殭屍網絡偵測及清理

1. 引言

殭屍網絡為現今其中一種主要的網絡安全威脅。無論是電腦、手提電話、網絡攝影機等智能裝置都有機會受感染，成為殭屍網絡的一部份，然後被黑客遙距控制，參與非法活動，發動精密及具破壞力的攻擊，造成更廣泛的資訊洩漏及嚴重的服務癱瘓，招致龐大損失。

HKCERT一直留意殭屍網絡的發展，作出不同跟進行動應對攻擊，並及時發布保安建議給用戶修補漏洞和提升意識。

2. 什麼是殭屍網絡？

殭屍網絡「botnet」這辭彙，「bot」是「robot」的簡稱，加上「net」即是「機械人連結成的網絡」；而控制他人電腦的黑客被稱為「bot herder」。裝置受惡意程式感染，被安裝「殭屍電腦程式」後會成為「殭屍電腦」，繼而受 bot herder 控制，透過指揮伺服器（簡稱 C&C 或 C2 伺服器），向殭屍電腦發出指令進行工作。殭屍網絡一般由數百部，甚至百萬部裝置組成，這些裝置包括 PC、Mac、Linux 伺服器、家用路由器、智能手機等。

這些被操控的裝置結合起來，所組成的資源的威力，可發動具破壞力及精密的攻擊，例如發送以億計的垃圾電郵、巨大頻寬的分散式阻斷服務攻擊（DDoS）及針對性的財務詐騙。

3. 一般清理步驟

假如你的裝置感染殭屍電腦程式，可根據以下步驟清理，其適用於受常見殭屍電腦程式感染的視窗系統。關於其他清理工具，可參考本網站的「保安工具」（按此）。關於個別殭屍網絡及其他平台的清理方法，可參考下一部份。

連結到此網址 https://docs.microsoft.com/zh-hk/windows/security/threat-protection/intelligence/safety-scanner-download，根據你電腦執行的是32 位元或64 位元版本的Windows ，下載適合的「Microsoft 安全掃描程式」。

執行 msert.exe。假如你接受授權合約，需要勾選「接受上述授權合約中所有的條款」接受授權合約，並按「下一步」繼續。

選擇 「下一步」初始掃描。

選擇「完整掃描」，然後按「下一步」開始掃描。

掃描會進行一段時間。視乎你的電腦檔案數目，整個過程可能需要數小時，請確保充足電源以免掃描被中斷。

如果你的電腦未受到任何惡意程式感染，會顯示「未偵測到疾病毒、間諜軟體和其他潛在的垃圾軟體」。

如果你的電腦受殭屍網絡程式感染，掃描器會偵測並移除惡意程式。