讓法國(guó)戰(zhàn)機(jī)停飛的蠕蟲(chóng)作者疑為中國(guó)黑客 遭微軟25萬(wàn)美金懸賞緝拿
在默默感染全世界超過(guò)1500萬(wàn)臺(tái)電腦之后,被微軟研究人員戲稱(chēng)為“蠕蟲(chóng)模范”的Conficker蠕蟲(chóng)病毒即將露出其猙獰的面目。3月25日,國(guó)內(nèi)最大的網(wǎng)絡(luò)安全廠商360安全中心發(fā)布預(yù)警稱(chēng),Conficker蠕蟲(chóng)病毒的作者很可能在4月1日起發(fā)動(dòng)一場(chǎng)史無(wú)前例的全球性網(wǎng)絡(luò)攻擊,屆時(shí)包括百度、開(kāi)心網(wǎng)、迪斯尼、IBM等在內(nèi)的上百家全球大型網(wǎng)站極有可能面臨服務(wù)器癱瘓、用戶(hù)無(wú)法訪問(wèn)的巨大風(fēng)險(xiǎn)。
幾乎同一時(shí)間,兩大國(guó)際知名安全機(jī)構(gòu)冠群金辰、趨勢(shì)科技也緊急針對(duì)該病毒發(fā)布了愚人節(jié)預(yù)警信息。
神秘Conficker布下“愚人節(jié)迷局” 曾讓法國(guó)戰(zhàn)機(jī)停飛
360安全專(zhuān)家石曉虹博士表示,根據(jù)360安全中心截獲的Conficker蠕蟲(chóng)病毒及其變種的樣本分析,該病毒作者極有可能從4月1日起,控制其所感染的上千萬(wàn)臺(tái)“僵尸”電腦,自動(dòng)向全球上百家大型網(wǎng)站發(fā)送網(wǎng)絡(luò)數(shù)據(jù),攻擊形式極可能是針對(duì)網(wǎng)絡(luò)服務(wù)器的DDOS主流攻擊,攻擊目標(biāo)主要是全球排名靠前的大型寧夏互聯(lián)網(wǎng)站和企業(yè)站點(diǎn),百度、騰訊搜搜、開(kāi)心網(wǎng)、校內(nèi)網(wǎng)等4家等國(guó)內(nèi)人氣極高的網(wǎng)站也赫然在列。
“Conficker.C蠕蟲(chóng)正在它所感染的電腦中進(jìn)行休眠的死循環(huán),一旦系統(tǒng)時(shí)間到2009年4月1日之后,它就會(huì)清醒過(guò)來(lái),在一系列浮點(diǎn)運(yùn)算后向上百家預(yù)先指定的網(wǎng)站發(fā)送數(shù)據(jù)包,以Conficker.C在全球多達(dá)上千萬(wàn)臺(tái)電腦的感染量來(lái)判斷,它們所組成的僵尸網(wǎng)絡(luò)在寧夏互聯(lián)網(wǎng)世界中威力不亞于核武器,任何一家網(wǎng)站的服務(wù)器在這樣高強(qiáng)度的攻擊壓力下都會(huì)迅速癱瘓,而這些攻擊目標(biāo)很可能是Conficker作者在Alexa流量排名中選取的高排名站點(diǎn)?!?60安全中心的工程師分析稱(chēng)。
據(jù)了解,Conficker蠕蟲(chóng)在去年11月首次現(xiàn)身在互聯(lián)網(wǎng)中,它利用Windows操作系統(tǒng)MS08-067漏洞將自己植入未打補(bǔ)丁的電腦,并以局域網(wǎng)、U盤(pán)等多種方式傳播。一位法國(guó)士兵便是在家使用U盤(pán)中了Conficker,隨后法國(guó)海軍內(nèi)網(wǎng)被大面積感染,軍方如臨大敵,不僅切斷所有Web與電郵系統(tǒng),部分戰(zhàn)機(jī)的起飛計(jì)劃也被突然叫停。隨后,英國(guó)、德國(guó)的軍事系統(tǒng)也爆出大面積感染Conficker蠕蟲(chóng)的消息,其傳播能力與影響力可見(jiàn)一斑。
詭異的是,在瘋狂感染全球電腦之余,Conficker蠕蟲(chóng)的行為卻出奇地“安分守己”。從表面上來(lái)看,“它一不為名——不倒計(jì)時(shí)60秒、不擁堵網(wǎng)絡(luò)、不彈窗、不穿透還原、不讓眾人皆知;二不圖利——只是隱藏起來(lái)而不竊網(wǎng)銀網(wǎng)游,甚至連攻擊失敗導(dǎo)致用戶(hù)電腦系統(tǒng)崩潰或登錄失敗的案例也很少見(jiàn)?!蔽④浿袊?guó)寧夏公司資深安全研究人員“大牛蛙”(網(wǎng)名)在其個(gè)人博客中如此寫(xiě)道,“堪稱(chēng)是全球蠕蟲(chóng)的‘模范’?!?/P>
難道在韜光養(yǎng)晦4個(gè)多月后,Conficker作者的最終目標(biāo)僅僅為了在愚人節(jié)發(fā)起一次大規(guī)模網(wǎng)絡(luò)攻擊?對(duì)此,360安全中心工程師稱(chēng),“業(yè)內(nèi)目前對(duì)Conficker的猜測(cè)眾說(shuō)紛紜,以它龐大感染量所蘊(yùn)含的能量,獲取巨額財(cái)富簡(jiǎn)直易如反掌,甚至可以讓全球民用互聯(lián)網(wǎng)絡(luò)癱瘓。2002年曾有黑客用百萬(wàn)級(jí)的蠕蟲(chóng)攻擊位于美國(guó)的DNS根服務(wù)器,就使谷歌、微軟、IBM等網(wǎng)站癱瘓。但已控制了上千萬(wàn)臺(tái)電腦的Conficker蠕蟲(chóng)目前只是傳播自己,幕后黑手遲遲沒(méi)有動(dòng)作,讓人猜不透黑客的葫蘆里究竟賣(mài)的什么藥?目前我們只能逆向分析獲取的樣本,Conficker.C變種從4月1日開(kāi)始發(fā)動(dòng)攻擊的意圖非常明確,但也不能排除這是其作者跟全球網(wǎng)絡(luò)安全研究人員開(kāi)的一次超級(jí)愚人節(jié)玩笑?!?/P>
盡管已經(jīng)發(fā)掘到Conficker蠕蟲(chóng)的部分特征,但360安全中心的工程師同時(shí)也承認(rèn),目前還很難定位到該作者,“Conficker作者如果沒(méi)有進(jìn)一步動(dòng)作,那將很難追蹤到他的真實(shí)身份,而一旦他啟動(dòng)攻擊,后果絕對(duì)不堪設(shè)想?!?60安全工程師稱(chēng),“當(dāng)年不法分子僅購(gòu)買(mǎi)了500只‘肉雞’電腦,就能讓國(guó)內(nèi)一家大型互聯(lián)網(wǎng)站的UT服務(wù)器癱瘓500多分鐘,Conficker蠕蟲(chóng)中光是C變種的感染量就在上千萬(wàn)臺(tái)的規(guī)模?!?/P>
Conficker蠕蟲(chóng)作者疑為中國(guó)黑客 遭微軟25萬(wàn)美金懸賞緝拿
Conficker制造的數(shù)字時(shí)代全球性恐慌因愚人節(jié)的日益臨近而逐漸加劇。令人吃驚的是,飽受木馬病毒侵害的國(guó)內(nèi)網(wǎng)民卻少有受Conficker感染的報(bào)告。來(lái)自360安全中心的數(shù)據(jù)稱(chēng),目前確認(rèn)曾感染Conficker及其變種的國(guó)內(nèi)用戶(hù)電腦僅有數(shù)萬(wàn)的量級(jí),與各互聯(lián)網(wǎng)發(fā)達(dá)國(guó)家的疫情相比可以說(shuō)是微不足道,而Conficker的作者恰恰很可能卻是中國(guó)黑客!
360安全中心的工程師表示:“Conficker蠕蟲(chóng)相繼出現(xiàn)過(guò)A、B、C多個(gè)變種,根據(jù)我們采集的樣本分析,Conficker的反匯編代碼出現(xiàn)了大量國(guó)產(chǎn)木馬病毒的特征,部分功能模塊更是使用了僅限于國(guó)內(nèi)技術(shù)人員中流傳的經(jīng)典代碼,因此它的作者極有可能是國(guó)內(nèi)黑客?!?/P>
“Conficker主打MS08-067漏洞,這個(gè)漏洞的詳細(xì)分析最早被發(fā)布在國(guó)內(nèi)技術(shù)論壇,攻擊代碼也是由國(guó)內(nèi)的掃蕩波蠕蟲(chóng)最先實(shí)踐?!本W(wǎng)路論壇中,技術(shù)高手們同樣將Conficker作者視為隨時(shí)會(huì)在身邊出沒(méi)的神秘人物。據(jù)了解,出現(xiàn)在2004年的“震蕩波”蠕蟲(chóng)作者在遭到微軟25萬(wàn)美金懸賞通緝后,最終證明是一名德國(guó)黑客。這一次,曾制造無(wú)數(shù)木馬病毒的國(guó)內(nèi)黑客們很可能因重金懸賞而站在風(fēng)口浪尖。而微軟公司為揪出Conficker作者,再次開(kāi)出了與緝拿“震蕩波”蠕蟲(chóng)作者相同標(biāo)準(zhǔn)的25萬(wàn)美元高額懸賞金。
Conficker如真為國(guó)內(nèi)黑客制作,為何它在國(guó)內(nèi)反而幾乎毫無(wú)斬獲,是手下留情還是另有隱情,微軟中國(guó)安全研究人員“大牛蛙”在其個(gè)人博客中如此分析:“360等用戶(hù)群廣泛的國(guó)產(chǎn)安全軟件,通過(guò)各種醒目的方式宣傳和提醒,并提供了適合用戶(hù)需求的系統(tǒng)更新方式,很大程度上幫助了Windows使用者及時(shí)安裝了補(bǔ)?。ū硎靖兄x);此外中國(guó)ISP比國(guó)外少得多,并且在骨干路由和重要節(jié)點(diǎn)上設(shè)置過(guò)對(duì)TCP:139/445的訪問(wèn)策略,中國(guó)互聯(lián)網(wǎng)已不再是Conficker類(lèi)蠕蟲(chóng)的溫床?!?/P>
據(jù)分析,一些黑客論壇中流行的“木馬出口論”也為Conficker作者是國(guó)內(nèi)黑客提供了有力佐證?!昂谟虺潜BS”中一名網(wǎng)友透露道:“國(guó)內(nèi)網(wǎng)民中安全軟件越來(lái)越普及,大家都意識(shí)到打補(bǔ)丁的重要性,‘肉雞’比以前已經(jīng)難抓多了?,F(xiàn)在在國(guó)內(nèi)做木馬賺錢(qián)越來(lái)越難,很多人寫(xiě)了木馬卻賣(mài)不動(dòng),只好苦練英語(yǔ)轉(zhuǎn)做出口生意?!彼踔翍蜓浴罢嫦胱ズ诳?,到英語(yǔ)培訓(xùn)班一抓一個(gè)準(zhǔn)兒”。
據(jù)了解,微軟IE XML 0day (MS08-078) 漏洞最早被發(fā)現(xiàn),繼而被出售、被利用、被公開(kāi)都是在國(guó)內(nèi)互聯(lián)網(wǎng)上,最后反而是美國(guó)被掛的惡意站點(diǎn)遠(yuǎn)遠(yuǎn)超過(guò)了中國(guó)。巧合的是,另一款流行軟件Adobe Acrobat Read在今年出現(xiàn)0day漏洞時(shí),率先在國(guó)外伺機(jī)傳播的Ghost木馬變種正是國(guó)內(nèi)“肉雞”控制的常用工具,很可能也是出自國(guó)內(nèi)木馬作者的手筆,由此推斷,Conficker作者是國(guó)內(nèi)黑客絕非天方夜譚,正如某國(guó)內(nèi)黑客的廣告所言——“好病毒,中國(guó)造”。
360安全專(zhuān)家石曉虹博士鄭重建議,對(duì)于Conficker可能發(fā)起的攻擊必須國(guó)內(nèi)互聯(lián)網(wǎng)企業(yè)應(yīng)有所防范:“Conficker蠕蟲(chóng)在國(guó)內(nèi)大多數(shù)用360打了補(bǔ)丁的網(wǎng)民電腦來(lái)說(shuō),其實(shí)并不會(huì)有太大的威脅。但那些可能成為Conficker攻擊目標(biāo)的大型網(wǎng)站,建議一定要在4月1日前進(jìn)行一次服務(wù)器端壓力測(cè)試,以防萬(wàn)一。此外,企事業(yè)機(jī)構(gòu)的局域網(wǎng)更是Conficker容易傳播的場(chǎng)所,往往一臺(tái)電腦‘中招’就會(huì)導(dǎo)致整個(gè)局域網(wǎng)出現(xiàn)大面積感染,企業(yè)員工除了用360盡快為電腦修復(fù)漏洞補(bǔ)丁外,建議用戶(hù)在使用U盤(pán)前應(yīng)盡量開(kāi)啟360等具有U盤(pán)防火墻功能的安全軟件?!?/P>