仙女座僵尸网络（Andromeda又名 Gamarue或Wauchos）自2011年开始活跃，该僵尸工具来源于俄罗斯，是一款隐藏性极好的恶意代码传播程序，到目前为止，已经传播了非常多的恶意软件，其中比较出名的就是 Dridex 银行木马和 GamaPoS 恶意软件。

不过近日该僵尸工具的好日子就要到头了，11月29日，美国联邦调查局、欧洲刑警组织和相关企业（微软等）联合开展了的一项清除恶意网络的国际行动，成功关闭号称现存时间最长的恶意僵尸网络。 

仙女座僵尸网络全军覆没

在经过四年的追踪调查后，11 月 29 日联合执法机构对仙女座僵尸网络控制的服务器以及用于通信的 1500个域名进行了查封。

据外媒报道，本次执法中还逮捕了一名疑似仙女座僵尸网络开发人员的白俄罗斯男子，他利用一年前关闭的 Avalanche 平台，通过 sinkholing  技术分析其流量并跟踪受感染的系统。在联合执法机构接管仙女座家族的服务器和域名后，微软在48 小时内的统计显示，有来自 223 个国家的约 200 万个IP 地址受到威胁。根据调查，英国、白俄罗斯、新加坡、中国台湾等国家或地区普遍遭到该僵尸网络的影响。

仙女座僵尸的肆虐程度

微软公司的安全团队的追踪分析，在过去半年中，仙女座僵尸网络向受害用户传播了80 种不同的恶意软件，并且每月平均有110万台电脑受到影响。这80 种不同的恶意软件，每组均有自己独特的恶意软件以及无数个基于该恶意软件开发的变种和携带变种的各类恶意软件或正常软件。尽管有的攻击行为被杀毒软件给阻止了，但依然还有很多电脑没有安装杀毒软件而遭到感染。

攻击者会使用该僵尸网络发送垃圾邮件、感染目标用户 、同时还向已感染用户二次传播恶意软件，甚至通过将这些已感染的僵尸网络租借给其他人获利。通过恶意软件掌控的数量庞大的肉鸡进行获利，是该僵尸网络的生财渠道之一，由这些肉鸡组成的超大僵尸网络已在过去几年发动数次大规模 DDoS 攻击，直接造成的经济损失达数亿欧元。 

查封过程

此次查封的僵尸网络，多数被安全公司ESET检测为Win32/TrojanDownloader.Wauchos 。此外安全专家还跟踪了它所运行的基础设施，确定了C＆C服务器地址以及僵尸网络可能造成的潜在威胁。

对仙女座僵尸网络的查封计划，早在去年就开始布局了。2016年11月30日，经过四年多的调查，来自德国警察、美国司法部和联邦调查局、欧洲刑警组织等 30 个国家的检察官和调查人员进行了一场国际执法合作，摧毁了国际犯罪基础设施平台Avalanche。就是在这次行动中，执法人员发现了仙女座僵尸网络Avalanche的运行方之一，不过为了不打草惊蛇，方便监控仙女座僵尸网络，在去年新闻发布中，执法人员并没有透露有关仙女座僵尸网络的任何细节。

积极意义

此次行动是继欧美联合执法捣毁国际犯罪基础设施平台“ Avalanche”后的有一个具有里程碑式的事件，在“Avalanche”行动中，执法人员共逮捕了5人，搜查了37处房屋，并查获了39台服务器，发现180多个国家的受害者感染了恶意软件，并联系运行商远程强制关闭了221个服务器。这次行动堪称史上最大规模的利用恶意网络流量打击僵尸网络行动，80多万个恶意网站被关闭。

这次国际行动再次体现了司法、执法部门与运行商的合作以有效打击网络犯罪团伙的决心。