Symantec 協助歐洲警政署打擊 Ramnit 殭屍網絡
香港—2015年2月27日—以歐洲警政署(Europol)為首的執法機關在 Symantec、微軟等業界合作夥伴的協助下,堵截由犯罪集團Ramnit殭屍網絡(由Symantec檢定為W32.Ramnit.B)控制的伺服器和其他基礎設施。該集團已運作了至少五年,並發展成為一個大規模的犯罪集團,感染總數超過320萬部電腦,當中有762部位於香港,並騙取大量無辜的受害者。今年2月25日展開的行動,有望顯著打擊該集團的資源和能力。
Ramnit的功能
Ramnit是一個全功能的網絡犯罪工具,包括六個標準模組,為攻擊者提供多種方式攻擊受害者。
1. 間諜模組。最強大的Ramnit功能之一,可以監控受害者的網頁瀏覽紀錄,從而偵測他們登入特定網頁,如網上銀行。它可以附在受害者的瀏覽器上,操縱銀行網站,造成銀行向受害者要求額外個人資料的假像,再利用他們的信用卡資料作欺詐用途。
2. 採集Cookie。此功能從網頁瀏覽器竊取session cookie,並將它們發送給攻擊者,讓他們可以使用cookie冒充受害者,通過網站上的身份驗證,並騎劫受害者的網上銀行活動。
3. 硬件掃描。此功能掃描電腦硬件,並從中竊取文件。它會搜索有可能包含敏感資料,如密碼等的特定文件夾。
4. 匿名FTP伺服器。通過連接到該伺服器,惡意軟件攻擊者可以遠程存取被感染的電腦,並瀏覽文件系統。他們可以使用伺服器上傳、下載或刪除文件和執行指令。
5. 虛擬網絡運算(VNC)模組。這為攻擊者提供另一種遠程存取電腦的方式。
6. 採集FTP。這功能允許攻擊者收集大量的FTP客戶端的登錄憑證。
Ramnit如何散播
現時的攻擊者足智多謀,採用了一些不同的方法攻擊受害者。近年的一個主要方法為利用託管在受感染網站和社交媒體的組件。亦有公共的FTP伺服器被用於分發惡意軟件。另一個方法則為通過潛在、閒置的應用程式。
受害者的位置
Ramnit已經影響到世界各地的受害者,感染已在大多數國家被發現。近日受影響最嚴重的國家為印度、印尼、越南、孟加拉、美國和菲律賓。
受感染的電腦數目有減少的跡像,但Ramnit殭屍網絡仍然非常活躍。
保護
Symantec提供一個工具可檢查電腦有否受到Ramnit病毒感染,並可協助你清除該病毒。工具可於這個頁面下載。http://www.symantec.com/security_response/writeup.jsp?docid=2015-022415-4725-99
Symantec和Norton產品有以下偵測Ramnit的方式:
防毒軟件
· W32.Ramnit
· W32.Ramnit.B
· W32.Ramnit!inf
· W32.Ramnit.C!inf
· W32.Ramnit.D!inf
· W32.Ramnit!html
入侵防禦系統
· System Infected: Ramnit Zbot Web Inject Activity 
關於 Symantec
作為資訊防護專家,Symantec(納斯達克:SYMC)協助個人、企業和政府在任何時間、地域開拓科技所帶來的機會。Symantec成立於1982年4月,為財富500强企業,經營全球最大之一的數據情報網絡,為儲存、存取和共享重要資訊提供領先的防護、備份和可用解決方案。Symantec在超過50多個國家,擁有逾20,000名員工。百分之九十九的財富500强企業為Symantec客戶。在2014財政年度,Symantec錄得收入達67億美元。欲了解更多資訊,請瀏覽 www.symantec.com或與Symantec聯繫:go.symantec.com/socialmedia。
