陳　俊

在這1000多萬(wàn)個(gè)被Conficker感染的IP地址所屬?lài)?guó)家和地區(qū)排名中，排在前四位的居然是中國(guó)、巴西、俄羅斯以及印度——恰好是未來(lái)最有發(fā)展?jié)摿Φ摹敖鸫u四國(guó)”。

特殊的日子總會(huì)有特別的故事，互聯(lián)網(wǎng)世界最富懸念的驚爆大戲，也許會(huì)在2009年4月1日這一天拉開(kāi)大幕。

故事的主角是一個(gè)名為“Conficker”、大小只有數(shù)百K字節(jié)的電腦蠕蟲(chóng)病毒。可別小看了它——通過(guò)感染全球1500萬(wàn)臺(tái)以上的電腦“僵尸網(wǎng)絡(luò)”，它所能駕馭的能量已經(jīng)堪稱(chēng)網(wǎng)絡(luò)世界的“核武”。問(wèn)題的關(guān)鍵在于，它的主人、正被微軟以25萬(wàn)美元懸賞的幕后黑客，究竟會(huì)否在4月1日這一天將其引爆，掀起災(zāi)難性的網(wǎng)絡(luò)攻擊？還是僅僅只是為了跟全球互聯(lián)網(wǎng)開(kāi)上一個(gè)超級(jí)愚人節(jié)玩笑？謎底正在揭開(kāi)。

初露猙獰

很多人聽(tīng)說(shuō)Conficker蠕蟲(chóng)病毒，是在法國(guó)海軍戰(zhàn)機(jī)停飛的事故之后——今年1月，一名法國(guó)士兵在家中使用U盤(pán)感染了Conficker，蠕蟲(chóng)被帶回海軍內(nèi)網(wǎng)后大面積擴(kuò)散，軍方電腦數(shù)據(jù)庫(kù)也未能幸免，以至于“颶風(fēng)”戰(zhàn)斗機(jī)飛行員無(wú)法下載飛行計(jì)劃。除法國(guó)海軍內(nèi)網(wǎng)外，英國(guó)、德國(guó)等國(guó)部分軍事系統(tǒng)相繼爆出Conficker入侵的消息，英國(guó)議會(huì)電腦網(wǎng)絡(luò)近日也宣告淪陷。

“這是一種利用局域網(wǎng)和可插入U(xiǎn)SB端口的任何設(shè)備快速傳播的電腦蠕蟲(chóng)，黑客可以使用Conficker蠕蟲(chóng)攻擊竊取個(gè)人和財(cái)務(wù)數(shù)據(jù)?！盋NN在今年１月的新聞報(bào)道同時(shí)指出：“現(xiàn)階段來(lái)說(shuō)，該蠕蟲(chóng)病毒帶來(lái)的傷害還不算非常嚴(yán)重，因?yàn)榈侥壳盀橹梗](méi)有試圖竊取個(gè)人或信用卡資料?！?/p>

這些正是最令研究人員困惑的問(wèn)題，Conficker到底想要什么？長(zhǎng)期以來(lái)，蠕蟲(chóng)、木馬、后門(mén)程序、流氓插件等等惡意程序一直被人們視為“洪水猛獸”，因?yàn)樗麄円词峭蹈`用戶(hù)電腦隱私和數(shù)據(jù)的“賊”，要么是拖垮受害者電腦系統(tǒng)的“無(wú)賴(lài)”，或者就是瘋狂騷擾用戶(hù)的“流氓”。然而，Conficker出世半年來(lái)，一直都只是通過(guò)電腦系統(tǒng)漏洞默默地傳播自己——一方面屏蔽微軟的安全更新和安全廠(chǎng)商網(wǎng)站，讓中招用戶(hù)無(wú)法清除；另一方面還幫助電腦系統(tǒng)阻止其他木馬病毒入侵，仿佛在扮演一種“俠盜”的角色，從不傷害“手無(wú)寸鐵”的無(wú)辜網(wǎng)民，甚至被微軟中國(guó)安全研究人員“大牛蛙”稱(chēng)為“模范蠕蟲(chóng)”。

是“梁山好漢”還是“王莽謙恭未篡時(shí)”？直到Conficker的第三個(gè)變種Conficker.C，它才突然露出了猙獰的獠牙。

3月19日，國(guó)際知名安全廠(chǎng)商冠群金辰公司率先宣布，從4月1日，也就是西方愚人節(jié)這一天起，Conficker.C蠕蟲(chóng)病毒將向全球網(wǎng)絡(luò)發(fā)起大規(guī)模攻擊。趨勢(shì)科技（Trend Micro）則向用戶(hù)緊急發(fā)布預(yù)警郵件，宣稱(chēng)WORM_DOWNAD.KK（趨勢(shì)科技對(duì)Conficker.C變種的命名）將在愚人節(jié)當(dāng)天自我修改程序，以進(jìn)行下一波的網(wǎng)絡(luò)攻擊。幾乎同一時(shí)間，國(guó)內(nèi)最大的網(wǎng)絡(luò)安全廠(chǎng)商360安全中心也發(fā)布預(yù)警稱(chēng)，通過(guò)分析，安全專(zhuān)家發(fā)現(xiàn)Conficker.C正在它所感染的電腦中進(jìn)行休眠的死循環(huán)，一旦系統(tǒng)時(shí)間到2009年4月1日之后，它就會(huì)清醒過(guò)來(lái)，在一系列浮點(diǎn)運(yùn)算后向上百家預(yù)先指定的網(wǎng)站發(fā)送數(shù)據(jù)包，雅虎美國(guó)、迪斯尼、Facebook、Youtube等國(guó)際知名網(wǎng)站都成為其攻擊目標(biāo)，百度、騰訊搜搜、開(kāi)心網(wǎng)、天涯等國(guó)內(nèi)網(wǎng)站也赫然在列。

“這將是一場(chǎng)被精密計(jì)劃和組織的大型網(wǎng)絡(luò)攻擊，它所設(shè)計(jì)的協(xié)同作戰(zhàn)模式無(wú)異于一場(chǎng)正規(guī)的軍事行動(dòng)。”從國(guó)際安全研究組織MTC（Malware Threat Center）對(duì)于Conficker的研究報(bào)告中可以看到，“Conficker.C具備了HTTP時(shí)間查詢(xún)功能，就像警匪片中的戰(zhàn)前‘對(duì)表一樣，一切攻擊行為都在被其作者精確控制?！?/p>

新“恐怖主義”

正如一場(chǎng)好戲中會(huì)不斷上演矛盾沖突一般，另一些安全機(jī)構(gòu)則對(duì)于Conficker的爆發(fā)持懷疑態(tài)度。安全公司Sophos的研究人員表示，大規(guī)模的網(wǎng)絡(luò)攻擊并不會(huì)如期出現(xiàn)，Conficker蠕蟲(chóng)的作者要造成重大的網(wǎng)絡(luò)故障是沒(méi)有意義的，因?yàn)橐坏┗ヂ?lián)網(wǎng)通訊被破壞，他們也就賺不到任何錢(qián)。

賽門(mén)鐵克安全響應(yīng)中心研究人員的態(tài)度則搖擺不定，他們證實(shí)了Conficker.C中威脅代碼的存在，但并不確信4月1日會(huì)發(fā)生什么?！斑@或許又是千年蟲(chóng)未能實(shí)踐可怕預(yù)言的重演?！毖芯咳藛T猜測(cè)道。

另一項(xiàng)傳聞則更令人欣慰，一個(gè)由安全研究人員、技術(shù)公司、加入ICANN的域名注冊(cè)公司組成的國(guó)際聯(lián)盟披露，他們已經(jīng)采取了前所未有的措施切斷了Conficker與操控它的服務(wù)器之間的聯(lián)系，中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心便是該聯(lián)盟成員，有消息稱(chēng)“中國(guó)和美國(guó)合作挫敗了一次全球范圍的嚴(yán)重的惡意攻擊”。然而，無(wú)論是中國(guó)互聯(lián)網(wǎng)信息中心，還是ICANN抑或是微軟，都并未對(duì)傳言發(fā)表評(píng)論。

“唯一可以確定的是，Conficker蠕蟲(chóng)黑客具有非常高深的互聯(lián)網(wǎng)編程技術(shù)、先進(jìn)的密碼技能、定制雙層編碼封裝和編碼模糊技術(shù)，以及Windows與安全產(chǎn)品的深度知識(shí)?！?60安全專(zhuān)家石曉虹博士分析說(shuō)：“Conficker緊跟時(shí)代潮流幾乎應(yīng)用了當(dāng)前最前沿的黑客技術(shù)。比如，當(dāng)前最先進(jìn)的加密算法是MD6算法，而就在該算法公布不久，Conficker的B變種中就使用了該算法。一開(kāi)始MD6算法本身還存在缺陷,導(dǎo)致黑客無(wú)法藉此控制整個(gè)Conficker僵尸網(wǎng)絡(luò),但這個(gè)聰明的作者顯然也很清楚這個(gè)缺陷,在其C變種版里很快就更新到了最新的算法?！?/p>

另?yè)?jù)MTC發(fā)布的最新數(shù)據(jù)，Conficker感染電腦所占據(jù)的IP地址在全球共計(jì)10512451個(gè)，其中包括1022062個(gè)局域網(wǎng)IP，也就是說(shuō)，Conficker幕后黑手控制的“僵尸”電腦保守估計(jì)也在1500萬(wàn)臺(tái)以上。

2002年，黑客僅控制百萬(wàn)級(jí)的僵尸網(wǎng)絡(luò)發(fā)動(dòng)DDOS攻擊，就把位于美國(guó)的DNS根服務(wù)器徹底攻癱，從而導(dǎo)致谷歌、微軟、IBM等全球大網(wǎng)站癱瘓多時(shí)。這意味著，如果Conficker背后的黑客樂(lè)意，他可以利用這上千萬(wàn)臺(tái)電腦做任何事——無(wú)論是攻癱互聯(lián)網(wǎng)上的任何服務(wù)器，還是讓垃圾郵件制造者發(fā)送數(shù)十億個(gè)垃圾郵件信息。

這個(gè)判斷似乎可以解釋?zhuān)瑸楹挝④浌窘衲?月決定懸賞25萬(wàn)美元來(lái)追蹤C(jī)onflicker的幕后作者——這個(gè)懸賞金額與上次微軟全球懸賞“震蕩波”蠕蟲(chóng)作者的標(biāo)準(zhǔn)相同。當(dāng)時(shí)“震蕩波”導(dǎo)致了全球數(shù)百萬(wàn)電腦的感染，造成了5億到10億美元的估算損失。

更為巧合的是，在這1000多萬(wàn)個(gè)被Conficker感染的IP地址所屬?lài)?guó)家和地區(qū)排名中，排在前四位的居然是中國(guó)、巴西、俄羅斯以及印度——恰好是未來(lái)最有發(fā)展?jié)摿Φ摹敖鸫u四國(guó)”。這個(gè)巧合給Conficker蒙上了一層更為神秘的色彩。

Conficker.C變種出現(xiàn)后， MTC的研究人員指出：最好的情況可能是，Conficker蠕蟲(chóng)被用作大量互聯(lián)網(wǎng)詐騙和偷竊的長(zhǎng)期獲利平臺(tái)；而最糟糕也最讓人不寒而栗的情況是，Conficker蠕蟲(chóng)可能成為信息聯(lián)合侵襲的強(qiáng)大武裝工具，不僅能使各個(gè)國(guó)家限于一片混亂，而且能使整個(gè)互聯(lián)網(wǎng)中斷。

網(wǎng)絡(luò)世界中惡勢(shì)力林立，有大范圍破壞電腦系統(tǒng)或是攻擊網(wǎng)絡(luò)服務(wù)器的“技術(shù)狂人”，他們圖的是名；有偷網(wǎng)銀偷網(wǎng)游偷個(gè)人資料的盜賊，他們圖的是利。Conficker幕后的控制者（更可能是黑客組織）絕對(duì)是卓爾不群的，從未有任何一種惡意程序像Conficker一樣，還沒(méi)造成多少危害，就已經(jīng)制造了數(shù)字時(shí)代的全球性恐慌?！?/p>