在这1000多万个被Conficker感染的IP地址所属国家和地区排名中, 排在前四位的居然是中国、巴西、俄罗斯以及印度——恰好是未来最有发展潜力的“金砖四国”。
撰稿·陈俊
特殊的日子总会有特别的故事, 互联网世界最富悬念的惊爆大戏, 也许会在2009年4月1日这一天拉开大幕。
故事的主角是一个名为“Conficker”、大小只有数百K字节的电脑蠕虫病毒。 可别小看了它——通过感染全球1500万台以上的电脑“僵尸网络”, 它所能驾驭的能量已经堪称网络世界的“核武”。 问题的关键在于, 它的主人、正被微软以25万美元悬赏的幕后黑客, 究竟会否在4月1日这一天将其引爆, 掀起灾难性的网络攻击?还是仅仅只是为了跟全球互联网开上一个超级愚人节玩笑?谜底正在揭开。
初露狰狞
很多人听说Conficker蠕虫病毒, 是在法国海军战机停飞的事故之后——今年1月, 一名法国士兵在家中使用U盘感染了Conficker, 蠕虫被带回海军内网后大面积扩散, 军方电脑数据库也未能幸免, 以至于“飓风”战斗机飞行员无法下载飞行计划。 除法国海军内网外, 英国、德国等国部分军事系统相继爆出Conficker入侵的消息, 英国议会电脑网络近日也宣告沦陷。
“这是一种利用局域网和可插入USB端口的任何设备快速传播的电脑蠕虫, 黑客可以使用Conficker蠕虫攻击窃取个人和财务数据。 ”CNN在今年1月的新闻报道同时指出:“现阶段来说, 该蠕虫病毒带来的伤害还不算非常严重, 因为到目前为止, 它并没有试图窃取个人或信用卡资料。 ”
这些正是最令研究人员困惑的问题, Conficker到底想要什么?长期以来, 蠕虫、木马、后门程序、流氓插件等等恶意程序一直被人们视为“洪水猛兽”, 因为他们要么是偷窃用户电脑隐私和数据的“贼”, 要么是拖垮受害者电脑系统的“无赖”, 或者就是疯狂骚扰用户的“流氓”。 然而, Conficker出世半年来, 一直都只是通过电脑系统漏洞默默地传播自己——一方面屏蔽微软的安全更新和安全厂商网站, 让中招用户无法清除;另一方面还帮助电脑系统阻止其他木马病毒入侵, 仿佛在扮演一种“侠盗”的角色, 从不伤害“手无寸铁”的无辜网民, 甚至被微软中国安全研究人员“大牛蛙”称为“模范蠕虫”。
是“梁山好汉”还是“王莽谦恭未篡时”?直到Conficker的第三个变种Conficker.C, 它才突然露出了狰狞的獠牙。
3月19日, 国际知名安全厂商冠群金辰公司率先宣布, 从4月1日, 也就是西方愚人节这一天起, Confick er.C蠕虫病毒将向全球网络发起大规模攻击。 趋势科技(TrendMicro)则向用户紧急发布预警邮件, 宣称WO RM_DOWNAD.KK(趋势科技对Conficker.C变种的命名)将在愚人节当天自我修改程序, 以进行下一波的网络攻击。 几乎同一时间, 国内最大的网络安全厂商360安全中心也发布预警称, 通过分析, 安全专家发现Confic ker.C正在它所感染的电脑中进行休眠的死循环, 一旦系统时间到2009年4月1日之后, 它就会清醒过来, 在一系列浮点运算后向上百家预先指定的网站发送数据包, 雅虎美国、迪斯尼、Facebook、Youtube等国际知名网站都成为其攻击目标, 百度、腾讯搜搜、开心网、天涯等国内网站也赫然在列。
“这将是一场被精密计划和组织的大型网络攻击, 它所设计的协同作战模式无异于一场正规的军事行动。 ”从国际安全研究组织MTC(MalwareThreatCenter)对于Conficker的研究报告中可以看到, “Con ficker.C具备了HTTP时间查询功能, 就像警匪片中的战前‘对表’一样, 一切攻击行为都在被其作者精确控制。 ”
新“恐怖主义”
正如一场好戏中会不断上演矛盾冲突一般, 另一些安全机构则对于Conficker的爆发持怀疑态度。 安全公司 Sophos的研究人员表示, 大规模的网络攻击并不会如期出现, Conficker蠕虫的作者要造成重大的网络故障是没有意义的, 因为一旦互联网通讯被破坏, 他们也就赚不到任何钱。
赛门铁克安全响应中心研究人员的态度则摇摆不定, 他们证实了Conficker.C中威胁代码的存在, 但并不确信4月1日会发生什么。 “这或许又是千年虫未能实践可怕预言的重演。 ”研究人员猜测道。
另一项传闻则更令人欣慰, 一个由安全研究人员、技术公司、加入ICANN的域名注册公司组成的国际联盟披露, 他们已经采取了前所未有的措施切断了Conficker与操控它的服务器之间的联系, 中国互联网络信息中心便是该联盟成员, 有消息称“中国和美国合作挫败了一次全球范围的严重的恶意攻击”。 然而, 无论是中国互联网信息中心, 还是ICA NN抑或是微软, 都并未对传言发表评论。
“唯一可以确定的是, Conficker蠕虫黑客具有非常高深的互联网编程技术、先进的密码技能、定制双层编码封装和编码模糊技术, 以及Windows与安全产品的深度知识。 ”360安全专家石晓虹博士分析说:“Confic ker紧跟时代潮流几乎应用了当前最前沿的黑客技术。 比如, 当前最先进的加密算法是MD6算法, 而就在该算法公布不久, Conficker的B变种中就使用了该算法。 一开始MD6算法本身还存在缺陷,导致黑客无法藉此控制整个Conf icker僵尸网络,但这个聪明的作者显然也很清楚这个缺陷,在其C变种版里很快就更新到了最新的算法。 ”
另据MTC发布的最新数据, Conficker感染电脑所占据的IP地址在全球共计10512451个, 其中包括1022062个局域网IP, 也就是说, Conficker幕后黑手控制的“僵尸”电脑保守估计也在1500万台以上。
2002年, 黑客仅控制百万级的僵尸网络发动DDOS攻击, 就把位于美国的DNS根服务器彻底攻瘫, 从而导致谷歌、微软、IBM等全球大网站瘫痪多时。 这意味着, 如果Conficker背后的黑客乐意, 他可以利用这上千万台电脑做任何事——无论是攻瘫互联网上的任何服务器, 还是让垃圾邮件制造者发送数十亿个垃圾邮件信息。
这个判断似乎可以解释, 为何微软公司今年2月决定悬赏25万美元来追踪Conflicker的幕后作者——这个悬赏金额与上次微软全球悬赏“震荡波”蠕虫作者的标准相同。 当时“震荡波”导致了全球数百万电脑的感染, 造成了5亿到10亿美元的估算损失。
更为巧合的是, 在这1000多万个被Conficker感染的IP地址所属国家和地区排名中, 排在前四位的居然是中国、巴西、俄罗斯以及印度——恰好是未来最有发展潜力的“金砖四国”。 这个巧合给Conficker蒙上了一层更为神秘的色彩。
Conficker.C变种出现后, MTC的研究人员指出:最好的情况可能是, Conficker蠕虫被用作大量互联网诈骗和偷窃的长期获利平台;而最糟糕也最让人不寒而栗的情况是, Conficker蠕虫可能成为信息联合侵袭的强大武装工具, 不仅能使各个国家限于一片混乱, 而且能使整个互联网中断。
网络世界中恶势力林立, 有大范围破坏电脑系统或是攻击网络服务器的“技术狂人”, 他们图的是名;有偷网银偷网游偷个人资料的盗贼, 他们图的是利。 Conficker幕后的控制者(更可能是黑客组织)绝对是卓尔不群的, 从未有任何一种恶意程序像Conficker一样, 还没造成多少危害, 就已经制造了数字时代的全球性恐慌。 -
