神秘病毒要干什么？

陳　俊

在這1000多萬個被Conficker感染的IP地址所屬國家和地區(qū)排名中，排在前四位的居然是中國、巴西、俄羅斯以及印度——恰好是未來最有發(fā)展?jié)摿Φ摹敖鸫u四國”。

特殊的日子總會有特別的故事，互聯(lián)網(wǎng)世界最富懸念的驚爆大戲，也許會在2009年4月1日這一天拉開大幕。

故事的主角是一個名為“Conficker”、大小只有數(shù)百K字節(jié)的電腦蠕蟲病毒?？蓜e小看了它——通過感染全球1500萬臺以上的電腦“僵尸網(wǎng)絡(luò)”，它所能駕馭的能量已經(jīng)堪稱網(wǎng)絡(luò)世界的“核武”。問題的關(guān)鍵在于，它的主人、正被微軟以25萬美元懸賞的幕后黑客，究竟會否在4月1日這一天將其引爆，掀起災(zāi)難性的網(wǎng)絡(luò)攻擊？還是僅僅只是為了跟全球互聯(lián)網(wǎng)開上一個超級愚人節(jié)玩笑？謎底正在揭開。

初露猙獰

很多人聽說Conficker蠕蟲病毒，是在法國海軍戰(zhàn)機停飛的事故之后——今年1月，一名法國士兵在家中使用U盤感染了Conficker，蠕蟲被帶回海軍內(nèi)網(wǎng)后大面積擴(kuò)散，軍方電腦數(shù)據(jù)庫也未能幸免，以至于“颶風(fēng)”戰(zhàn)斗機飛行員無法下載飛行計劃。除法國海軍內(nèi)網(wǎng)外，英國、德國等國部分軍事系統(tǒng)相繼爆出Conficker入侵的消息，英國議會電腦網(wǎng)絡(luò)近日也宣告淪陷。

“這是一種利用局域網(wǎng)和可插入USB端口的任何設(shè)備快速傳播的電腦蠕蟲，黑客可以使用Conficker蠕蟲攻擊竊取個人和財務(wù)數(shù)據(jù)?！盋NN在今年１月的新聞報道同時指出：“現(xiàn)階段來說，該蠕蟲病毒帶來的傷害還不算非常嚴(yán)重，因為到目前為止，它并沒有試圖竊取個人或信用卡資料?！?/p>

這些正是最令研究人員困惑的問題，Conficker到底想要什么？長期以來，蠕蟲、木馬、后門程序、流氓插件等等惡意程序一直被人們視為“洪水猛獸”，因為他們要么是偷竊用戶電腦隱私和數(shù)據(jù)的“賊”，要么是拖垮受害者電腦系統(tǒng)的“無賴”，或者就是瘋狂騷擾用戶的“流氓”。然而，Conficker出世半年來，一直都只是通過電腦系統(tǒng)漏洞默默地傳播自己——一方面屏蔽微軟的安全更新和安全廠商網(wǎng)站，讓中招用戶無法清除；另一方面還幫助電腦系統(tǒng)阻止其他木馬病毒入侵，仿佛在扮演一種“俠盜”的角色，從不傷害“手無寸鐵”的無辜網(wǎng)民，甚至被微軟中國安全研究人員“大牛蛙”稱為“模范蠕蟲”。

是“梁山好漢”還是“王莽謙恭未篡時”？直到Conficker的第三個變種Conficker.C，它才突然露出了猙獰的獠牙。

3月19日，國際知名安全廠商冠群金辰公司率先宣布，從4月1日，也就是西方愚人節(jié)這一天起，Conficker.C蠕蟲病毒將向全球網(wǎng)絡(luò)發(fā)起大規(guī)模攻擊。趨勢科技（Trend Micro）則向用戶緊急發(fā)布預(yù)警郵件，宣稱WORM_DOWNAD.KK（趨勢科技對Conficker.C變種的命名）將在愚人節(jié)當(dāng)天自我修改程序，以進(jìn)行下一波的網(wǎng)絡(luò)攻擊。幾乎同一時間，國內(nèi)最大的網(wǎng)絡(luò)安全廠商360安全中心也發(fā)布預(yù)警稱，通過分析，安全專家發(fā)現(xiàn)Conficker.C正在它所感染的電腦中進(jìn)行休眠的死循環(huán)，一旦系統(tǒng)時間到2009年4月1日之后，它就會清醒過來，在一系列浮點運算后向上百家預(yù)先指定的網(wǎng)站發(fā)送數(shù)據(jù)包，雅虎美國、迪斯尼、Facebook、Youtube等國際知名網(wǎng)站都成為其攻擊目標(biāo)，百度、騰訊搜搜、開心網(wǎng)、天涯等國內(nèi)網(wǎng)站也赫然在列。

“這將是一場被精密計劃和組織的大型網(wǎng)絡(luò)攻擊，它所設(shè)計的協(xié)同作戰(zhàn)模式無異于一場正規(guī)的軍事行動?！睆膰H安全研究組織MTC（Malware Threat Center）對于Conficker的研究報告中可以看到，“Conficker.C具備了HTTP時間查詢功能，就像警匪片中的戰(zhàn)前‘對表一樣，一切攻擊行為都在被其作者精確控制?！?/p>

新“恐怖主義”

正如一場好戲中會不斷上演矛盾沖突一般，另一些安全機構(gòu)則對于Conficker的爆發(fā)持懷疑態(tài)度。安全公司Sophos的研究人員表示，大規(guī)模的網(wǎng)絡(luò)攻擊并不會如期出現(xiàn)，Conficker蠕蟲的作者要造成重大的網(wǎng)絡(luò)故障是沒有意義的，因為一旦互聯(lián)網(wǎng)通訊被破壞，他們也就賺不到任何錢。

賽門鐵克安全響應(yīng)中心研究人員的態(tài)度則搖擺不定，他們證實了Conficker.C中威脅代碼的存在，但并不確信4月1日會發(fā)生什么?！斑@或許又是千年蟲未能實踐可怕預(yù)言的重演?！毖芯咳藛T猜測道。

另一項傳聞則更令人欣慰，一個由安全研究人員、技術(shù)公司、加入ICANN的域名注冊公司組成的國際聯(lián)盟披露，他們已經(jīng)采取了前所未有的措施切斷了Conficker與操控它的服務(wù)器之間的聯(lián)系，中國互聯(lián)網(wǎng)絡(luò)信息中心便是該聯(lián)盟成員，有消息稱“中國和美國合作挫敗了一次全球范圍的嚴(yán)重的惡意攻擊”。然而，無論是中國互聯(lián)網(wǎng)信息中心，還是ICANN抑或是微軟，都并未對傳言發(fā)表評論。

“唯一可以確定的是，Conficker蠕蟲黑客具有非常高深的互聯(lián)網(wǎng)編程技術(shù)、先進(jìn)的密碼技能、定制雙層編碼封裝和編碼模糊技術(shù)，以及Windows與安全產(chǎn)品的深度知識?！?60安全專家石曉虹博士分析說：“Conficker緊跟時代潮流幾乎應(yīng)用了當(dāng)前最前沿的黑客技術(shù)。比如，當(dāng)前最先進(jìn)的加密算法是MD6算法，而就在該算法公布不久，Conficker的B變種中就使用了該算法。一開始MD6算法本身還存在缺陷,導(dǎo)致黑客無法藉此控制整個Conficker僵尸網(wǎng)絡(luò),但這個聰明的作者顯然也很清楚這個缺陷,在其C變種版里很快就更新到了最新的算法?！?/p>

另據(jù)MTC發(fā)布的最新數(shù)據(jù)，Conficker感染電腦所占據(jù)的IP地址在全球共計10512451個，其中包括1022062個局域網(wǎng)IP，也就是說，Conficker幕后黑手控制的“僵尸”電腦保守估計也在1500萬臺以上。

2002年，黑客僅控制百萬級的僵尸網(wǎng)絡(luò)發(fā)動DDOS攻擊，就把位于美國的DNS根服務(wù)器徹底攻癱，從而導(dǎo)致谷歌、微軟、IBM等全球大網(wǎng)站癱瘓多時。這意味著，如果Conficker背后的黑客樂意，他可以利用這上千萬臺電腦做任何事——無論是攻癱互聯(lián)網(wǎng)上的任何服務(wù)器，還是讓垃圾郵件制造者發(fā)送數(shù)十億個垃圾郵件信息。

這個判斷似乎可以解釋，為何微軟公司今年2月決定懸賞25萬美元來追蹤Conflicker的幕后作者——這個懸賞金額與上次微軟全球懸賞“震蕩波”蠕蟲作者的標(biāo)準(zhǔn)相同。當(dāng)時“震蕩波”導(dǎo)致了全球數(shù)百萬電腦的感染，造成了5億到10億美元的估算損失。

更為巧合的是，在這1000多萬個被Conficker感染的IP地址所屬國家和地區(qū)排名中，排在前四位的居然是中國、巴西、俄羅斯以及印度——恰好是未來最有發(fā)展?jié)摿Φ摹敖鸫u四國”。這個巧合給Conficker蒙上了一層更為神秘的色彩。

Conficker.C變種出現(xiàn)后， MTC的研究人員指出：最好的情況可能是，Conficker蠕蟲被用作大量互聯(lián)網(wǎng)詐騙和偷竊的長期獲利平臺；而最糟糕也最讓人不寒而栗的情況是，Conficker蠕蟲可能成為信息聯(lián)合侵襲的強大武裝工具，不僅能使各個國家限于一片混亂，而且能使整個互聯(lián)網(wǎng)中斷。

網(wǎng)絡(luò)世界中惡勢力林立，有大范圍破壞電腦系統(tǒng)或是攻擊網(wǎng)絡(luò)服務(wù)器的“技術(shù)狂人”，他們圖的是名；有偷網(wǎng)銀偷網(wǎng)游偷個人資料的盜賊，他們圖的是利。Conficker幕后的控制者（更可能是黑客組織）絕對是卓爾不群的，從未有任何一種惡意程序像Conficker一樣，還沒造成多少危害，就已經(jīng)制造了數(shù)字時代的全球性恐慌。■