇说:“我们认为这是我们解放的最少计算机数量。可能有使用同一IP的多台计算机;如果这样,那么可能会更多。”
微软有迹象表明,可能有多达200万台计算机向公司控制的漏洞报告,但这一数字尚不确定。
此次合并继续了微软针对僵尸网络运营商的私人战争。从2010年3月从Waledac开始,该公司已与其他技术公司合作,收集了各种僵尸网络上的数据,针对僵尸网络运营商提起了民事诉讼,然后没收了这些运营商的域和命令与控制服务器。
继Waledac之后,该公司的目标客户是Rustock,Kelihos,Zeus,Nitol和Bamital。至少在一段时间内,这些失败都成功地破坏了网络分子的僵尸网络操作。例如,微软在2011年3月设法完全关闭了Rustock僵尸网络,这导致发送到Internet的垃圾邮件数量大大减少。
在最近的一次撤军中,微软与Agari合作,收集了有关Citadel僵尸网络的情报,该公司跟踪从恶意僵尸网络活动发送给客户的网络钓鱼电子邮件。Agari首席执行官帕特里克·彼得森(Patrick Peterson)对eWEEK表示,该公司会将恶意URL报告给Microsoft,以使它们能够专注于Citadel僵尸网络的最新化身。
彼得森说:“在调查过程中,我们每月向他们提供250万个恶意Citadel URL。” “这将是一封电子邮件,出现在消费者的电子邮件收件箱中,并试图让他们单击。当您单击时,它将开始感染生命周期。”
在扣押了关键的命令和控制服务器以及僵尸网络用来与受感染计算机通信的域的重定向之后,Microsoft监视了连接到其污水坑服务器的计算机的数量。
该公司还逆转了Citadel Trojan使用的黑名单和白名单,阻止受感染的系统进入恶意的命令和控制服务器,并允许它们与Microsoft的服务器联系,以从其防病毒供应商处获取安全更新。
博斯科维奇说:“我们认为我们对城堡产生了相当大的影响。” “我们还有一些初步数字,因此我们将继续观察,我们还将与海外合作伙伴更加紧密地合作,以了解他们所看到的情况。”