别让僵尸网住你

互联网上存在着各种各样的僵尸网络病毒,对任何僵尸网络病毒的忽视,都可能为用户带来无法承担的损失。下文将介绍一些危害较大的僵尸网络病毒以及应对方式。

寄生在Windows 系统上的僵尸网络病毒会让计

算机感染一个或多个恶意程序。利用其构建的非正式网络,僵尸病毒的所有者能够对这些程序发出指令,控制感染病毒的个人计算机。一些僵尸网络病毒会给用户带来麻烦,另一些则更为危险。

僵尸网络无处不在

“当谈到僵尸网络病毒时,大小的确至关重要。”Check Point 软件技术有限公司主管端点解决方案的斯科特•埃莫(Scott Emo)如此评论道:“这是因为僵尸网络越大,僵尸网络操纵者就拥有越多能够造成危害的‘机器人战士’。”

对于哪一种僵尸病毒最危险,倒不必过于纠缠。Sophos杀毒软件公司总经理理查德•王(Richard Wang)指出,Sophos公司会“根据检测到的垃圾信息、恶意软件更新时回访的网站以及已知的恶意软件信息对僵尸网络病毒进行跟踪。不过,我们并不会跟踪单个僵尸病毒。”

理查德•王接着解释:“以 Zeus病毒(又称为 Zbot)为例,虽然收到很多人的报告称 Zeus 具有非常明显的危害性,但他们无法说明它不是一个单一的僵尸网络病毒。其实 Zeus 只是一个工具箱,个别罪犯利用它来部署和设置自己的僵尸网络,它们通常彼此独立而互相雷同。关注五个顶尖的僵尸病毒类似于只去担心 FBI 通缉的要犯。毫无疑问,他们非常危险,但是如果你被攻击时,更多的可能是来自某个街边的小流氓。”

同时,提供一个确定的“坏蛋”列表也并非易事,正如卡巴斯基实验室的反病毒研究员提摩西•阿姆斯特朗(Timothy Armstrong)所言:“很难去衡量哪五种病毒具有最大的危害性。”

阿姆斯特朗还指出:“比如 Conficker,卡巴斯基公司将其称为 Kido,这是一个传播非常广泛的僵尸网络病毒,虽然它的危害潜力不容小视,但截至目前,相对于其他较小的僵尸网络,这种病毒并未造成明显的危害。由于 Conficker 网络小组(Conficker Working Group)所做的工作,这个病毒几乎已经名存实亡。目前危害较大的僵尸病毒是 Zeus,因为在大多数恶意的电子邮件附件中,都会出现它的身影。”

此外,他还指出:“对于 Zeus 病毒,并不存在一个特定的僵尸网络。最新的版本能够以不错的价钱出售,但一些较老的版本已经可以免费获取。使用这种病毒进行的每一起网络犯罪都对其进行了独一无二的配置,因此我们会看到多种截然不同的 Zeus 僵尸网络。”

“当然,还不能漏掉 Koobface,开始它只是一个针对 Facebook的僵尸病毒,但慢慢变得可以攻击其他社会化网络,包括 Twitter、MySpace 等网站。卡巴斯基公司预计:在任意指定的一天里,都存在着大约 50 万活跃的 Koobface 病毒。但是,由于不同的网络架构,很难算出确切的数字。在这三种病毒之外,不同的僵尸网络病毒所呈现的危害性也大不相同。”

最后,阿姆斯特朗说道:“还存在类似 TDSS 这样的威胁,它是一种 rootkit(内核型)病毒,并且升级非常频繁,另外还有窃取 FTP 证书的 Gumblar 病毒,在如何通过服务器层进行自我传播方面都是与众不同的。还应该提到的是 Rustock 病毒,它最新的升级版本提供 TLS(安全传输层)加密,可用于隐藏发送垃圾信息的活动。”

如何摧毁僵尸网络

无论你如何看待僵尸网络病毒,网络这个虚拟世界里都存在着大量没有自我意志的敌人,它们随时准备接受命令对 Windows 系统发起攻击,把你的电脑变成听任罪犯摆布的奴隶。那么,面对这种危险,应当如何应对?

第一个方法是不要使用运行 Windows 系统的计算机。在 Linux 或 Max OS X 系统上还没有出现值得关注的僵尸网络病毒,僵尸病毒是一个 Windows 才有的问题。另外,还有一个雪上加霜的因素:为了阻止恶意软件进入系统,即使完成了所有应该做的操作,比如及时升级 Windows 系统和应用软件并保持杀毒软件的更新,仍然无法保证你的 Windows 系统是安全无忧的。

如果你坚持使用 Windows 系统,有什么应对方法?

美国飞塔(Fortinet)公司负责网络安全和威胁研究项目的经理德瑞克•曼基(Derek Manky)强烈建议:当文件不是来自同事或家人并且无法确认其来源是否可靠时,不要对文件进行任何操作。他指出:“必须小心那些带有病毒的文档,尤其是PDF、XLS 和 DOC 文件,常常会带有僵尸网络病毒程序。”

其中最危险的是 Adobe PDF 格式文件,它已经成为僵尸网络病毒使用者以及恶意软件制造者滥用的病毒文件格式。更糟的是,虽然使用 PDF 发起的攻击越来越多,但仍然很少人会去更新 PDF 阅读软件。软件更新并不能保证用户的安全,但不更新可以保证你更有可能陷入病毒攻击所造成的麻烦之中。

M86 Security 是一家提供网络和信息安全服务的公司。作为该公司科技战略部的副主席,布拉德利•安斯迪斯曾作出如下的说明:“事实证明,为了保护计算机的安全,一家公司应采取的一个最为关键的措施是取消用户的管理员访问权限。我们已经看到,操作系统没有安装补丁程序、浏览器没有保持最新的更新状态并且容易受到攻击,对于这样的计算机系统,会感染许多僵尸网络病毒。所有用户都可以采用的策略是使用提供 JavaScript 白名单功能的浏览器。Firefox 的附加程序 NoScript 可以提供这种功能,保护计算机系统不受恶意 JavaScript 脚本的攻击。”

NoScript 和其他提供类似功能的程序都有一个缺点:许多网站为了正常地显示必须使用 JavaScript,通过设置这些程序让某些网页使用 JavaScript会花费许多时间。另外,还有一个经常出现的问题―提供广告服务的网站能够在任何网页中插入他们的广告,而这些网站可能已经受到 JavaScript 脚本病毒的感染。这意味着,虽然一个网页的来源是可信的,但它也可能成为病毒的感染源。

正如理查德•王所说:“在企业中,为了保护计算机不受僵尸病毒的危害,采取网页过滤的额外设置方式需要很多时间。网页是恶意软件传播的主要方式,所以对于任何安全部署,阻止访问已知的恶意软件源以及扫描所有来自其他地方的信息是一个必须的步骤。”

加强自我保护意识

使用一款优秀的防火墙软件也有帮助。虽然防火墙不能从根本上杜绝僵尸网络病毒的感染,但它能够阻止僵尸网络控制者使用某些端口指挥僵尸病毒发起攻击。

僵尸网络病毒过去常常会使用一些相对隐蔽的端口,比如 IRC(互联网中继聊天)所用的 TCP 6660-6669 端口,封锁这些端口非常容易。但曼基指出:“现在,僵尸病毒已经发生变化,它们开始使用采用的端口,比如具有常规协议的 HTTP(80)和 HTTPS(443),并利用自己的算法进行加密以躲避检查。端对端网络已经出现,这让僵尸病毒变得更难以清除。”

总而言之,阻止僵尸网络病毒并不存在简单易行的方法。你所能做的就是采取所有常见的计算机防护操作,保持防火墙开通,还有密切留意网络通信记录,以便发现任何非正常的行为。另外,你还要明白,即使采用了所有以上策略,可能还不足以应对僵尸病毒。最终有一天,当发现为你提供帮助的计算机已成为恶意病毒的俘虏时,修复 Windows 系统可能是唯一的选择。

链 接

五大僵尸网络排行

德瑞克•曼基(Derek Manky)指出,目前危害最大的僵尸网络病毒有以下五个:

1. Pushdo/Cutwail: Pushdo 自身是一个“加载程序”,这种病毒的获利模式是 Pushdo 能够为用户定制安装特定的恶意软件,并根据安装次数收取费用。通常按照每千次安装的价格进行收费,并且根据被安装恶意软件的电脑所处地理位置,最终费用也随之变化。2009年12月,飞塔公司发现,一般情况下,Pushdo 会下载垃圾邮件发送程序 Cutwail 和一个基于 Web 的垃圾邮件发送程序 webmail。Pushdo 利用 Cutwail 来大量发送自身的副本,从而对僵尸网络进行扩张,而且它还可以通过 Cutwail 来出租其提供的垃圾邮件服务。

2. Bredolab:与 Pushdo 非常类似,Bredolab 也是一个非常流行的加载程序。与发送垃圾信息不同,Bredolab 侧重下载“恐吓软件”(Scareware)―一种冒充杀毒软件的程序,还有“勒索软件”(Ransomware)产品。它的主要获利模式是使用这些产品感染大量的系统,然后坐享因受害者购买恐吓软件/勒索软件而来的佣金。

3. Zeus:Zeus 通常作为软件工具出售给罪犯,这意味着它不仅是一个大型的僵尸网络,更是许多单个的僵尸网络病毒。这种病毒非常流行,任何个人都可以利用这一工具部署自己的僵尸网络。在互联网上存在很多 Zeus 病毒,它们提供了不同的指挥控制(Command and Control)服务,因此我们检测到许多 Zeus 变种。通常,Zeus 病毒用于窃取银行证书之类的信息(键盘记录)并将其发送给攻击者。

4. Waledac:Waledac 与 Cutwail 类似,也可以使用下载的定制模板发送垃圾信息,因此,这种病毒可以随时发起垃圾信息攻击。由于 Waledac 是基于模板的,所以可以根据垃圾信息发送服务进行收费。与 Pushdo/Bredolab 不同,这种僵尸病毒运行在端对端的网络上,所以将其删除更为困难。此外,它还会加载恶意软件以及 HTTP 内容,以便通过该病毒的僵尸网络托管恶意网站。

5. Conficker: Conficker 已经存在很长一段时间了,但是它从未真正被激活,并造成显著的危害。不过,这并不表示 Conficker 病毒并不存在威胁,它依然保持着非常活跃的状态,并常常出现在我们每月恶意网站的表单榜首。