格鲁吉亚反击俄罗斯黑客编辑本段回目录
格鲁吉亚计算机紧急响应小组(CERT)公布了27页的英文报告,披露了俄罗斯黑客对格鲁吉亚发动的网络攻击,使用的恶意程序,恶意程序如何扩散等细节,最令人称奇的是它发布了用摄像头拍摄的俄黑客照片。整件事中最值得警惕的是我们的计算机能变成强大的监控设备。
黑客首先入侵了多个格鲁吉亚新闻网站,在北约、格鲁吉亚和美格关系等主题相关新闻页面植入脚本,访问这些页面的人会自动执行恶意程序下载工具 TrojanDownloader:JS/SetSlice,在用户不知情下执行calc.exe。calc.exe不会启动计算器程序,而是扫描计算机是否处于UTC+3或UTC+4时区(即东欧到俄罗斯),恶意程序只会安装在位于上述时区的计算机上。
Calc.exe会植入explorer.exe并创建文件usbserv.exe,将文件名写入注册表使其能自动运行。之后Usbserv.exe会在后台扫描所有Word、PDF、Excel、文本、富文本格式、PowerPoint文档,搜索NATO、FBI、CIA、俄罗斯、格鲁吉亚、KGB、电话号码等关键词,相关文档会被上传到远程命令控制服务器。在一年多时间内,恶意程序只感染了390台电脑,绝大多数属于格鲁吉亚政府机构、议会和银行。CERT在2011年3月首次注意到该恶意程序,在了解恶意程序工作原理之后,它联系主要ISP屏蔽命令控制服务器IP地址。恶意程序作者随后调整了程序绕过屏蔽,到了11月,恶意程序已被深层加密,并能感染Windows 7;到了12月,它甚至能屏幕录像,打开摄像头和麦克风,在内网中传播。