在去年的时间，曝光了一个牛x病毒“DC”，感染的安卓手机会变成一个中转监听站，从受维护的网络中提取灵敏信息。其时，google称将带着歹意僵尸代码的四百个的google的 爱怕怕 下架，而且采纳了“必要手段”维护已感染的用户。时隔16个月，一名黑客供给依据标明，这个所谓的DC牛x仍在活泼，且可能现已感染四百w台设备。
牛x病毒“DC”的损害  五九盾高防服务器为您带来全新体验

这种感染带来了严重要挟，因为僵尸代码会让手机运用 SOCK 协议，然后直接衔接进犯者的效劳器。进犯者能够直接经过用户手机入侵用户的家庭或公司网络，窃取路由器暗码，检测电脑缝隙或未加密数据。更糟糕的是，进犯者的指挥与操控效劳器用于创立衔接的编程接口未经加密，无需验证，这很可能被其他进犯者运用。

时刻线

        牛x DC 已于去年年8月之前被公开曝光，安全公司 Check Point Software  的研究员曾强调过启用 SOCKS 协议的歹意软件具有何种要挟。而一个月后，趋势科技也陈述称发现了3000个嵌入DC的安卓运用，其间有400个曾在Google Play呈现直至谷歌将其下架。

        2017年10月，牛x病毒 DC 被曝光的14个月后，赛门铁克陈述称在Google Play发现了一批新的歹意运用，这些运用的下载次数已达260万，其时赛门铁克将其命名为Sockbot，但该歹意代码运用与牛x病毒 DC 相同的 C&C 效劳器，而且是敞开的，未经授权的编程接口，这一点更是与 DC 千篇一律。

歹意安卓运用曝光后谷歌的呼应功率究竟如何？出示 DC 牛x仍在活泼的依据的黑客称现已彻底拿下其 C&C 效劳器，而且发现 C&C 的源代码是由一个私人 GitHub 账户保管。

该黑客暗示称，虽然安全研究员已在私下重复告诉谷歌，但该歹意软件内深藏的代码仍在许多设备上运行。现在，尚不清楚谷歌会否将已感染手机上带着 DC 和 Sockbot 的运用做长途删去。

“职业常规”是安全公司或受影响的软件公司经过一个被称为沉库（sinkholing）的进程来操控用于运行牛x的因特网域和效劳器。现在还不清楚 Google 采纳什么办法操控 DC，现在C&C 效劳器以及两个公共 API 仍在活泼。

谷歌新闻发言人在邮件中标明：“咱们从去年年开始就维护用户不受 DC 及其变种的损害。咱们正继续监控这一歹意软件宗族，会采纳合适的办法维护安卓用户。”但此声明未提及谷歌是否会用 Sinkholing 技能拿下 C&C 效劳器。
什么是sinkholing技能？

    Sinkholing 技能能够将网络中的数据流量进行有意图的转发，因而既能够是针对正常的数据流量也能够在发作网络进犯时作为一种防御办法。

    当一个牛x中的肉鸡向效劳器发送数据时，就能够运用 sinkholing 技能将这些数据流量进行有意图的转发，以此来对牛x进行监控、查找受到影响的域IP地址，终究分裂牛x的进犯，让那些肉鸡无法接受命令。政府执法部分能够用这种技能来查询大规模的网络犯罪活动。其实日常日子中，各类互联网基础设施运营商和内容分发网络都会运用这种技能来维护自己的网络和用户免受进犯，调整网络内的数据流量散布状况。

5000台设备5秒一刷获取诈骗广告收益

供给依据的黑客标明，此僵尸的意图是让被感染手机每秒拜访上千次广告，生成诈骗性的广告收益。其原理如下：

    进犯者操控的效劳器运行的许多无头浏览器点击有广告的页面，然后经过流量挣钱。为了瞒过广告商的虚伪流量检测，效劳器运用 SOCK 署理让流量走被感染设备，五秒刷一次流量。

该黑客标明拿下 C&C 效劳器以及源代码后发现，DC 需求依托五个效劳器，而每个效劳器运行1000个线程。所以，它随时就能运用5000个署理设备，然后每五秒换一次。

该黑客花了几个月时刻查找源代码和僵尸手机上的其他私人数据后，估量DC 牛x至少现已操控了400万台设备，并估量称曩昔几年这种欺骗性的广告点击已获利2000万美金（约合人民币1.27亿元）。
Adeco Systems公司与牛x存在相关

依据 DC 牛x的编程接口和 C&C 源代码，该黑客剖析标明，任何操控了Adeco Systems 公司的 adecosystems.com 域名的人都能保存这个僵尸代码。

安全公司 Lookout 的研究员 Hebeisen 对此做了几点承认：

        该黑客提及的 C&C 效劳器就是 DC 和 Sockbot 运用的效劳器，它至少需求两个公共编程接口，其间一个会在感染的设备上创立 SOCKS 衔接。

        用于衔接的API都保管在属于 adecosystems.com 的效劳器上，此域名由一个移动效劳供货商运用。Hebeisen 还承认第二个界面用于供给用来点击广告的用户署理。

        adecosystems.com 效劳器与 DC 和 Sockbot 代码衔接的效劳器之间由紧密联系。由于Lookout研究员没有拜访这些效劳器的私密部分，所以无法承认 SOCKS 署理是否与用户署理的界面相连，无法断定有多少设备向 C&C 陈述，也无法断定该僵尸病毒产生了多少收益。

Adeco Systems 官方称，他们公司与此僵尸病毒无关，并正在查询自己的效劳器为何被用于保管 API 。经过浏览器拜访 adecosystems.com，就能截图检查被感染设备，包括其IP地址和图画方位。更新链接能迅速其他被感染手机的这些细节信息。因为数据未加密，所以任何知道这个链接的人都能够创立自己的SOCKS衔接。

尚不知道有多少包括DC代码的运用

供给依据的这名黑客还拜访了一个包括硬件辨认符、运营商、MAC 地址以及被感染设备 ID 的数据库，并供给了相应的截图证明：这其间的许多歹意运用都可在第三方运用商场下载，如 APKPure。研究员 Hebeisen 和这名黑客都无依据标明 Google Play 最近几个月保管过 DC 或 Sockbot 运用。

虽然谷歌称有能力长途卸载这些歹意运用，但谷歌或许考虑批评者指出的“这类未经用户许可的操作是否越界”可能不愿意这么做。即使长途卸载存在许多费事，但考虑到被感染的几百万设备可轻易树立 SOCKS 衔接，谷歌能不能执行这种操作？

现在，还没有一份完整的记载装置了 DC 和 Sockbot 代码的运用名单。假如你担心自己的手机被感染，可装置Check Point，赛门铁克或 Lookout 的反病毒运用，扫描是否存在歹意 App。在安卓机上装置运用时也应慎重选择，尽量从官方途径下载。