殭屍網絡偵測及清理

1. 引言

殭屍網絡為現今其中一種主要的網絡安全威脅。無論是電腦、手提電話、網絡攝影機等智能裝置都有機會受感染,成為殭屍網絡的一部份,然後被黑客遙距控制,參與非法活動,發動精密及具破壞力的攻擊,造成更廣泛的資訊洩漏及嚴重的服務癱瘓,招致龐大損失。

HKCERT一直留意殭屍網絡的發展,作出不同跟進行動應對攻擊,並及時發布保安建議給用戶修補漏洞和提升意識。

2. 什麼是殭屍網絡?

殭屍網絡「botnet」這辭彙,「bot」是「robot」的簡稱,加上「net」即是「機械人連結成的網絡」;而控制他人電腦的黑客被稱為「bot herder」。裝置受惡意程式感染,被安裝「殭屍電腦程式」後會成為「殭屍電腦」,繼而受 bot herder 控制,透過指揮伺服器(簡稱 C&C 或 C2 伺服器),向殭屍電腦發出指令進行工作。殭屍網絡一般由數百部,甚至百萬部裝置組成,這些裝置包括 PC、Mac、Linux 伺服器、家用路由器、智能手機等。

這些被操控的裝置結合起來,所組成的資源的威力,可發動具破壞力及精密的攻擊,例如發送以億計的垃圾電郵、巨大頻寬的分散式阻斷服務攻擊(DDoS)及針對性的財務詐騙。

3. 一般清理步驟

假如你的裝置感染殭屍電腦程式,可根據以下步驟清理,其適用於受常見殭屍電腦程式感染的視窗系統。關於其他清理工具,可參考本網站的「保安工具」(按此)。關於個別殭屍網絡及其他平台的清理方法,可參考下一部份。

連結到此網址 https://docs.microsoft.com/zh-hk/windows/security/threat-protection/intelligence/safety-scanner-download,根據你電腦執行的是32 位元或64 位元版本的Windows ,下載適合的「Microsoft 安全掃描程式」。

執行 msert.exe。假如你接受授權合約,需要勾選「接受上述授權合約中所有的條款」接受授權合約,並按「下一步」繼續。

選擇 「下一步」初始掃描。

選擇「完整掃描」,然後按「下一步」開始掃描。

掃描會進行一段時間。視乎你的電腦檔案數目,整個過程可能需要數小時,請確保充足電源以免掃描被中斷。

如果你的電腦未受到任何惡意程式感染,會顯示「未偵測到疾病毒、間諜軟體和其他潛在的垃圾軟體」。

如果你的電腦受殭屍網絡程式感染,掃描器會偵測並移除惡意程式。