近日, 国内外多家安全机构发出“Conficker将在愚人节发动攻击”的预警, 引发了国内很多网民的担忧, 甚至有网民表示将用“不上网”来应对明天可能的网络攻击。 对此, 360安全专家石晓虹博士认为此举没必要, 未感染的电脑上网并不受攻击影响。
不过他同时提醒公众称, 愚人节这天是否会发生攻击已不重要, 关键是Conficker幕后黑手已掌握了足够强大的“网络核武器”, 随时可将其引爆。
从上周起, 360安全中心、冠群金辰、趋势科技、以及赛门铁克等国内外安全厂商先后发布预警称, 黑客将在愚人节发动一次“史上最强网络攻击”, 包括雅虎、迪斯尼、Facebook、Youtube等国际知名网站以及百度、腾讯搜搜、开心网等国内网站都可能受影响。 这一事件立即引起了社会各界的关注。
据360安全中心称, Conficker蠕虫最早于去年11月20日被发现, 迄今已出现了A、B、C三个版本, 目前全球已有超过1500万台电脑受到感染。 Conficker主要利用Windows操作系统MS08-067漏洞来传播, 同时也能借助任何有USB接口的硬件设备来感染。 安全人员在Conficker.C变种的反汇编代码中, 发现了攻击全球上百家大网站的设置, 并认为黑客很可能会采用向这些网站发送数据包的DDOS攻击方式发动网络攻击。 由于该蠕虫曾一度让法国海军飞机停飞, 近日还深度感染了英国议会的网络系统, 因而很快受到公众关注。
不过, 由于Conficker在此前四个多月内一直“按兵不动”, 从未对中招电脑实施任何破坏行为, 因而显得非常神秘。 所以, 赛门铁克安全响应中心研究人员虽然同样证实了Conficker.C中威胁代码的存在, 但并不确信4月1日究竟会发生什么。 研究人员甚至猜测“这或许又是一次千年虫事件”。
冠群金辰公司预警称, 从4月1日起, Conficker.C蠕虫病毒每天将试图访问上万个内置的URL, 向全球的网络发起大规模攻击。 美国电脑安全公司F-Secure也预测, Conficker将从本周三开始, 每天入侵5万个网站, 以更好地隐藏发源地。
而趋势科技(Trend Micro)向用户紧急发布的预警邮件称, 该蠕虫将在愚人节当天自我修改程序, 并一次产生五万个恶意软件网址, 试图在同一时间内随机连接其中500个恶意网站下载木马病毒, 以此改变通过“肉鸡”扩大其“僵尸”网络(Botnet )家族, 以进行下一波的网络攻击。
国际网络安全研究机构MTC分析报告指出, Conficker蠕虫已渗透进全球各政府网站、军事网络、个人电脑、重要的基础架构、各种小网络以及大学中, 中招电脑所占据的IP地址共计10512451个, 其中包括1022062个局域网IP。 Conficker蠕虫作者控制的“僵尸”电脑至少在1500万台以上——这个“僵尸”网络不仅可以作为网络诈骗和盗窃的长期获利平台, 还可以作为信息战的超级武器, 甚至能使整个民用互联网络瘫痪。 也正因为如此, 微软今年2月, 悬赏25万美元来缉拿Conflicker幕后作者。
“我们之所以说这次蠕虫攻击可能是史上最强的黑客攻击, 原因在于它目前控制的僵尸电脑数量非常庞大, 达到上千万台。 ”360安全专家石晓虹博士表示, 2002年曾有黑客使用百万级的蠕虫发动DDOS攻击位于美国的DNS根服务器, 就造成了Google、IBM等网站瘫痪。 “如果这次上千万台电脑一起被用来攻击, 那基本上没有哪个网站能防得住。 ”
那么, Conficker是否真会在愚人节这一天如期发动攻击?“这只是安全机构基于Conficker.C样本反汇编代码的判断。 ”360安全专家石晓虹博士表示, “业内一直在密切关注Conficker蠕虫黑客的意图, 他可能是一个人, 也可能是一个组织。 他们不仅具有非常高深的互联网编程技术、丰富的密码学知识, 还在反调试、反跟踪方面具有极强的造诣, 并且对Windows内核和Rootkit技术有相当的把控能力。 比如, 当前最先进的MD6加密算法公开不久后, Conficker作者就把这种算法应用到B变种中。 ”
360安全专家石晓虹博士说, “不仅对加密算法, 该作者在数字签名、哈希算法等方面也表现出了非常老练的应用能力, 通过应用多种技能和创新式的P2P技术, 他能够完全控制整个‘僵尸’网络的升级。 不仅如此, ConfickerC变种还通过打内存补丁的方式来避免对同一台电脑的重复攻击, 从而尽可能地隐藏自身。 ”
“不过, 我们逆向分析病毒样本的结论, 并不能完全等同于Conficker蠕虫黑客的真正用意, 也可能是黑客仍在排兵布阵。 但无论它是否会在4月1日发动网络攻击, 都是当前互联网中不容忽视的巨大威胁。 ”360安全专家石晓虹博士称。
与此同时, 业内对于Conficker蠕虫黑客的身份猜测也已颇为激烈, 目前流传着Conficker出自乌克兰、俄罗斯、东欧、中国等各地黑客的不同说法, 360安全专家石晓虹博士认为, Conficker作者的身份仍存在很大争议, 网络安全研究人员也只是通过样本反汇编代码片段进行猜测而已, 即便黑客启动大规模网络攻击, 由于其采用了P2P技术, 外界也很难定位到真正的控制服务器。
据悉, Conficker主要利用Windows操作系统MS08-067漏洞来传播, 同时也能借助任何有USB接口的硬件设备来感染。 “因此, 现在最重要的是, 广大网民要及时修复自己电脑系统的漏洞, 不要成为被黑客恶意利用的工具和帮凶, 而各互联网站也要做好随时应对攻击挑战的准备。 ”360安全专家石晓虹博士最后说。
附:
1、蠕虫病毒有哪些危害?
答:一般说来, 电脑感染了蠕虫病毒后, 会慢得跟蠕虫那样, 可能被作为僵尸电脑, 向外发送大量垃圾邮件或对其它网络计算机发送攻击。 还有些蠕虫会在入侵用户电脑后, 下载一些盗号木马, 来窃取用户的网游、网银和个人隐私信息。
2004年“震荡波”蠕虫爆发时, 侵袭了世界各地的银行、邮政、交通等部门电脑系统, 让中招电脑不断崩溃、重启, 造成德尔塔航空公司约40个航班被迫取消或延误, 澳大利亚成千上万的旅客滞留看台, 无数工作人员重回纸质办公。
但Conficker非常奇怪, 因为到目前为止, 它除了让用户网速变得有些慢之外, 还没有实施任何危害性操作。 但这并不等于Conficker不会作恶, 而这完全取决于Conficker幕后的控制者下一步如何动作。
2、普通网民和企业用户应该如何防范?
答:普通用户应强化网络安全意识, 及时用360安全卫士这样的专业安全工具为电脑打补丁, 修复系统漏洞, 就能避免受到Conficker蠕虫的入侵, 从而不会成为他们攻击别人网络的帮凶。
企业用户的局域网更是Conficker容易传播的场所, 往往一台电脑‘中招’就会导致整个局域网出现大面积感染, 企业员工除了用360尽快为电脑修复漏洞补丁外, 建议用户在使用U盘前应尽量开启360等具有U盘防火墙功能的安全软件。 从360安全中心监控的数据来看, 在2亿360用户中只有极少数用户感染了Conficker蠕虫, 这说明及时给用户电脑打补丁的做法, 有助于防治此类蠕虫病毒的大规模爆发。 (51CTO)
