特殊的日子总会有特别的故事,互联网世界最富悬念的惊爆大戏,也许会在2009年4月1日这一天拉开大幕。
故事的主角是一个名为“Conficker”、大小只有数百K字节的电脑蠕虫病毒。可别小看了它——通过感染全球1500万台以上的电脑“僵尸网络”,它所能驾驭的能量已经堪称网络世界的“核武”。问题的关键在于,它的主人、正被微软以25万美元悬赏的幕后黑客,究竟会否在4月1日这一天将其引爆,掀起灾难性的网络攻击?还是仅仅只是为了跟全球互联网开上一个超级愚人节玩笑?谜底正在揭开。
初露狰狞
很多人听说Conficker蠕虫病毒,是在法国海军战机停飞的事故之后——今年1月,一名法国士兵在家中使用U盘感染了Conficker,蠕虫被带回海军内网后大面积扩散,军方电脑数据库也未能幸免,以至于“飓风”战斗机飞行员无法下载飞行计划。除法国海军内网外,英国、德国等国部分军事系统相继爆出Conficker入侵的消息,英国议会电脑网络近日也宣告沦陷。
“这是一种利用局域网和可插入USB端口的任何设备快速传播的电脑蠕虫,黑客可以使用Conficker蠕虫攻击窃取个人和财务数据。”CNN在今年1月的新闻报道同时指出:“现阶段来说,该蠕虫病毒带来的伤害还不算非常严重,因为到目前为止,它并没有试图窃取个人或信用卡资料。”这些正是最令研究人员困惑的问题,Conficker到底想要什么?长期以来,蠕虫、木马、后门程序、流氓插件等等恶意程序一直被人们视为“洪水猛兽”,因为他们要么是偷窃用户电脑隐私和数据的“贼”,要么是拖垮受害者电脑系统的“无赖”,或者就是疯狂骚扰用户的“流氓”。然而,Conficker出世半年来,一直都只是通过电脑系统漏洞默默地传播自己——一方面屏蔽微软的安全更新和安全厂商网站,让中招用户无法清除;另一方面还帮助电脑系统阻止其他木马病毒入侵,仿佛在扮演一种“侠盗”的角色,从不伤害“手无寸铁”的无辜网民,甚至被微软中国安全研究人员“大牛蛙”称为“模范蠕虫”。
是“梁山好汉”还是“王莽谦恭未篡时”?直到Con-ficker的第三个变种Con-ficker.C,它才突然露出了狰狞的獠牙。
3月19日,国际知名安全厂商冠群金辰公司率先宣布,从4月1日,也就是西方愚人节这一天起,Conficker.C蠕虫病毒将向全球网络发起大规模攻击。趋势科技(TrendMicro)则向用户紧急发布预警邮件,宣称WORM_DOWNAD.KK(趋势科技对Con-ficker.C变种的命名)将在愚人节当天自我修改程序,以进行下一波的网络攻击。几乎同一时间,国内最大的网络安全厂商360安全中心也发布预警称,通过分析,安全专家发现Conficker.C正在它所感染的电脑中进行休眠的死循环,一旦系统时间到2009年4月1日之后,它就会清醒过来,在一系列浮点运算后向上百家预先指定的网站发送数据包,雅虎美国、迪斯尼、Facebook、Youtube等国际知名网站都成为其攻击目标,百度、腾讯搜搜、开心网、天涯等国内网站也赫然在列。
“这将是一场被精密计划和组织的大型网络攻击,它所设计的协同作战模式无异于一场正规的军事行动。”从国际安全研究组织MTC(MalwareThreatCenter)对于Conficker的研究报告中可以看到,“Conficker.C具备了HTTP时间查询功能,就像警匪片中的战前‘对表’一样,一切攻击行为都在被其作者精确控制。”
新“恐怖主义”
正如一场好戏中会不断上演矛盾冲突一般,另一些安全机构则对于Conficker的爆发持怀疑态度。安全公司Sophos的研究人员表示,大规模的网络攻击并不会如期出现,Conficker蠕虫的作者要造成重大的网络故障是没有意义的,因为一旦互联网通讯被破坏,他们也就赚不到任何钱。
赛门铁克安全响应中心研究人员的态度则摇摆不定,他们证实了Conficker.C中威胁代码的存在,但并不确信4月1日会发生什么。“这或许又是千年虫未能实践可怕预言的重演。”研究人员猜测道。
另一项传闻则更令人欣慰,一个由安全研究人员、技术公司、加入ICANN的域名注册公司组成的国际联盟披露,他们已经采取了前所未有的措施切断了Conficker与操控它的服务器之间的联系,中国互联网络信息中心便是该联盟成员,有消息称“中国和美国合作挫败了一次全球范围的严重的恶意攻击”。然而,无论是中国互联网信息中心,还是ICANN抑或是微软,都并未对传言发表评论。
“唯一可以确定的是,Conficker蠕虫黑客具有非常高深的互联网编程技术、先进的密码技能、定制双层编码封装和编码模糊技术,以及Windows与安全产品的深度知识。”360安全专家石晓虹博士分析说:“Conficker紧跟时代潮流几乎应用了当前最前沿的黑客技术。比如,当前最先进的加密算法是MD6算法,而就在该算法公布不久,Conficker的B变种中就使用了该算法。一开始MD6算法本身还存在缺陷,导致黑客无法藉此控制整个Conficker僵尸网络,但这个聪明的作者显然也很清楚这个缺陷,在其C变种版里很快就更新到了最新的算法。”另据MTC发布的最新数据,Conficker感染电脑所占据的IP地址在全球共计10512451个,其中包括1022062个局域网IP,也就是说,Conficker幕后黑手控制的“僵尸”电脑保守估计也在1500万台以上。
2002年,黑客仅控制百万级的僵尸网络发动DDOS攻击,就把位于美国的DNS根服务器彻底攻瘫,从而导致谷歌、微软、IBM等全球大网站瘫痪多时。这意味着,如果Conficker背后的黑客乐意,他可以利用这上千万台电脑做任何事——无论是攻瘫互联网上的任何服务器,还是让垃圾邮件制造者发送数十亿个垃圾邮件信息。
这个判断似乎可以解释,为何微软公司今年2月决定悬赏25万美元来追踪Conflicker的幕后作者——这个悬赏金额与上次微软全球悬赏“震荡波”蠕虫作者的标准相同。当时“震荡波”导致了全球数百万电脑的感染,造成了5亿到10亿美元的估算损失。
更为巧合的是,在这1000多万个被Conficker感染的IP地址所属国家和地区排名中,排在前四位的居然是中国、巴西、俄罗斯以及印度——恰好是未来最有发展潜力的“金砖四国”。这个巧合给Conficker蒙上了一层更为神秘的色彩。
Conficker.C变种出现后,MTC的研究人员指出:最好的情况可能是,Conficker蠕虫被用作大量互联网诈骗和偷窃的长期获利平台;而最糟糕也最让人不寒而栗的情况是,Conficker蠕虫可能成为信息联合侵袭的强大武装工具,不仅能使各个国家限于一片混乱,而且能使整个互联网中断。
网络世界中恶势力林立,有大范围破坏电脑系统或是攻击网络服务器的“技术狂人”,他们图的是名;有偷网银偷网游偷个人资料的盗贼,他们图的是利。Conficker幕后的控制者(更可能是黑客组织)绝对是卓尔不群的,从未有任何一种恶意程序像Conficker一样,还没造成多少危害,就已经制造了数字时代的全球性恐慌。 |