Dridex僵尸网络服务器遭劫持，为用户下载免费防病毒软件

hkwljs

匿名白帽劫持Dridex僵尸网络C&C服务器，将原本用于传播，针对银行业务的木马替换成免费杀毒软件Avira（小红伞）。

Avira （德国防病毒厂商小红伞）表示其安全专家是在几天前发现该情况的，但对于此事也只有初步了解。

Dridex 此前可以说是是最为成功的僵尸网络之一，其給全球用户造成了上千万美元的损失。但在其幕后操纵组织的一个核心成员在塞浦路斯，帕福斯被捕后，该僵尸网络的活跃度便慢慢平息下来。

在此前，我们也可以稍稍了解下Dridex的相关情况，详细可参见：《深入分析擅长“自我保护”的网银木马Dridex》、《FBI、EC3、众安全公司共同击败了Dridex僵尸网络》等

通过欺诈垃圾邮件来进行传播

在这个事件之前，Dridex的正常传播模式是依赖于欺诈垃圾邮件，其中包含着恶意Word 文档。当用户下载并打开该文档之后，用户会被引导开启word宏命令功能 。宏命令允许Word（或其他办公软件如Excel等）执行一系列的自动操作。在这个案例中，恶意Word文件下载打开后，将安装 Dridex，使用户称为僵尸网络的一个节点。一般来说，Dridex通过伪造的web页面，引导用户输入银行相关登陆凭证，如账户、密码等。从Dridex执行方式分析，其对宏命令的依赖程度较高。

DridexC&C服务器遭劫持

从几天前开始，这些Word 宏命令（与外部的 C&C服务器通讯，并引导下载服务器上的木马）开始为用户下载Avira防病毒软件。

从目前的情况来看，应该是有人入侵并劫持了C&C服务器，接着将接收到的下载请求链接到另外一个新的文件：Avira 防病毒软件。对于僵尸网络的C&C服务器遭入侵的情况，其实并不罕见。网络犯罪团伙之间经常通过相互间的攻击，来劫持对方的僵尸网络，从而增强自身恶意软件的传播能力。

在去年10月份，也发生了类似的白帽事件，具体内容可参见《路由器“保护”天使：“恶意软件”Linux.Wifatch》。其中的“主角” Linux.Wifatch“恶意软件”并不以破坏用户路由或窃取信息为目的，其主要的功能是“保护路由不受其他恶意软件感染”，从而提高路由的安全防护能力。

来自Avira的反应

54hacker

还是不错的哦，顶了

yusiii

还是不错的哦，顶了

arctic

支持中国红客联盟(ihonker.org)

Lucifer

学习学习技术，加油！

a136

感谢楼主的分享~

H.U.C-麦麦

还是不错的哦，顶了

云游者

支持，看起来不错呢！

wilist

H.U.C—Prince