感染一百万台计算机的僵尸网络病毒被以微软为首的组织清除

每逢天灾，必有人祸。这句话在互联网世界里依然灵验，恶意网络病毒经常借着这些灾难事件攻击用户，谋取大额不法利益。例如马航事件、日本福岛核泄漏和最近新冠疫情。攻击者利用公众对灾难的恐慌，发送含有恶意软件连接或者文件的邮件给用户，并用灾难关键词主题诱骗接收者打开恶意附件或者链接。

---

当今世界最大的僵尸网络（利用恶意代码控制互联网上的设备，让他们像僵尸一样失去了原本的“意识”）之一的TrickBot僵尸网​​络就是一个典型特例。该恶意软件最初于2016年以银行木马的身份出现，然后转变为一种多功能恶意软件下载器，在感染系统后使用MaaS（Malware-as-a-Service）的商业模式为其他犯罪集团提供访问权限。

微软发现，新冠病毒大流行致使很多黑客攻击活动试图使用新冠病毒的「标签」。微软声称每天检测的钓鱼电子邮件中，有6万封携带了新冠病毒为主题的恶意附件或URL。谷歌声称每天为客户阻止2.4亿封新冠病毒主题垃圾邮件，以及1800万封恶意软件和网络钓鱼电子邮件。

---

不过天网恢恢疏而不漏，一个由技术公司组成的联盟最近宣布了一项成果，他们成功的拆除了TrickBot恶意软件僵尸网络的后端基础结构。参与此次拆除的公司和组织包括 Microsoft的Defender 团队，  FS-ISAC，  ESET，  Lumen的Black Lotus Labs，  NTT和 Broadcom的网络安全部门Symantec。

这个联盟花了几个月的时间收集了超过125,000个TrickBot恶意软件样本，分析了它们的内容，并提取和映射了有关恶意软件内部工作的信息，包括僵尸网络用来控制受感染计算机并提供附加模块的所有服务器。

掌握了这些信息后，微软于本月上法庭，要求法官授予其对TrickBot服务器的控制权。

“有了这些证据，法院批准了微软和我们的合作伙伴禁用IP地址，使存储在命令和控制服务器中的内容不可访问，暂停对僵尸网络操作员的所有服务以及阻止TrickBot操作员进行购买的任何努力。或租用其他服务器。”微软今天在新闻稿中说。

现在，全球范围内的互联网服务提供商（ISP）和计算机应急准备小组（CERT）都在努力通知所有受感染的用户。据该联盟的成员称，TrickBot僵尸网​​络在被移除时已经感染了超过一百万台计算机。其中一些受感染的系统还包括物联网（IoT）设备。

---

虽然这是一个可喜的成果，但我们绝不能就此掉以轻心，2015 年 10 月,一次包含 FBI 和 NCA 在内的国际联合行动摧毁了 Necurs 僵尸网络,但是很快它又复活了,之后就主要用于传播 Locky 勒索软件。此后，在安全人员的控制下，Necurs 僵尸网络虽然有所“收敛”，但每隔一段时间似乎都有新的迭代版本出现。我们不知道TrickBot是否会卷土重来，但毫无疑问与恶意病毒的斗争肯定是长期且持久的。