BL LOVER 請自備防腐劑!

愚人節黑客可能發動史上最強網絡攻擊
讓法國戰機停飛的蠕蟲作者疑為中國黑客  遭微軟25萬美金懸賞緝拿

在默默感染全世界超過1500萬台電腦之後，被微軟研究人員戲稱為“蠕蟲模範”的Conficker蠕蟲病毒即將露出其猙獰的面目。3月25日，國內最大的網絡安全廠商360安全中心發布預警稱，Conficker蠕蟲病毒的作者很可能在4月1日起發動一場史無前例的全球性網絡攻擊，屆時包括百度、開心網、迪斯尼、IBM等在內的上百家全球大型網站極有可能面臨服務器癱瘓、用戶無法訪問的巨大風險。幾乎同一時間，兩大國際知名安全機構冠群金辰、趨勢科技也緊急針對該病毒發布了愚人節預警信息。

神秘Conficker布下“愚人節迷局” 曾讓法國戰機停飛

360安全專家石曉虹博士表示，根據360安全中心截獲的Conficker蠕蟲病毒及其變種的樣本分析，該病毒作者極有可能從4月1日起，控制其所感染的上千萬台“僵屍”電腦，自動向全球上百家大型網站發送網絡數據，攻擊形式極可能是針對網絡服務器的DDOS主流攻擊，攻擊目標主要是全球排名靠前的大型互聯網站和企業站點，百度、騰訊搜搜、開心網、校內網等4家等國內人氣極高的網站也赫然在列。

“Conficker.C蠕蟲正在它所感染的電腦中進行休眠的死循環，一旦系統時間到2009年4月1日之後，它就會清醒過來，在一系列浮點運算後向上百家預先指定的網站發送數據包，以Conficker.C在全球多達上千萬台電腦的感染量來判斷，它們所組成的僵屍網絡在互聯網世界中威力不亞於核武器，任何一家網站的服務器在這樣高強度的攻擊壓力下都會迅速癱瘓，而這些攻擊目標很可能是Conficker作者在Alexa流量排名中選取的高排名站點。”360安全中心的工程師分析稱。

據了解，Conficker蠕蟲在去年11月首次現身在互聯網中，它利用Windows操作系統MS08-067漏洞將自己植入未打補丁的電腦，並以局域網、U盤等多種方式傳播。一位法國士兵便是在家使用U盤中了Conficker，隨後法國海軍內網被大面積感染，軍方如臨大敵，不僅切斷所有Web與電郵系統，部分戰機的起飛計劃也被突然叫停。隨後，英國、德國的軍事系統也爆出大面積感染Conficker蠕蟲的消息，其傳播能力與影響力可見一斑。

詭異的是，在瘋狂感染全球電腦之余，Conficker蠕蟲的行為卻出奇地“安分守己”。從表面上來看，“它一不為名——不倒計時60秒、不擁堵網絡、不彈窗、不穿透還原、不讓眾人皆知；二不圖利——只是隱藏起來而不竊網銀網游，甚至連攻擊失敗導致用戶電腦系統崩潰或登錄失敗的案例也很少見。”微軟中國公司資深安全研究人員“大牛蛙”（網名）在其個人博客中如此寫道，“堪稱是全球蠕蟲的‘模範’。”

難道在韜光養晦4個多月後，Conficker作者的最終目標僅僅為了在愚人節發起一次大規模網絡攻擊？對此，360安全中心工程師稱，“業內目前對Conficker的猜測眾說紛紜，以它龐大感染量所蘊含的能量，獲取巨額財富簡直易如反掌，甚至可以讓全球民用互聯網絡癱瘓。2002年曾有黑客用百萬級的蠕蟲攻擊位於美國的DNS根服務器，就使谷歌、微軟、IBM等網站癱瘓。但已控制了上千萬台電腦的Conficker蠕蟲目前只是傳播自己，幕後黑手遲遲沒有動作，讓人猜不透黑客的葫蘆裡究竟賣的什麼藥？目前我們只能逆向分析獲取的樣本，Conficker.C變種從4月1日開始發動攻擊的意圖非常明確，但也不能排除這是其作者跟全球網絡安全研究人員開的一次超級愚人節玩笑。”

盡管已經發掘到Conficker蠕蟲的部分特征，但360安全中心的工程師同時也承認，目前還很難定位到該作者，“Conficker作者如果沒有進一步動作，那將很難追蹤到他的真實身份，而一旦他啟動攻擊，後果絕對不堪設想。”360安全工程師稱，“當年不法分子僅購買了500只‘肉雞’電腦，就能讓國內一家大型互聯網站的UT服務器癱瘓500多分鐘，Conficker蠕蟲中光是C變種的感染量就在上千萬台的規模。”

Conficker蠕蟲作者疑為中國黑客  遭微軟25萬美金懸賞緝拿

Conficker制造的數字時代全球性恐慌因愚人節的日益臨近而逐漸加劇。令人吃驚的是，飽受木馬病毒侵害的國內網民卻少有受Conficker感染的報告。來自360安全中心的數據稱，目前確認曾感染Conficker及其變種的國內用戶電腦僅有數萬的量級，與各互聯網發達國家的疫情相比可以說是微不足道，而Conficker的作者恰恰很可能卻是中國黑客！

360安全中心的工程師表示：“Conficker蠕蟲相繼出現過A、B、C多個變種，根據我們采集的樣本分析，Conficker的反彙編代碼出現了大量國產木馬病毒的特征，部分功能模塊更是使用了僅限於國內技術人員中流傳的經典代碼，因此它的作者極有可能是國內黑客。”

“Conficker主打MS08-067漏洞，這個漏洞的詳細分析最早被發布在國內技術論壇，攻擊代碼也是由國內的掃蕩波蠕蟲最先實踐。”網路論壇中，技術高手們同樣將Conficker作者視為隨時會在身邊出沒的神秘人物。據了解，出現在2004年的“震蕩波”蠕蟲作者在遭到微軟25萬美金懸賞通緝後，最終證明是一名德國黑客。這一次，曾制造無數木馬病毒的國內黑客們很可能因重金懸賞而站在風口浪尖。而微軟公司為揪出Conficker作者，再次開出了與緝拿“震蕩波”蠕蟲作者相同標准的25萬美元高額懸賞金。

Conficker如真為國內黑客制作，為何它在國內反而幾乎毫無斬獲，是手下留情還是另有隱情，微軟中國安全研究人員“大牛蛙”在其個人博客中如此分析：“360等用戶群廣泛的國產安全軟件，通過各種醒目的方式宣傳和提醒，並提供了適合用戶需求的系統更新方式，很大程度上幫助了Windows使用者及時安裝了補丁（表示感謝）；此外中國ISP比國外少得多，並且在骨干路由和重要節點上設置過對TCP:139/445的訪問策略，中國互聯網已不再是Conficker類蠕蟲的溫床。”

據分析，一些黑客論壇中流行的“木馬出口論”也為Conficker作者是國內黑客提供了有力佐證。“黑域城堡BBS”中一名網友透露道：“國內網民中安全軟件越來越普及，大家都意識到打補丁的重要性，‘肉雞’比以前已經難抓多了。現在在國內做木馬賺錢越來越難，很多人寫了木馬卻賣不動，只好苦練英語轉做出口生意。”他甚至戲言“真想抓黑客，到英語培訓班一抓一個准兒”。

據了解，微軟IE XML 0day (MS08-078) 漏洞最早被發現，繼而被出售、被利用、被公開都是在國內互聯網上，最後反而是美國被掛的惡意站點遠遠超過了中國。巧合的是，另一款流行軟件Adobe Acrobat Read在今年出現0day漏洞時，率先在國外伺機傳播的Ghost木馬變種正是國內“肉雞”控制的常用工具，很可能也是出自國內木馬作者的手筆，由此推斷，Conficker作者是國內黑客絕非天方夜譚，正如某國內黑客的廣告所言——“好病毒，中國造”。

360安全專家石曉虹博士鄭重建議，對於Conficker可能發起的攻擊必須國內互聯網企業應有所防範：“Conficker蠕蟲在國內大多數用360打了補丁的網民電腦來說，其實並不會有太大的威脅。但那些可能成為Conficker攻擊目標的大型網站，建議一定要在4月1日前進行一次服務器端壓力測試，以防萬一。此外，企事業機構的局域網更是Conficker容易傳播的場所，往往一台電腦‘中招’就會導致整個局域網出現大面積感染，企業員工除了用360盡快為電腦修復漏洞補丁外，建議用戶在使用U盤前應盡量開啟360等具有U盤防火牆功能的安全軟件。” 

------------------------------------

據我的探聽 有不少駭客也躍躍欲試 面對Conficker .C  的緝拿...