世界杀毒网(官方最新杀毒软件下载)

做安全的童鞋，大概对Necurs僵尸网络并不陌生，大概想用一生的知识“摧毁”它。

最近这个愿望似乎被微软实现了。雷锋网3月11日报道，微软昨天宣布，他们成功摧毁了Necurs僵尸网络，该网络已经感染了全球900多万台电脑，在两个月内产生了380万条垃圾短信，并劫持了其大部分基础设施。

微软成功捣毁 Necurs 僵尸网络

据国外媒体报道，这次微软能够破解Necurs僵尸网络得益于35个国家/地区的国际警察和私人科技公司的协调行动。

微软表示，为了摧毁Necurs，他们破解了——DGA，僵尸网络通过算法生成新域名的技术。

DGA (Domain Generate Algorithm)是由某种算法使用时间、字典和硬编码常数生成的域名。DGA生成的域名是随机的，用于具有中心结构和C & ampc服务器连接规避域名黑名单检测技术。

攻击者可以通过运行算法生成DGA域名，然后随机选择少量域名进行注册，并将它们添加到C & ampc服务器。受害者的机器被植入恶意程序后，运行DGA算法生成域名，并检测该域名是否可以连接。如果连接不上，试试下一个域名。如果可以连接，就会被选为恶意程序的控制服务器的域名。当这一切来到僵尸网络，你的电脑就会瘫痪，后果很严重。

因此，为了彻底摧毁Necurs僵尸网络，微软在35个国家破解了该算法，并成功预测了网络在未来25个月内可能创建的600万个域名，并通知给世界各地的域名管理机构，以防止未来的攻击。此外，在法院命令的帮助下，微软还接管了Necurs在美国的现有域名，并获得了美国基础设施的控制权，这些基础设施被用于分发恶意软件和感染受害者电脑。

微软表示:“通过控制现有网站和限制注册新网站的能力，我们极大地‘摧毁’了僵尸网络。”

值得一提的是，这次行动是微软策划了八年的。

全球最大的僵尸网络之一：Necurs 僵尸网络

在讲Necurs僵尸网络之前，雷锋网先带你了解一下僵尸网络。

简单来说，僵尸网络是指那些在互联网上使用恶意代码控制设备，使其像僵尸一样失去原有“意识”的人。这些僵尸网络在C2(即控制器)的指挥下统一行动，形成了一个僵尸网络。僵尸网络的一个重要作用就是进行DDoS攻击，即同时启动这些硬件访问特定的服务器，导致对方网络瘫痪，无法正常运行。

在僵尸网络的世界里,“弱肉强食”的法则依然盛行。谁控制了最壮丁，谁就拥有了最强大的“军队”，可以在网络世界里肆意杀戮，攻城略地。

一般来说，恶意僵尸程序会扫描整个网络。一旦易受攻击的设备(计算机、硬件等)。)被发现，它会立即入侵并控制它，将其置于僵尸军队的管辖之下，然后以新的僵尸设备为跳板，继续感染其他设备。这就像僵尸电影中病毒的指数传播模式。

这些僵尸军队从数千设备到数百万设备不等，这就很容易理解为什么安全公司总是试图摧毁它们。

我们来看看这次被微软摧毁的Necurs僵尸网络。

Necurs僵尸网络于2012年首次被发现。它由数百万台受感染的设备组成，并一直致力于分发银行恶意软件、加密劫持恶意软件、勒索软件以及每次运行欺诈时发送给数百万收件人的各种电子邮件。在过去的八年里，Necurs僵尸网络已经发展成为世界上最大的垃圾邮件传播组织。

然而，Necurs不仅仅是一个垃圾程序，而是一个模块化的恶意软件，它包括一个主僵尸网络模块，一个用户级Rootkit，并可以动态加载其他模块。

2017年，Necurs开始活跃，它在传播Dridex和Locky勒索软件时受到关注，每小时可以向世界各地的电脑发送500万封邮件。

[图片来源:freebuf所有者:freebuf]

在昨天发布的另一份报告中，研究人员表示，“从2016年到2019年，Necurs是犯罪分子发送垃圾邮件和恶意软件的最重要方法，其中90%的人使用这种方法通过电子邮件在世界各地传播恶意软件。”

微软表示:“在58天的调查中，我们观察到一台感染了Necurs的电脑总共发送了380万条垃圾短信，潜在受害者有4060万人。”

根据研究人员发布的最新统计数据，印度、印度尼西亚、土耳其、越南、墨西哥、泰国、伊朗、菲律宾和巴西是受Necurs恶意软件攻击最多的国家。

但是，还是有一种担心，互联网世界可能会有无穷无尽的僵尸。

Necurs 还会卷土重来吗？

事实上，对抗僵尸网络是一场持久战，安全人员也一直在为此努力，但遗憾的是，僵尸网络总会卷土重来。

雷锋。com了解到，2015年10月，包括FBI和NCA在内的国际联合行动摧毁了Necurs僵尸网络，但很快又死灰复燃，随后主要用于传播Locky勒索软件。此后，在安全人员的控制下，Necurs僵尸网络虽然有所“收敛”，但似乎每隔一段时间就会出现新的迭代版本。

2018年4月，研究人员观察到它在功能模块中添加了远程访问木马FlawedAmmyy。Fladammyy是木马通过合法的远程访问工具Ammyy Admin。Fladammyy和远程桌面工具一样，拥有Ammyy Admin的功能，包括远程桌面客户端、文件系统管理、代理支持和音频聊天。Necurs通过C&C命令连接不同的模块，窃取并发回用户的信息。包括与设备相关的信息，如计算机名、用户ID、操作系统信息、安装的杀毒软件信息，甚至恶意软件构建时间、智能卡是否连接等。

2018年5月下旬，研究人员发现了一些Necurs模块，这些模块不仅泄露了电子邮件帐户信息并发送到HXXP://185 [。] 176 [.] 221 [.] 24/l/s。] PHP。如果有人安装并登录到Outlook，Outlook将创建一个目录“% appdata % \ roaming \ Microsoft \ Outlook”，该目录将在文件名中存储带有电子邮件字符串的凭证。接下来，该模块将搜索文件名中包含电子邮件字符串的文件，然后返回这些字符串。

2018年6月，研究人员看到Necurs推出了一个. NET垃圾邮件模块，该模块可以发送电子邮件，并从Internet Explorer、Chrome和Firefox中窃取登录凭据。这个的一些功能部分。NET垃圾邮件模块与一个开源远程访问工具重叠。

现在，我们还不能确定微软的破坏效应和Necurs会不会卷土重来。因此，Leifeng.com建议，你应该非常小心来自不明来源的电子邮件的内容，以及来自不明来源的安装程序，并定期运行杀毒软件，以避免受到僵尸网络的攻击。

参考:https://www . engadget . com/2020-03-10-Microsoft-disruptions-necurs-botnet . html

https://www . geek wire . com/2020/Microsoft-helps-take-control-necurs-productivity-botnet-infected-900万台计算机-全球/

https://the hacker news . com/2020/03/necurs-botnet-take down . html

https://www.anquanke.com/post/id/84043

https://www.leiphone.com/news/201705/MlHdzjjWbstmBZ6T.html