360安全專家石曉虹博士：Conficker蠕蟲作者可隨時引爆“網(wǎng)絡核武”

近日，國內(nèi)外多家安全機構(gòu)發(fā)出“Conficker蠕蟲將在愚人節(jié)發(fā)動攻擊”的預警，引發(fā)了國內(nèi)很多網(wǎng)民的擔憂，甚至有網(wǎng)民表示將用“不上網(wǎng)”來應對明天可能的網(wǎng)絡攻擊。對此，360安全專家石曉虹博士認為此舉沒必要，未感染的電腦上網(wǎng)并不受攻擊影響。不過他同時提醒公眾稱，愚人節(jié)這天是否會發(fā)生攻擊已不重要，關(guān)鍵是Conficker幕后黑手已掌握了足夠強大的“網(wǎng)絡核武”，隨時可將其引爆。

從上周起，360安全中心、冠群金辰、趨勢科技、以及賽門鐵克等國內(nèi)外安全廠商先后發(fā)布預警稱，黑客將在愚人節(jié)發(fā)動一次“史上最強網(wǎng)絡攻擊”，包括雅虎、迪斯尼、Facebook、Youtube等國際知名網(wǎng)站以及百度、騰訊搜搜、開心網(wǎng)等國內(nèi)網(wǎng)站都可能受影響。這一事件立即引起了社會各界的關(guān)注。

據(jù)360安全中心稱，Conficker蠕蟲最早于去年11月20日被發(fā)現(xiàn)，迄今已出現(xiàn)了A、B、C三個版本，目前全球已有超過1500萬臺電腦受到感染。Conficker主要利用Windows操作系統(tǒng)MS08-067漏洞來傳播，同時也能借助任何有USB接口的硬件設(shè)備來感染。安全人員在Conficker.C變種的反匯編代碼中，發(fā)現(xiàn)了攻擊全球上百家大網(wǎng)站的設(shè)置，并認為黑客很可能會采用向這些網(wǎng)站發(fā)送數(shù)據(jù)包的DDOS攻擊方式發(fā)動網(wǎng)絡攻擊。由于該蠕蟲曾一度讓法國海軍飛機停飛，近日還深度感染了英國議會的網(wǎng)絡系統(tǒng)，因而很快受到公眾關(guān)注。

不過，由于Conficker在此前四個多月內(nèi)一直“按兵不動”，從未對中招電腦實施任何破壞行為，因而顯得非常神秘。所以，賽門鐵克安全響應中心研究人員雖然同樣證實了Conficker.C中威脅代碼的存在，但并不確信4月1日究竟會發(fā)生什么。研究人員甚至猜測“這或許又是一次千年蟲事件”。

冠群金辰公司預警稱，從4月1日起，Conficker.C蠕蟲病毒每天將試圖訪問上萬個內(nèi)置的URL，向全球的網(wǎng)絡發(fā)起大規(guī)模攻擊。美國電腦安全公司F-Secure也預測，Conficker將從本周三開始，每天入侵5萬個網(wǎng)站，以更好地隱藏發(fā)源地。

而趨勢科技（Trend Micro）向用戶緊急發(fā)布的預警郵件稱，該蠕蟲將在愚人節(jié)當天自我修改程序，并一次產(chǎn)生五萬個惡意軟件網(wǎng)址，試圖在同一時間內(nèi)隨機連接其中500個惡意網(wǎng)站下載木馬病毒，以此改變通過“肉雞”擴大其“僵尸”網(wǎng)絡（Botnet ）家族，以進行下一波的網(wǎng)絡攻擊。

國際網(wǎng)絡安全研究機構(gòu)MTC分析報告指出，Conficker蠕蟲已滲透進全球各政府網(wǎng)站、軍事網(wǎng)絡、個人電腦、重要的基礎(chǔ)架構(gòu)、各種小網(wǎng)絡以及大學中，中招電腦所占據(jù)的IP地址共計10512451個，其中包括1022062個局域網(wǎng)IP。Conficker蠕蟲作者控制的“僵尸”電腦至少在1500萬臺以上——這個“僵尸”網(wǎng)絡不僅可以作為網(wǎng)絡詐騙和盜竊的長期獲利平臺，還可以作為信息戰(zhàn)的超級武器，甚至能使整個民用互聯(lián)網(wǎng)絡癱瘓。也正因為如此，微軟今年2月，懸賞25萬美元來緝拿Conflicker幕后作者。

“我們之所以說這次蠕蟲攻擊可能是史上最強的黑客攻擊，原因在于它目前控制的僵尸電腦數(shù)量非常龐大，達到上千萬臺?！?60安全專家石曉虹博士表示，2002年曾有黑客使用百萬級的蠕蟲發(fā)動DDOS攻擊位于美國的DNS根服務器，就造成了Google、IBM等網(wǎng)站癱瘓。“如果這次上千萬臺電腦一起被用來攻擊，那基本上沒有哪個網(wǎng)站能防得住?！?BR>
那么，Conficker是否真會在愚人節(jié)這一天如期發(fā)動攻擊？“這只是安全機構(gòu)基于Conficker.C樣本反匯編代碼的判斷?！?60安全專家石曉虹博士表示，“業(yè)內(nèi)一直在密切關(guān)注Conficker蠕蟲黑客的意圖，他可能是一個人，也可能是一個組織。他們不僅具有非常高深的互聯(lián)網(wǎng)編程技術(shù)、豐富的密碼學知識，還在反調(diào)試、反跟蹤方面具有極強的造詣，并且對Windows內(nèi)核和Rootkit技術(shù)有相當?shù)陌芽啬芰?。比如，當前最先進的MD6加密算法公開不久后，Conficker作者就把這種算法應用到B變種中?！?BR>
360安全專家石曉虹博士說，“不僅對加密算法，該作者在數(shù)字簽名、哈希算法等方面也表現(xiàn)出了非常老練的應用能力，通過應用多種技能和創(chuàng)新式的P2P技術(shù)，他能夠完全控制整個‘僵尸’網(wǎng)絡的升級。不僅如此，ConfickerC變種還通過打內(nèi)存補丁的方式來避免對同一臺電腦的重復攻擊，從而盡可能地隱藏自身。”

“不過，我們逆向分析病毒樣本的結(jié)論，并不能完全等同于Conficker蠕蟲黑客的真正用意，也可能是黑客仍在排兵布陣。但無論它是否會在4月1日發(fā)動網(wǎng)絡攻擊，都是當前互聯(lián)網(wǎng)中不容忽視的巨大威脅。”360安全專家石曉虹博士稱。

與此同時，業(yè)內(nèi)對于Conficker蠕蟲黑客的身份猜測也已頗為激烈，目前流傳著Conficker出自烏克蘭、俄羅斯、東歐、中國等各地黑客的不同說法，360安全專家石曉虹博士認為，Conficker作者的身份仍存在很大爭議，網(wǎng)絡安全研究人員也只是通過樣本反匯編代碼片段進行猜測而已，即便黑客啟動大規(guī)模網(wǎng)絡攻擊，由于其采用了P2P技術(shù)，外界也很難定位到真正的控制服務器。

據(jù)悉，Conficker主要利用Windows操作系統(tǒng)MS08-067漏洞來傳播，同時也能借助任何有USB接口的硬件設(shè)備來感染?！耙虼?，現(xiàn)在最重要的是，廣大網(wǎng)民要及時修復自己電腦系統(tǒng)的漏洞，不要成為被黑客惡意利用的工具和幫兇，而各互聯(lián)網(wǎng)站也要做好隨時應對攻擊挑戰(zhàn)的準備?！?60安全專家石曉虹博士最后說。

附：

1、蠕蟲病毒有哪些危害？

答：一般說來，電腦感染了蠕蟲病毒后，會慢得跟蠕蟲那樣，可能被作為僵尸電腦，向外發(fā)送大量垃圾郵件或?qū)ζ渌W(wǎng)絡計算機發(fā)送攻擊。還有些蠕蟲會在入侵用戶電腦后，下載一些盜號木馬，來竊取用戶的網(wǎng)游、網(wǎng)銀和個人隱私信息。

2004年“震蕩波”蠕蟲爆發(fā)時，侵襲了世界各地的銀行、郵政、交通等部門電腦系統(tǒng)，讓中招電腦不斷崩潰、重啟，造成德爾塔航空公司約40個航班被迫取消或延誤，澳大利亞成千上萬的旅客滯留看臺，無數(shù)工作人員重回紙質(zhì)辦公。

但Conficker非常奇怪，因為到目前為止，它除了讓用戶網(wǎng)速變得有些慢之外，還沒有實施任何危害性操作。但這并不等于Conficker不會作惡，而這完全取決于Conficker幕后的控制者下一步如何動作。

2、普通網(wǎng)民和企業(yè)用戶應該如何防范？

答：普通用戶應強化網(wǎng)絡安全意識，及時用360安全衛(wèi)士這樣的專業(yè)安全工具為電腦打補丁，修復系統(tǒng)漏洞，就能避免受到Conficker蠕蟲的入侵，從而不會成為他們攻擊別人網(wǎng)絡的幫兇。

企業(yè)用戶的局域網(wǎng)更是Conficker容易傳播的場所，往往一臺電腦‘中招’就會導致整個局域網(wǎng)出現(xiàn)大面積感染，企業(yè)員工除了用360盡快為電腦修復漏洞補丁外，建議用戶在使用U盤前應盡量開啟360等具有U盤防火墻功能的安全軟件。從360安全中心監(jiān)控的數(shù)據(jù)來看，在2億360用戶中只有極少數(shù)用戶感染了Conficker蠕蟲，這說明及時給用戶電腦打補丁的做法，有助于防治此類蠕蟲病毒的大規(guī)模爆發(fā)。