讓法國(guó)戰(zhàn)機(jī)停飛的蠕蟲(chóng)作者疑為中國(guó)黑客 遭微軟25萬(wàn)美金懸賞緝拿

在默默感染全世界超過(guò)1500萬(wàn)臺(tái)電腦之后，被微軟研究人員戲稱(chēng)為“蠕蟲(chóng)模范”的Conficker蠕蟲(chóng)病毒即將露出其猙獰的面目。3月25日，國(guó)內(nèi)最大的網(wǎng)絡(luò)安全廠(chǎng)商360安全中心發(fā)布預(yù)警稱(chēng)，Conficker蠕蟲(chóng)病毒的作者很可能在4月1日起發(fā)動(dòng)一場(chǎng)史無(wú)前例的全球性網(wǎng)絡(luò)攻擊，屆時(shí)包括百度、開(kāi)心網(wǎng)、迪斯尼、IBM等在內(nèi)的上百家全球大型網(wǎng)站極有可能面臨服務(wù)器癱瘓、用戶(hù)無(wú)法訪(fǎng)問(wèn)的巨大風(fēng)險(xiǎn)。

幾乎同一時(shí)間，兩大國(guó)際知名安全機(jī)構(gòu)冠群金辰、趨勢(shì)科技也緊急針對(duì)該病毒發(fā)布了愚人節(jié)預(yù)警信息。

神秘Conficker布下“愚人節(jié)迷局” 曾讓法國(guó)戰(zhàn)機(jī)停飛

360安全專(zhuān)家石曉虹博士表示，根據(jù)360安全中心截獲的Conficker蠕蟲(chóng)病毒及其變種的樣本分析，該病毒作者極有可能從4月1日起，控制其所感染的上千萬(wàn)臺(tái)“僵尸”電腦，自動(dòng)向全球上百家大型網(wǎng)站發(fā)送網(wǎng)絡(luò)數(shù)據(jù)，攻擊形式極可能是針對(duì)網(wǎng)絡(luò)服務(wù)器的DDOS主流攻擊，攻擊目標(biāo)主要是全球排名靠前的大型重慶互聯(lián)網(wǎng)站和企業(yè)站點(diǎn)，百度、騰訊搜搜、開(kāi)心網(wǎng)、校內(nèi)網(wǎng)等4家等國(guó)內(nèi)人氣極高的網(wǎng)站也赫然在列。

“Conficker.C蠕蟲(chóng)正在它所感染的電腦中進(jìn)行休眠的死循環(huán)，一旦系統(tǒng)時(shí)間到2009年4月1日之后，它就會(huì)清醒過(guò)來(lái)，在一系列浮點(diǎn)運(yùn)算后向上百家預(yù)先指定的網(wǎng)站發(fā)送數(shù)據(jù)包，以Conficker.C在全球多達(dá)上千萬(wàn)臺(tái)電腦的感染量來(lái)判斷，它們所組成的僵尸網(wǎng)絡(luò)在重慶互聯(lián)網(wǎng)世界中威力不亞于核武器，任何一家網(wǎng)站的服務(wù)器在這樣高強(qiáng)度的攻擊壓力下都會(huì)迅速癱瘓，而這些攻擊目標(biāo)很可能是Conficker作者在A(yíng)lexa流量排名中選取的高排名站點(diǎn)?！?60安全中心的工程師分析稱(chēng)。

據(jù)了解，Conficker蠕蟲(chóng)在去年11月首次現(xiàn)身在互聯(lián)網(wǎng)中，它利用Windows操作系統(tǒng)MS08-067漏洞將自己植入未打補(bǔ)丁的電腦，并以局域網(wǎng)、U盤(pán)等多種方式傳播。一位法國(guó)士兵便是在家使用U盤(pán)中了Conficker，隨后法國(guó)海軍內(nèi)網(wǎng)被大面積感染，軍方如臨大敵，不僅切斷所有Web與電郵系統(tǒng)，部分戰(zhàn)機(jī)的起飛計(jì)劃也被突然叫停。隨后，英國(guó)、德國(guó)的軍事系統(tǒng)也爆出大面積感染Conficker蠕蟲(chóng)的消息，其傳播能力與影響力可見(jiàn)一斑。

詭異的是，在瘋狂感染全球電腦之余，Conficker蠕蟲(chóng)的行為卻出奇地“安分守己”。從表面上來(lái)看，“它一不為名——不倒計(jì)時(shí)60秒、不擁堵網(wǎng)絡(luò)、不彈窗、不穿透還原、不讓眾人皆知；二不圖利——只是隱藏起來(lái)而不竊網(wǎng)銀網(wǎng)游，甚至連攻擊失敗導(dǎo)致用戶(hù)電腦系統(tǒng)崩潰或登錄失敗的案例也很少見(jiàn)。”微軟中國(guó)重慶公司資深安全研究人員“大牛蛙”（網(wǎng)名）在其個(gè)人博客中如此寫(xiě)道，“堪稱(chēng)是全球蠕蟲(chóng)的‘模范’?！?/P>

難道在韜光養(yǎng)晦4個(gè)多月后，Conficker作者的最終目標(biāo)僅僅為了在愚人節(jié)發(fā)起一次大規(guī)模網(wǎng)絡(luò)攻擊？對(duì)此，360安全中心工程師稱(chēng)，“業(yè)內(nèi)目前對(duì)Conficker的猜測(cè)眾說(shuō)紛紜，以它龐大感染量所蘊(yùn)含的能量，獲取巨額財(cái)富簡(jiǎn)直易如反掌，甚至可以讓全球民用互聯(lián)網(wǎng)絡(luò)癱瘓。2002年曾有黑客用百萬(wàn)級(jí)的蠕蟲(chóng)攻擊位于美國(guó)的DNS根服務(wù)器，就使谷歌、微軟、IBM等網(wǎng)站癱瘓。但已控制了上千萬(wàn)臺(tái)電腦的Conficker蠕蟲(chóng)目前只是傳播自己，幕后黑手遲遲沒(méi)有動(dòng)作，讓人猜不透黑客的葫蘆里究竟賣(mài)的什么藥？目前我們只能逆向分析獲取的樣本，Conficker.C變種從4月1日開(kāi)始發(fā)動(dòng)攻擊的意圖非常明確，但也不能排除這是其作者跟全球網(wǎng)絡(luò)安全研究人員開(kāi)的一次超級(jí)愚人節(jié)玩笑?！?/P>

盡管已經(jīng)發(fā)掘到Conficker蠕蟲(chóng)的部分特征，但360安全中心的工程師同時(shí)也承認(rèn)，目前還很難定位到該作者，“Conficker作者如果沒(méi)有進(jìn)一步動(dòng)作，那將很難追蹤到他的真實(shí)身份，而一旦他啟動(dòng)攻擊，后果絕對(duì)不堪設(shè)想?！?60安全工程師稱(chēng)，“當(dāng)年不法分子僅購(gòu)買(mǎi)了500只‘肉雞’電腦，就能讓國(guó)內(nèi)一家大型互聯(lián)網(wǎng)站的UT服務(wù)器癱瘓500多分鐘，Conficker蠕蟲(chóng)中光是C變種的感染量就在上千萬(wàn)臺(tái)的規(guī)模。”

Conficker蠕蟲(chóng)作者疑為中國(guó)黑客 遭微軟25萬(wàn)美金懸賞緝拿

Conficker制造的數(shù)字時(shí)代全球性恐慌因愚人節(jié)的日益臨近而逐漸加劇。令人吃驚的是，飽受木馬病毒侵害的國(guó)內(nèi)網(wǎng)民卻少有受Conficker感染的報(bào)告。來(lái)自360安全中心的數(shù)據(jù)稱(chēng)，目前確認(rèn)曾感染Conficker及其變種的國(guó)內(nèi)用戶(hù)電腦僅有數(shù)萬(wàn)的量級(jí)，與各互聯(lián)網(wǎng)發(fā)達(dá)國(guó)家的疫情相比可以說(shuō)是微不足道，而Conficker的作者恰恰很可能卻是中國(guó)黑客！

360安全中心的工程師表示：“Conficker蠕蟲(chóng)相繼出現(xiàn)過(guò)A、B、C多個(gè)變種，根據(jù)我們采集的樣本分析，Conficker的反匯編代碼出現(xiàn)了大量國(guó)產(chǎn)木馬病毒的特征，部分功能模塊更是使用了僅限于國(guó)內(nèi)技術(shù)人員中流傳的經(jīng)典代碼，因此它的作者極有可能是國(guó)內(nèi)黑客?！?/P>

“Conficker主打MS08-067漏洞，這個(gè)漏洞的詳細(xì)分析最早被發(fā)布在國(guó)內(nèi)技術(shù)論壇，攻擊代碼也是由國(guó)內(nèi)的掃蕩波蠕蟲(chóng)最先實(shí)踐?！本W(wǎng)路論壇中，技術(shù)高手們同樣將Conficker作者視為隨時(shí)會(huì)在身邊出沒(méi)的神秘人物。據(jù)了解，出現(xiàn)在2004年的“震蕩波”蠕蟲(chóng)作者在遭到微軟25萬(wàn)美金懸賞通緝后，最終證明是一名德國(guó)黑客。這一次，曾制造無(wú)數(shù)木馬病毒的國(guó)內(nèi)黑客們很可能因重金懸賞而站在風(fēng)口浪尖。而微軟公司為揪出Conficker作者，再次開(kāi)出了與緝拿“震蕩波”蠕蟲(chóng)作者相同標(biāo)準(zhǔn)的25萬(wàn)美元高額懸賞金。

Conficker如真為國(guó)內(nèi)黑客制作，為何它在國(guó)內(nèi)反而幾乎毫無(wú)斬獲，是手下留情還是另有隱情，微軟中國(guó)安全研究人員“大牛蛙”在其個(gè)人博客中如此分析：“360等用戶(hù)群廣泛的國(guó)產(chǎn)安全軟件，通過(guò)各種醒目的方式宣傳和提醒，并提供了適合用戶(hù)需求的系統(tǒng)更新方式，很大程度上幫助了Windows使用者及時(shí)安裝了補(bǔ)?。ū硎靖兄x）；此外中國(guó)ISP比國(guó)外少得多，并且在骨干路由和重要節(jié)點(diǎn)上設(shè)置過(guò)對(duì)TCP：139/445的訪(fǎng)問(wèn)策略，中國(guó)互聯(lián)網(wǎng)已不再是Conficker類(lèi)蠕蟲(chóng)的溫床?！?/P>

據(jù)分析，一些黑客論壇中流行的“木馬出口論”也為Conficker作者是國(guó)內(nèi)黑客提供了有力佐證。“黑域城堡BBS”中一名網(wǎng)友透露道：“國(guó)內(nèi)網(wǎng)民中安全軟件越來(lái)越普及，大家都意識(shí)到打補(bǔ)丁的重要性，‘肉雞’比以前已經(jīng)難抓多了?，F(xiàn)在在國(guó)內(nèi)做木馬賺錢(qián)越來(lái)越難，很多人寫(xiě)了木馬卻賣(mài)不動(dòng)，只好苦練英語(yǔ)轉(zhuǎn)做出口生意?！彼踔翍蜓浴罢嫦胱ズ诳停接⒄Z(yǔ)培訓(xùn)班一抓一個(gè)準(zhǔn)兒”。

據(jù)了解，微軟IE XML 0day （MS08-078） 漏洞最早被發(fā)現(xiàn)，繼而被出售、被利用、被公開(kāi)都是在國(guó)內(nèi)互聯(lián)網(wǎng)上，最后反而是美國(guó)被掛的惡意站點(diǎn)遠(yuǎn)遠(yuǎn)超過(guò)了中國(guó)。巧合的是，另一款流行軟件Adobe Acrobat Read在今年出現(xiàn)0day漏洞時(shí)，率先在國(guó)外伺機(jī)傳播的Ghost木馬變種正是國(guó)內(nèi)“肉雞”控制的常用工具，很可能也是出自國(guó)內(nèi)木馬作者的手筆，由此推斷，Conficker作者是國(guó)內(nèi)黑客絕非天方夜譚，正如某國(guó)內(nèi)黑客的廣告所言——“好病毒，中國(guó)造”。

360安全專(zhuān)家石曉虹博士鄭重建議，對(duì)于Conficker可能發(fā)起的攻擊必須國(guó)內(nèi)互聯(lián)網(wǎng)企業(yè)應(yīng)有所防范：“Conficker蠕蟲(chóng)在國(guó)內(nèi)大多數(shù)用360打了補(bǔ)丁的網(wǎng)民電腦來(lái)說(shuō)，其實(shí)并不會(huì)有太大的威脅。但那些可能成為Conficker攻擊目標(biāo)的大型網(wǎng)站，建議一定要在4月1日前進(jìn)行一次服務(wù)器端壓力測(cè)試，以防萬(wàn)一。此外，企事業(yè)機(jī)構(gòu)的局域網(wǎng)更是Conficker容易傳播的場(chǎng)所，往往一臺(tái)電腦‘中招’就會(huì)導(dǎo)致整個(gè)局域網(wǎng)出現(xiàn)大面積感染，企業(yè)員工除了用360盡快為電腦修復(fù)漏洞補(bǔ)丁外，建議用戶(hù)在使用U盤(pán)前應(yīng)盡量開(kāi)啟360等具有U盤(pán)防火墻功能的安全軟件?！?/P>