法国警方从85万台受感染的电脑上远程删除了RETADUP恶意软件

RETADUP机器人恶意软件以及它如何在研究人员的帮助下对全球85万多台计算机进行远程消毒。

今年早些时候，Avast防病毒公司的安全研究人员在积极监控RETADUP僵尸网络的活动时，发现了该恶意软件的C&amp；C协议，该协议可能被用来在不执行任何额外代码的情况下从受害者的计算机中删除恶意软件。

然而，为了做到这一点，该计划要求研究人员控制恶意软件的C&C服务器，由位于法国中北部法兰西岛地区的托管提供商托管。

因此，研究人员在今年3月底联系了法国国家宪兵队网络犯罪打击中心（C3N），分享了他们的发现，并提出了一项秘密计划，以结束RETADUP病毒并保护受害者。

根据提议的计划，法国当局接管了RETADUP C&C服务器，并用一台准备好的消毒服务器取代它，该服务器滥用其协议中的设计缺陷，并命令受感染计算机上连接的RETADUP恶意软件实例自毁。

研究人员在今天发布的一篇博文中解释说：“在其活动的第一秒钟，数千个机器人连接到它，以便从服务器获取命令。消毒服务器响应并消毒它们，滥用C&C协议设计缺陷”。

“在发表这篇文章时，这项合作已经中和了85万多例独特的RETADUP感染”。

据国家宪兵队国家刑事情报局局长让·多米尼克·诺莱特说，由于一些受感染的计算机尚未与警方控制的C&C服务器；一些人自7月以来一直处于离线状态，而另一些人则出现网络问题。
法国警方在发现了RETADUP的C&C美国的基础设施。FBI随后于7月8日将其取缔，使恶意软件作者无法控制这些机器人。

研究人员说：“由于C&C服务器有责任将挖掘作业交给机器人，因此在这次拆除之后，没有一个机器人收到任何新的挖掘作业来执行”。“这意味着他们不能再消耗受害者的计算能力，恶意软件作者也不再从采矿中获得任何金钱收益”。

RETADUP创建于2015年，主要是拉丁美洲的受感染计算机，是一种多功能Windows恶意软件，能够利用受感染计算机的计算能力挖掘加密货币，利用受害者的带宽使用DDoS目标基础设施，并为间谍活动收集信息。

RETADUP有几种变体，其中一些要么是用Autoit编写的，要么是用AutoHotkey编写的。该恶意软件的设计目的是在Windows计算机上实现持久性，在受感染的计算机上安装额外的恶意软件有效载荷，并定期进行其他传播尝试。
除了将加密货币恶意软件作为有效载荷分发外，在某些情况下，还发现RETADUP传播Stop勒索软件和Arkei密码窃取软件。

研究人员在分析查获的C&C服务器。

“HoudRat能够执行任意命令、记录击键、截图、窃取密码、下载任意文件等”。

在发表这篇文章时，当局已经消除了85万多例独特的Retadup感染，大多数受害者来自拉丁美洲的西班牙语国家。