根据弗吉尼亚州Alexandria地区法院发出的搜查令,本周三,微软和赛门铁克的技术人员在美国联邦司法官员的陪同下搜查了位于新泽西州Weehawken和弗吉尼亚州Manassa的数据中心。
微软数字犯罪部门助理总法律顾问理查德·博斯克维奇(Richard Boscovich)表示,技术人员控制了新泽西州数据中心的一台服务器,并说服弗吉尼亚州数据中心的运营人员关闭位于荷兰母公司的一台服务器。他表示,他很有信心此次行动成功打击了这一被称作Bamital僵尸网络的信息犯罪组织。
博斯克维奇表示:“我们认为已控制一切,时间将会证明。”微软和赛门铁克估计,周三关闭的服务器被用于与全球30万至100万台感染相关恶意软件的PC通信。
劫持用户搜索结果
微软和赛门铁克表示,Bamital劫持了用户的搜索结果并参与其他一些活动,以实施网络广告的点击欺诈。Bamital的组织者甚至可以控制被感染的PC,安装其他类型的计算机病毒,从而窃取用户的个人信息,使PC参与对某些网站的攻击,以及从事其他计算机犯罪活动。
在关闭这些服务器之后,被感染PC的用户在进行搜索时将会被重定向至一个网站,提醒他们PC感染了恶意软件。微软和赛门铁克向这些用户提供了免费工具,用于清除恶意软件,恢复互联网搜索功能。
此外,用户还将收到提示信息:“你访问这一网站是由于你的计算机很可能感染了恶意软件,导致你的搜索结果被重定向。在你清除恶意软件之前,你将收到这条提示。”
这是自2010年以来微软第6次获得法庭许可,以打击僵尸网络。此前的行动曾瞄准规模更大的僵尸网络,但在此次行动中,微软首次向PC被感染的用户发送通知,并提供了清除恶意软件的工具。
微软的数字犯罪部门位于其总部华盛顿州雷蒙德,拥有11名律师和调查人员,帮助司法机构打击互联网上的金融犯罪和涉及儿童的犯罪。赛门铁克于1年前与微软联系,希望微软与该公司合作,打击Batimal僵尸网络。上周,他们获得了法庭的搜查令,从而对Bamital的服务器采取行动。
点击欺诈生态系统
两家公司表示,他们此前保守认为,Bamital僵尸网络的组织者每年至少从中获利100万美元。而在进一步分析被感染PC的信息之后,两家公司将更清楚地了解Bamital的规模。Bamital会重定向用户在谷歌、雅虎和必应等搜索引擎上的搜索结果,导致用户访问与Bamital存在利益关系的网站。
赛门铁克研究员维克拉姆·撒库尔(Vikram Thakur)表示,Bamital只是“点击欺诈生态系统中”多个主要僵尸网络之一,而这一生态系统给信息犯罪者带来了至少每年数千万美元收入。研究人员未来将对服务器上的数据进行研究,以了解点击欺诈生态系统如何运作,从而更好地确认欺诈广告提供者以及流量掮客。撒库尔表示,Bamital只是点击欺诈世界的冰山一角。
博斯克维奇认为,Bamital最初源于俄罗斯或乌克兰,因为附属于Bamital的网站会在被感染计算机中安装存在俄文的Cookie文件。这一Cookie文件中包含俄语短语“yatutuzebil”,意为“我在这里”。