Conficker又有驚人發(fā)現(xiàn)： “愚人飛客”愈顯深不可測

繼“愚人節(jié)攻擊”的煙霧彈之后，Conficker蠕蟲（又名“愚人飛客”）再次吸引了全球網(wǎng)絡(luò)安全界的目光。近日，微軟宣布發(fā)現(xiàn)了Conficker最新變種，并將之命名為Conficker.E（即冠群金辰公司命名的Conficker.C之升級版）。這一最新變種不但動搖了此前業(yè)界對這一“模范蠕蟲”“不圖名、不圖利”的的種種幻想，更驚人的發(fā)現(xiàn)還在后面。

出現(xiàn)在去年11月的Conficker蠕蟲在早期極為“溫和”，從一開始就表現(xiàn)得與以往的各種蠕蟲病毒極為不同，以至于被微軟安全研究人員戲稱為“不圖名、不圖利”的“模范”蠕蟲。但是在3月底時，事情出現(xiàn)了戲劇性的變化，Conficker.C的代碼經(jīng)分析后，被爆出含有將于4月1日發(fā)動全球攻擊的指令，從而引發(fā)了網(wǎng)絡(luò)安全行業(yè)的巨大震動。

此前按研究機構(gòu)MTC的估算，Conficker控制的“肉雞”規(guī)模已達1500萬。事實上很可能超過這一數(shù)字，因為據(jù)IBM公司的數(shù)據(jù)，通過對世界各地200萬臺上網(wǎng)電腦的抽樣掃描，至少4%的電腦被發(fā)現(xiàn)明確感染了Conficker。這是一個驚人的數(shù)字。

因此，雖然明知“4月1日攻擊”有可能是一個愚人節(jié)惡作劇，但是鑒于Conficker一旦發(fā)動的巨大破壞性，國外多家安全機構(gòu)和冠群金辰、趨勢科技、360安全中心、以及中國國家計算機網(wǎng)絡(luò)應(yīng)急中心等國內(nèi)機構(gòu)仍發(fā)出了安全預(yù)警。尤其是在網(wǎng)絡(luò)安全預(yù)警能力和防范意識較強的歐美國家，Conficker引發(fā)了巨大的恐慌：英國衛(wèi)報稱Conficker為“致命威脅”，CBS預(yù)言其將“癱瘓整個網(wǎng)絡(luò)”，紐約時報更是稱之為“即將發(fā)生的難以置信的慘劇”， 而美國ABC新聞網(wǎng)甚至認(rèn)為該蠕蟲作者已可與史上“五大著名黑客”比肩。

在各大安全機構(gòu)發(fā)覺和預(yù)警之后，Conficker.C取消了愚人節(jié)攻擊，或許“愚人飛客”的打算就是先惡作劇一下，以麻痹各方面對其的警惕性，也可能是因為攻擊代碼曝光導(dǎo)致計劃生變，愚人節(jié)攻擊并沒有如期發(fā)生，但是這并不意味著威脅已經(jīng)解除。這就像一個戰(zhàn)爭狂人將核武引爆時間設(shè)定在4月1日，雖然這一天并沒有真的爆炸，但絕不意味著和平已經(jīng)降臨，因為引爆的按鈕仍然在他手中。就在大家視之為愚人節(jié)笑話而放松警惕時，這一核彈的爆炸能量卻仍在隨著Conficker.E的悄然升級擴張而迅速增長……

據(jù)360安全中心的石曉虹博士披露，在打破休眠狀態(tài)后，Conficker.C已利用P2P技術(shù)迅速在全球范圍內(nèi)升級到了Conficker.E。“Conficker通過加密P2P技術(shù)在肉雞電腦上進行更新，Conficker.C甚至無需獲取更新指令就可以部署升級，相當(dāng)于預(yù)先設(shè)置了BT下載的種子，這也是Conficker作者早早埋下的伏筆，而它的最新版本目前正在向打造‘僵尸網(wǎng)絡(luò)’演化，出現(xiàn)了明顯的趨利特征?！?BR>
據(jù)卡巴斯基實驗室監(jiān)控的信息，有人利用Conficker.E在受害用戶電腦上彈出“發(fā)現(xiàn)病毒”的恐嚇廣告，以此推銷價格為49.95美元的“無賴”殺毒軟件，行跡與兩個月前360安全中心發(fā)現(xiàn)的“犇?！蹦抉R偷運“廣告炸彈”、威脅用戶“電腦即將高溫爆炸”等流氓行徑極為相似。

趨勢科技則發(fā)現(xiàn)Conficker.E正在與“風(fēng)暴”僵尸網(wǎng)絡(luò)嘗試對接。或許一般網(wǎng)友對“風(fēng)暴”一無所知，但幾乎每個網(wǎng)民都有過接到廣告（釣魚）郵件的遭遇，“風(fēng)暴” 就是大面積發(fā)送廣告（釣魚）郵件的僵尸網(wǎng)絡(luò)中最為顯赫的一員。一旦Conficker控制的“肉雞”群與“風(fēng)暴”僵尸網(wǎng)絡(luò)合兵一處，未來互聯(lián)網(wǎng)上的垃圾流量和個人隱私泄露次數(shù)將翻番。

對此，石曉虹博士表示，由于Conficker.E之前的版本隱蔽性非常高，沒有體現(xiàn)出對中招電腦的直接危害，用戶有可能忽視了對它的查殺。一旦電腦出現(xiàn)Windows安全中心無法訪問、網(wǎng)速明顯變慢等現(xiàn)象，有可能就是感染了Conficker,可以下載360頑固木馬專殺大全予以清理。（下載地址： http://down.360safe.com/360compkill.zip ）

蹊蹺的是，Conficker.E新版本再次暴露出一個全新的時間點：5月3日。根據(jù)樣本分析，Conficker.E將于5月3日這一天自動停止繁殖和擴張。黑客為什么選擇了5月3日這樣一個日子？在歷史上的這一天，人類首次完成不停頓橫貫大陸飛行，東條英機等戰(zhàn)犯受到審判，撒切爾夫人成為英國第一位女首相……至少從表面上，無法分析出這些事件對“愚人飛客”能有什么特殊的象征意義。

問題是，Conficker已經(jīng)在全球范圍內(nèi)掌控了大量肉雞，甚至已經(jīng)引發(fā)了全球恐慌，難道會這樣輕易地就洗手不干了？自動停止繁殖會不會是“愚人飛客”釋放的又一個煙霧彈？在這種毫無理由的“引刀自宮”背后，是否預(yù)示著一個更大的陰謀？還是整個事件就是某位天才黑客跟全球網(wǎng)絡(luò)安全界開的一個超級玩笑？“愚人飛客”到底是誰，他到底要干什么？……目前，各國網(wǎng)絡(luò)安全專家正在夜以繼日地抓緊分析，力圖完全破解Conficker的加密保護，就讓我們一起靜待事實真相的最終揭開。