僵尸网络的最新消息与发展趋势

ZDNet安全频道原创翻译 转载请注明作者以及出处

最近僵尸网络的活跃已经让人们越来越担忧了，似乎僵尸网络正在逐渐做大做强。本文中，我们将讨论正义一方是如何落败的。
--------------------------------------------------------------------------------------------

　　对于当前的形势我一直有一个疑问，为何世界经济持续低迷，但网络犯罪活动却欣欣向荣。难道互联网真的是犯罪分子的天堂么?是否是高昂的投资回报率，使得恶意软件制作者们不断改进如Storm这样的蠕虫?貌似如此。

　　Storm卷土重来

　　首先要提到的重大事件是由Storm 蠕虫创建的僵尸网络再度出现。2007年，Storm蠕虫曾经建立起了一个空前庞大的僵尸网络。不过在2008年初，由于微软发布了Malicious Software Removal Tool (MSRT)，这个僵尸网络几乎绝迹了。当时，随着微软在一个月内发布了多个Storm 变种的签名标记，MSRT几乎从30万台电脑中删除了Storm。

　　与此同时，Secureworks 的主管Joe Stewart破解了这款恶意软件用来与命令和控制服务器通信的64-bit加密密钥。有了这个密钥，安全专家们将可以通过隔离和屏蔽点到点的内部节点通信的方式进一步降低Storm僵尸网络的有效性。

　　2008年8月，我曾经写了一篇名为《Storm蠕虫: 僵尸网络的巨无霸》的文章。文中，我指出了Storm开发者们的坚韧态度。那时候Storm好像正在筹划卷土重来，不过之后一段时间好像没有什么动静，我以为是我估计错误了。现在看来，是Storm的开发者们重新分组导致了延迟。

　　Waledec是 Storm 的新面孔

　　Dr. Jose Nazario在文章《有关僵尸网络的十个问题》中曾经回答了很多关于僵尸网络的问题，而现在他认为， Waledec 是Storm僵尸网络的最新版本。在他的文章《 Waledec介绍》中是这样描述的：

　　“首先，看上去Waledac是 Storm蠕虫的基础和组成部分，但是添加了新的恶意代码。我已经根据可靠的信息来源研究多日了，目前非常支持这一结论，。

　　我们在研究小组中发现， Storm 蠕虫网络节点既可以作为HTTP代理，也可以作为开放的递归DNS服务器。”

　　Waledec的改进之处

　　Storm采用 P2P技术用来进行命令和控制信息的传递，最初这被认作是一种相当聪明的管理僵尸网络的方法。而现在，安全专家却可以根据这些数据流跟踪并最终定位僵尸网络节点。而Waledec则是采用基于HTTP的命令和控制传输。因为恶意软件开发人员已经意识到了，要在互联网那浩如烟海的HTTP传输信息中隔离出微量的特殊HTTP命令和控制请求，难度远远超过前者。

　　同时， Waledec对加密程序也进行了升级，从原先的64-bit RSA算法演变成了两部分加密过程。第一部分是初始连接传输，采用的是AES加密。一旦确认握手完成， Waledec 对余下的数据传输就转换为RSA 1024-bit加密，这种加密方式几乎是无法破解的。

　　Waledec的目的

　　我觉得Waledec和Storm一样，就是想让大家的邮箱中都塞满了垃圾邮件。在去年圣诞夜，安全专家们发现很多垃圾邮件都是由电子贺卡组成的。这种方式与过去Storm网络的垃圾邮件发送方式非常类似，因此研究人员才将Storm和Waledec联系在了一起。

　　所以说，Storm也就是现在所说的 Waledec ，仍然存在于互联网上，并且比以前更加壮大了。接下来，我将介绍另一个有关僵尸网络的新闻。这条新闻之所以惊人，是因为它披露了僵尸网络的增长率。

　　Worm:Win32/Conficker.B：散播不需要很多时间

　　去年十二月，我写过一篇文章“MS08-067:不升级导致恶魔僵尸网络成型”。那时候我还没有预料到所谓的恶魔僵尸网络会包含了300万(或900万)僵尸电脑。Kelly Jackson Higgins 在他的文章 “广泛传播的蠕虫可能形成新的僵尸网络”中介绍了Win32/Conficker.B’s 成功散播后的情况：

　　“有一点是肯定的：这个蠕虫散播的速度如同野火一般，它的开发者好像要与时间赛跑，尽一切可能感染那些没有及时安装漏洞补丁的Windows 2000, XP, 以及 Windows Server 2003 系统。目前这个蠕虫的开发者已经制造出了新的变种以逃避检测。”

　　还没引爆的定时炸弹

　　虽然目前这个僵尸网络还没有表现出任何明显的目的，但安全专家随时都在监视着这个极具潜力的僵尸网络。恶意代码编造出的特殊域名是僵尸电脑与命令和控制服务器连接所必须的部分，但是目前这些域名还没有被注册。分析人士甚至怀疑，是不是僵尸网络的幕后黑手也被如此大量的僵尸电脑所困扰，在开发命令和控制服务器架构的时候遇到了困难。

　　希望 MSRT再次成为救命稻草

　　微软也认为Waledec 将成为一个新的威胁。还记得针对Conficker紧急推出的MS08-067补丁么，在一月份的关键升级中，微软甚至提供了Conficker 的检测签名:

　　“为了帮助广大被感染的用户，我们决定在一月份的MSRT 加入对此种蠕虫的检测和删除功能。如果你的电脑或网络环境被这种恶意软件入侵，可以运行MSRT将其杀除。”

　　下图(来自微软)显示了Conficker 蠕虫的工作方式：

　　总 结

　　这篇文章主要是想让朋友们及时了解当前僵尸网络世界的现状。虽然我们都意识到了与僵尸网络的战争还将持续很久，但我只是希望这种负面消息越少越好。