Qakbot 是一个臭名昭著的僵尸网络，其背后的黑客团伙通过在网上收集电子邮件地址后，不间断地向这些地址发送包含恶意软件的钓鱼链接，用户若点击链接并下载运行附件，就会被感染 Qakbot 病毒。

你可能会想为什么有人会点击并运行邮件中提供的链接和附件呢？这种情况其实非常正常，因为黑客团伙在发送邮件时也会带上引导类话术，诱导用户下载使用，比如针对男性群体最常见的就是号称各种免费看小电影的软件。

据 FBI 发布的公告，由 FBI 联合国际刑警组织开展代号为猎鸭手术 (Operation Duck Hunt) 的行动，计划摧毁在全球感染量高达 70 万台设备的 Qakbot 僵尸网络。

路由其 C2 服务器然后自动卸载：

直接摧毁 Qakbot 服务器并不能解决用户已经被感染的 Qakbot 病毒，保不准黑客团伙还有什么后招。所以 FBI 采取的方法是将自己控制的服务器重新路由 Qakbot 的服务器然后发送更新，于是凡是能接到更新的受感染设备的 Qakbot 都会自动下载用于删除 Qakbot 的软件，也就是利用 Qakbot 获得更新删除其自身。

基于安全考虑，这个用于删除 Qakbot 的程序还阻断受感染设备与 Qakbot 僵尸网络的通信，这样即便是删除失败 Qakbot 也会保持静默无法再接收远程命令。

Qakbot 常见的恶意行为包括在受感染设备上窃取信息、安装勒索软件，当然这种广泛撒网式的感染，能够获得的高价值目标并不多，所以多数受感染的设备都变成了肉鸡，主要帮助 Qakbot 发起 DDoS 之类的攻击，Qakbot 会对外出租 DDoS 攻击服务，那这些肉鸡获利。

FBI 也强调本次执法行动仅限于 Qakbot，如果用户设备上还感染了其他恶意软件，那是不会被自动处理的。

FBI 公布 Qakbot 窃取的各种电子邮件地址：

在调查中 FBI 还设法获得了 Qakbot 的部分数据库，其中一份数据库包含 600 多万个用户电子邮箱，这些邮箱主要就是用来发送各种钓鱼邮件的。

FBI 将数据库共享给了查看账户是否泄露的 Have I Been Pwned，用户通过该网站输入自己的邮箱就可以查看自己的数据是否泄露。

Qakbot 自 2008 年开始就一直存在：

本次发起的猎鸭行动除了 FBI 外，国际刑警组织以及法国、德国、荷兰、英国、罗马尼亚、拉脱维亚的执法机构或其他机构也参与其中。

Qakbot 自 2008 年以来就一直存在，在全球感染了至少 70 万台设备，仅在美国就感染了至少 20 万台设备。

美国司法部则是关注到 Qakbot 帮助勒索软件进行分发，包括 Conti、REvil、MegaCortex 等，在相关执法行动中美国司法部已经扣押了 Qakbot 860 万美元的加密货币资产。

一般来说这类僵尸网络被摧毁后过段时间还会卷土重来，无非是时间问题。