殭屍網絡偵測及清理
1. 引言
殭屍網絡為現今其中一種主要的網絡安全威脅。無論是電腦、手提電話、網絡攝影機等智能裝置都有機會受感染,成為殭屍網絡的一部份,然後被黑客遙距控制,參與非法活動,發動精密及具破壞力的攻擊,造成更廣泛的資訊洩漏及嚴重的服務癱瘓,招致龐大損失。
HKCERT一直留意殭屍網絡的發展,作出不同跟進行動應對攻擊,並及時發布保安建議給用戶修補漏洞和提升意識。
2. 什麼是殭屍網絡?
殭屍網絡「botnet」這辭彙,「bot」是「robot」的簡稱,加上「net」即是「機械人連結成的網絡」;而控制他人電腦的黑客被稱為「bot herder」。裝置受惡意程式感染,被安裝「殭屍電腦程式」後會成為「殭屍電腦」,繼而受 bot herder 控制,透過指揮伺服器(簡稱 C&C 或 C2 伺服器),向殭屍電腦發出指令進行工作。殭屍網絡一般由數百部,甚至百萬部裝置組成,這些裝置包括 PC、Mac、Linux 伺服器、家用路由器、智能手機等。
這些被操控的裝置結合起來,所組成的資源的威力,可發動具破壞力及精密的攻擊,例如發送以億計的垃圾電郵、巨大頻寬的分散式阻斷服務攻擊(DDoS)及針對性的財務詐騙。
3. 一般清理步驟
假如你的裝置感染殭屍電腦程式,可根據以下步驟清理,其適用於受常見殭屍電腦程式感染的視窗系統。關於其他清理工具,可參考本網站的「保安工具」(按此)。關於個別殭屍網絡及其他平台的清理方法,可參考下一部份。
根據你電腦執行的是32 位元或64 位元版本的Windows ,下載適合的「Microsoft 安全掃描程式」。
執行 msert.exe。假如你接受授權合約,需要勾選「接受上述授權合約中所有的條款」接受授權合約,並按「下一步」繼續。
選擇 「下一步」初始掃描。
選擇「完整掃描」,然後按「下一步」開始掃描。
掃描會進行一段時間。視乎你的電腦檔案數目,整個過程可能需要數小時,請確保充足電源以免掃描被中斷。
如果你的電腦未受到任何惡意程式感染,會顯示「未偵測到疾病毒、間諜軟體和其他潛在的垃圾軟體」。
如果你的電腦受殭屍網絡程式感染,掃描器會偵測並移除惡意程式。
