您是否感染了佐治亚州的政府网站？

ESET 专家被称为主动防御在线攻击的领先公司，最近几周发现了一个“僵尸网络”，该网络迄今为止主要传播到格鲁吉亚，但已经逃往其他国家，并且具有非常有趣的通信能力。

除了一些活动外，他还试图窃取文件和证书，能够进行录音和视频录制，还会浏览本地网络以获取信息。 对在格鲁吉亚传播的解释是，令人惊讶的是，它使用格鲁吉亚政府网站更新其命令并检查信息，因此 ESET 研究人员认为，名为 Win32 / Georbot 的恶意软件主要针对格鲁吉亚用户。 该恶意软件的另一个特殊功能是它扫描“远程桌面配置文件”，从而允许攻击者窃取文件，然后将它们发送到远程计算机而无需任何干预。 更令人担忧的是病毒的不断进化，直到 20 月 XNUMX 日，ESET 在其调查中发现了许多新变种。

Win32 / Georbot 拥有最先进的更新机制，允许您不断下载自己的新版本，以免被防病毒程序注意到。 此外，它使用一种保护机制，以防它无法访问 C&C（命令和控制）服务器，因为在这种情况下，它会连接到位于格鲁吉亚政府服务器上的特殊网站。
 - 这并不一定意味着格鲁吉亚政府参与其中。 很多时候，人们不知道他们的系统已经被攻破。 ESET 安全情报计划总监 Pierre-Marc Bureau 说。 
 - 需要注意的是，格鲁吉亚司法部数据交换局和国家 CERT 自 2011 年以来就已充分了解情况，正在不断监测并请求 ESET 提供技术援助。 他加了。 
70% 的受感染主机位于格鲁吉亚，但 12% 位于美国、德国和俄罗斯。

ESET 研究人员还能够访问僵尸网络的控制面板，以获取有关受影响机器的数量和位置的清晰数据，以及对可能的病毒命令的访问。 仪表板中最有趣的信息是僵尸网络在受感染系统的文档中搜索的所有关键字的列表。 除其他外，以下词语被列入英文名单：“部门、服务、秘密、特工、美国、俄罗斯、联邦调查局、中央情报局、武器、FSB、克格勃、电话号码”。

 - 视频捕获功能只使用过几次，使用网络摄像头、截屏和 DDoS 攻击。 局说。 它使用格鲁吉亚网站来更新命令和验证信息，并且它可能使用同一页面进行扩展，这一事实表明主要目标可能是格鲁吉亚。

根据在匈牙利分销 ESET 的 IT 安全产品的 Sicontact Kft. 的病毒专家 Péter Béres 的说法：
 - Win32 / Georbot 很可能是由一组网络犯罪分子创建的，目的是获取可以出售给其他组织的敏感信息。

 - 网络犯罪正变得越来越专业，并且针对越来越多的参与者。 Win32 / Stuxnet 和 Win32 / Duqu 是服务于特定目的的高科技网络犯罪杰作，但不太复杂的 Win32 / Georbot 也具有独特的功能和方法来获取它们的创建目的。 Win32 / Georbot 有很多特殊的信息和系统访问权限 - 所以寻找远程桌面配置文件。 - ESET 的高级研究员 Righard Zwienenberg 总结道。

资料来源：新闻稿