Avast于8月28日宣布,它利用蠕虫的命令和控制服务器利用漏洞,从大约850,000个系统中删除了使用受害者的计算机为其运营商挖掘加密货币的Retadup僵尸网络。该安全公司与法国国家宪兵队(该国国家警察部队之一)的网络犯罪战斗中心以及联邦调查局一起“消毒”僵尸网络。
Retadup是一种恶意蠕虫,可以感染计算机,执行给定命令,然后工作以感染其他系统。Avast表示,虽然它主要用于挖掘加密货币,但它可能会对受感染的设备启用其他攻击,因此在研究僵尸网络时必须避免检测。该公司特别关注的是,如果勒索的操作员知道它已被泄露,那么它就会被用来分发勒索软件。
利用Retadup的命令和控制结构中的缺陷将使Avast能够删除恶意软件,而无需将自己的更新推送到受感染的系统。(有点像发出自毁命令而不是进行有针对性的攻击。)这样它可以帮助系统被Retadup感染的每个人,而不是发布只有那些也使用其防病毒解决方案的Windows用户才能使用的修复程序。
然而,处理这种“消毒”过程的技术方面只是战斗的一部分,这也是法国和美国执法机构参与的原因。阿瓦斯特说它在3月份联系了网络犯罪战斗中心。然后,它不得不等待法国警察获得检察官进行操作的许可,同时,它建立了新的工具来偷偷监视Retadup的活动。
检察官最终授权网络犯罪战斗中心与Avast合作,于7月接管Retadup的命令和控制服务器。由于部分命令和控制基础设施也位于美国,因此FBI也参与其中。一旦所有法律障碍被清除,Avast及其执法合作伙伴就能够用他们自己的“消毒”服务器替换Retadup命令和控制服务器。
Avast表示,迄今为止清除Retadup的850,000个系统大部分位于拉丁美洲,运行Windows 7并且不依赖于任何类型的防病毒解决方案。(当然,明确的含义是他们应该信任Avast以保证他们的安全。)有关Retadup如何逃脱安全社区的通知以及Avast如何能够破坏大规模僵尸网络的更多信息可以在其中找到博客文章。