360安全專(zhuān)家石曉虹博士：Conficker蠕蟲(chóng)作者可隨時(shí)引爆“網(wǎng)絡(luò)核武”

近日，國(guó)內(nèi)外多家安全機(jī)構(gòu)發(fā)出“Conficker蠕蟲(chóng)將在愚人節(jié)發(fā)動(dòng)攻擊”的預(yù)警，引發(fā)了國(guó)內(nèi)很多網(wǎng)民的擔(dān)憂(yōu)，甚至有網(wǎng)民表示將用“不上網(wǎng)”來(lái)應(yīng)對(duì)明天可能的網(wǎng)絡(luò)攻擊。對(duì)此，360安全專(zhuān)家石曉虹博士認(rèn)為此舉沒(méi)必要，未感染的電腦上網(wǎng)并不受攻擊影響。不過(guò)他同時(shí)提醒公眾稱(chēng)，愚人節(jié)這天是否會(huì)發(fā)生攻擊已不重要，關(guān)鍵是Conficker幕后黑手已掌握了足夠強(qiáng)大的“網(wǎng)絡(luò)核武”，隨時(shí)可將其引爆。

從上周起，360安全中心、冠群金辰、趨勢(shì)科技、以及賽門(mén)鐵克等國(guó)內(nèi)外安全廠(chǎng)商先后發(fā)布預(yù)警稱(chēng)，黑客將在愚人節(jié)發(fā)動(dòng)一次“史上最強(qiáng)網(wǎng)絡(luò)攻擊”，包括雅虎、迪斯尼、Facebook、Youtube等國(guó)際知名網(wǎng)站以及百度、騰訊搜搜、開(kāi)心網(wǎng)等國(guó)內(nèi)網(wǎng)站都可能受影響。這一事件立即引起了社會(huì)各界的關(guān)注。

據(jù)360安全中心稱(chēng)，Conficker蠕蟲(chóng)最早于去年11月20日被發(fā)現(xiàn)，迄今已出現(xiàn)了A、B、C三個(gè)版本，目前全球已有超過(guò)1500萬(wàn)臺(tái)電腦受到感染。Conficker主要利用Windows操作系統(tǒng)MS08-067漏洞來(lái)傳播，同時(shí)也能借助任何有USB接口的硬件設(shè)備來(lái)感染。安全人員在Conficker.C變種的反匯編代碼中，發(fā)現(xiàn)了攻擊全球上百家大網(wǎng)站的設(shè)置，并認(rèn)為黑客很可能會(huì)采用向這些網(wǎng)站發(fā)送數(shù)據(jù)包的DDOS攻擊方式發(fā)動(dòng)網(wǎng)絡(luò)攻擊。由于該蠕蟲(chóng)曾一度讓法國(guó)海軍飛機(jī)停飛，近日還深度感染了英國(guó)議會(huì)的網(wǎng)絡(luò)系統(tǒng)，因而很快受到公眾關(guān)注。

不過(guò)，由于Conficker在此前四個(gè)多月內(nèi)一直“按兵不動(dòng)”，從未對(duì)中招電腦實(shí)施任何破壞行為，因而顯得非常神秘。所以，賽門(mén)鐵克安全響應(yīng)中心研究人員雖然同樣證實(shí)了Conficker.C中威脅代碼的存在，但并不確信4月1日究竟會(huì)發(fā)生什么。研究人員甚至猜測(cè)“這或許又是一次千年蟲(chóng)事件”。

冠群金辰公司預(yù)警稱(chēng)，從4月1日起，Conficker.C蠕蟲(chóng)病毒每天將試圖訪(fǎng)問(wèn)上萬(wàn)個(gè)內(nèi)置的URL，向全球的網(wǎng)絡(luò)發(fā)起大規(guī)模攻擊。美國(guó)電腦安全公司F-Secure也預(yù)測(cè)，Conficker將從本周三開(kāi)始，每天入侵5萬(wàn)個(gè)網(wǎng)站，以更好地隱藏發(fā)源地。

而趨勢(shì)科技（Trend Micro）向用戶(hù)緊急發(fā)布的預(yù)警郵件稱(chēng)，該蠕蟲(chóng)將在愚人節(jié)當(dāng)天自我修改程序，并一次產(chǎn)生五萬(wàn)個(gè)惡意軟件網(wǎng)址，試圖在同一時(shí)間內(nèi)隨機(jī)連接其中500個(gè)惡意網(wǎng)站下載木馬病毒，以此改變通過(guò)“肉雞”擴(kuò)大其“僵尸”網(wǎng)絡(luò)（Botnet ）家族，以進(jìn)行下一波的網(wǎng)絡(luò)攻擊。

國(guó)際網(wǎng)絡(luò)安全研究機(jī)構(gòu)MTC分析報(bào)告指出，Conficker蠕蟲(chóng)已滲透進(jìn)全球各政府網(wǎng)站、軍事網(wǎng)絡(luò)、個(gè)人電腦、重要的基礎(chǔ)架構(gòu)、各種小網(wǎng)絡(luò)以及大學(xué)中，中招電腦所占據(jù)的IP地址共計(jì)10512451個(gè)，其中包括1022062個(gè)局域網(wǎng)IP。Conficker蠕蟲(chóng)作者控制的“僵尸”電腦至少在1500萬(wàn)臺(tái)以上——這個(gè)“僵尸”網(wǎng)絡(luò)不僅可以作為網(wǎng)絡(luò)詐騙和盜竊的長(zhǎng)期獲利平臺(tái)，還可以作為信息戰(zhàn)的超級(jí)武器，甚至能使整個(gè)民用互聯(lián)網(wǎng)絡(luò)癱瘓。也正因?yàn)槿绱?，微軟今?月，懸賞25萬(wàn)美元來(lái)緝拿Conflicker幕后作者。

“我們之所以說(shuō)這次蠕蟲(chóng)攻擊可能是史上最強(qiáng)的黑客攻擊，原因在于它目前控制的僵尸電腦數(shù)量非常龐大，達(dá)到上千萬(wàn)臺(tái)。”360安全專(zhuān)家石曉虹博士表示，2002年曾有黑客使用百萬(wàn)級(jí)的蠕蟲(chóng)發(fā)動(dòng)DDOS攻擊位于美國(guó)的DNS根服務(wù)器，就造成了Google、IBM等網(wǎng)站癱瘓?！叭绻@次上千萬(wàn)臺(tái)電腦一起被用來(lái)攻擊，那基本上沒(méi)有哪個(gè)網(wǎng)站能防得住?！?BR>
那么，Conficker是否真會(huì)在愚人節(jié)這一天如期發(fā)動(dòng)攻擊？“這只是安全機(jī)構(gòu)基于Conficker.C樣本反匯編代碼的判斷。”360安全專(zhuān)家石曉虹博士表示，“業(yè)內(nèi)一直在密切關(guān)注Conficker蠕蟲(chóng)黑客的意圖，他可能是一個(gè)人，也可能是一個(gè)組織。他們不僅具有非常高深的互聯(lián)網(wǎng)編程技術(shù)、豐富的密碼學(xué)知識(shí)，還在反調(diào)試、反跟蹤方面具有極強(qiáng)的造詣，并且對(duì)Windows內(nèi)核和Rootkit技術(shù)有相當(dāng)?shù)陌芽啬芰Α１热?，?dāng)前最先進(jìn)的MD6加密算法公開(kāi)不久后，Conficker作者就把這種算法應(yīng)用到B變種中?！?BR>
360安全專(zhuān)家石曉虹博士說(shuō)，“不僅對(duì)加密算法，該作者在數(shù)字簽名、哈希算法等方面也表現(xiàn)出了非常老練的應(yīng)用能力，通過(guò)應(yīng)用多種技能和創(chuàng)新式的P2P技術(shù)，他能夠完全控制整個(gè)‘僵尸’網(wǎng)絡(luò)的升級(jí)。不僅如此，ConfickerC變種還通過(guò)打內(nèi)存補(bǔ)丁的方式來(lái)避免對(duì)同一臺(tái)電腦的重復(fù)攻擊，從而盡可能地隱藏自身?！?BR>
“不過(guò)，我們逆向分析病毒樣本的結(jié)論，并不能完全等同于Conficker蠕蟲(chóng)黑客的真正用意，也可能是黑客仍在排兵布陣。但無(wú)論它是否會(huì)在4月1日發(fā)動(dòng)網(wǎng)絡(luò)攻擊，都是當(dāng)前互聯(lián)網(wǎng)中不容忽視的巨大威脅。”360安全專(zhuān)家石曉虹博士稱(chēng)。

與此同時(shí)，業(yè)內(nèi)對(duì)于Conficker蠕蟲(chóng)黑客的身份猜測(cè)也已頗為激烈，目前流傳著Conficker出自烏克蘭、俄羅斯、東歐、中國(guó)等各地黑客的不同說(shuō)法，360安全專(zhuān)家石曉虹博士認(rèn)為，Conficker作者的身份仍存在很大爭(zhēng)議，網(wǎng)絡(luò)安全研究人員也只是通過(guò)樣本反匯編代碼片段進(jìn)行猜測(cè)而已，即便黑客啟動(dòng)大規(guī)模網(wǎng)絡(luò)攻擊，由于其采用了P2P技術(shù)，外界也很難定位到真正的控制服務(wù)器。

據(jù)悉，Conficker主要利用Windows操作系統(tǒng)MS08-067漏洞來(lái)傳播，同時(shí)也能借助任何有USB接口的硬件設(shè)備來(lái)感染?！耙虼?，現(xiàn)在最重要的是，廣大網(wǎng)民要及時(shí)修復(fù)自己電腦系統(tǒng)的漏洞，不要成為被黑客惡意利用的工具和幫兇，而各互聯(lián)網(wǎng)站也要做好隨時(shí)應(yīng)對(duì)攻擊挑戰(zhàn)的準(zhǔn)備?！?60安全專(zhuān)家石曉虹博士最后說(shuō)。

附：

1、蠕蟲(chóng)病毒有哪些危害？

答：一般說(shuō)來(lái)，電腦感染了蠕蟲(chóng)病毒后，會(huì)慢得跟蠕蟲(chóng)那樣，可能被作為僵尸電腦，向外發(fā)送大量垃圾郵件或?qū)ζ渌W(wǎng)絡(luò)計(jì)算機(jī)發(fā)送攻擊。還有些蠕蟲(chóng)會(huì)在入侵用戶(hù)電腦后，下載一些盜號(hào)木馬，來(lái)竊取用戶(hù)的網(wǎng)游、網(wǎng)銀和個(gè)人隱私信息。

2004年“震蕩波”蠕蟲(chóng)爆發(fā)時(shí)，侵襲了世界各地的銀行、郵政、交通等部門(mén)電腦系統(tǒng)，讓中招電腦不斷崩潰、重啟，造成德?tīng)査娇展炯s40個(gè)航班被迫取消或延誤，澳大利亞成千上萬(wàn)的旅客滯留看臺(tái)，無(wú)數(shù)工作人員重回紙質(zhì)辦公。

但Conficker非常奇怪，因?yàn)榈侥壳盀橹?，它除了讓用?hù)網(wǎng)速變得有些慢之外，還沒(méi)有實(shí)施任何危害性操作。但這并不等于Conficker不會(huì)作惡，而這完全取決于Conficker幕后的控制者下一步如何動(dòng)作。

2、普通網(wǎng)民和企業(yè)用戶(hù)應(yīng)該如何防范？

答：普通用戶(hù)應(yīng)強(qiáng)化網(wǎng)絡(luò)安全意識(shí)，及時(shí)用360安全衛(wèi)士這樣的專(zhuān)業(yè)安全工具為電腦打補(bǔ)丁，修復(fù)系統(tǒng)漏洞，就能避免受到Conficker蠕蟲(chóng)的入侵，從而不會(huì)成為他們攻擊別人網(wǎng)絡(luò)的幫兇。

企業(yè)用戶(hù)的局域網(wǎng)更是Conficker容易傳播的場(chǎng)所，往往一臺(tái)電腦‘中招’就會(huì)導(dǎo)致整個(gè)局域網(wǎng)出現(xiàn)大面積感染，企業(yè)員工除了用360盡快為電腦修復(fù)漏洞補(bǔ)丁外，建議用戶(hù)在使用U盤(pán)前應(yīng)盡量開(kāi)啟360等具有U盤(pán)防火墻功能的安全軟件。從360安全中心監(jiān)控的數(shù)據(jù)來(lái)看，在2億360用戶(hù)中只有極少數(shù)用戶(hù)感染了Conficker蠕蟲(chóng)，這說(shuō)明及時(shí)給用戶(hù)電腦打補(bǔ)丁的做法，有助于防治此類(lèi)蠕蟲(chóng)病毒的大規(guī)模爆發(fā)。