大戰僵尸的不僅僅是那些可愛而勇敢的植物們了，微軟也正在和僵尸火拼著。3月18日，拿下Rustock(目前世界上最大的垃圾郵件僵尸網絡)后，微軟長出一口氣，終于打死了一只大僵尸，過了一關。預計，全球垃圾郵件數量將因Rustock的倒下而減少大約四成。

　　3月21日，微軟中國官方博客上出現了一篇洋洋灑灑數千字，題為“微軟聯手多國政府組織打擊Rustock垃圾郵件僵尸網絡”的慶功稿，滿是欣喜地向中國用戶宣告微軟的好消息，最后當然沒忘提醒用戶選擇自家最新產品IE9——微軟同日在中國正式發布IE9。

　　僵尸網絡前仆后繼

　　如果你的郵箱收到諸多垃圾郵件，那恭喜你，這個郵箱正常工作著。僵尸網絡正是垃圾郵件的源頭——根據賽門鐵克公司的安全報告，全球95%的垃圾郵件是由僵尸網絡發出的。

　　僵尸網絡做的惡讓用戶防不勝防。它可以將惡意程序植入計算機中，遠在天邊的控制者只要控制幾臺主機，就能直接向大量計算機發送攻擊指令。它利用受感染電腦能干的壞事不少：發送垃圾郵件、對網站實施拒絕服務攻擊、傳播惡意代碼、造成網絡廣告點擊欺詐等。其中發送垃圾郵件對僵尸網絡而言是最不費力的活。

　　再簡單的事，僵尸網絡也做得足夠智能。它會將創建的垃圾郵件發送給不同的接收者。在被撂倒之前，Rustock感染并控制了全球將近100萬臺個人電腦，每天發送上百億封垃圾郵件。

　　僵尸網絡出現于2002年。不到一年時間，僵尸網絡的商業價值就十分明朗了。在金錢的驅動下，黑客們使出渾身解數，僵尸網絡得以神速發展。美國加州大學圣地亞哥分校和國際計算機科學研究所克里斯·卡尼曲和他的團隊成員做了一項實驗，來估算發送垃圾郵件帶來的收入。實驗結果令人吃驚，垃圾郵件發送者每日的總收入高達7000美元。

　　3月4日，一度擁有“全球垃圾郵件之王”稱號的羅伯特·索洛韋在遭受四年多監禁后重獲自由。他在2003到2007年期間共發送了大約10萬億封垃圾郵件。這期間，他創造的垃圾郵件網絡每天創收2萬美元，他為接收這些報酬開了數百個銀行賬戶。

　　黑客們大把現金入賬，叫苦不迭的就是那些誤中垃圾郵件圈套的用戶們了。僵尸網絡縱然遭到層層圍剿，卻是“野火燒不盡，春風吹又生”。

　　2008年11月，代管多個僵尸網絡服務器的運營商McColo被斷網。McColo幾乎和任何網絡攻擊活動都脫不了干系，它給Srizbi、重新復活的Mega-D、RuStock、Asprox、Bobax、Gheg、Cutwail等僵尸網絡的幕后操控服務器提供主機代管服務。McColo的封鎖使得全球垃圾郵件數量一度銳減70%。然而好景不長，在2009年1月，垃圾郵件數量又回到了原有水平。

　　黑客所掌握技術是難以對僵尸網絡斬草除根的原因。比如，開發Srizbi的人事先考慮到命令和控制服務器可能被移動的情況，并開發了相應的代碼作為應對策略。因此，Srizbi在短短2個月時間里就擺脫了McColo被封鎖的陰影，死而復生。Rustock 則擅長將圖片文件偽裝成合法新聞郵件。對于大多數垃圾郵件過濾軟件來說，圖片垃圾郵件難以檢測。

　　微軟師出有名

　　在封殺McColo的過程中，曝光它的是由網上志愿者組成的互聯網安全聯盟HostExploit，出手的是美國互聯網服務提供商Global Crossing及Hurricane Electric，未見微軟的身影�？裳垡娫絹碓蕉嘟┦�網絡攻擊的突破點是微軟IE瀏覽器后，微軟坐不住了。安全廠商FORTINET甚至直接宣布被發現最多漏洞的應用有：Adobe Shockwave、Adobe Flash、PowerPoint、蘋果 QuickTime和微軟IE瀏覽器。

　　微軟于2010年10月發表了一份安全報告，指出美國有200萬臺電腦成為了僵尸網絡的成員。微軟還警示僵尸網絡已然成為商品在“黑市”上明碼標價出售。而彼時，微軟已經正式投入到打擊僵尸網絡的艱難戰役中，并取得了一個至今仍為人津津樂道的勝利。

　　2010年2月28日，微軟巧妙運用一項民事訴訟程序，創新了打擊在線犯罪的手法。根據當時參與此案的微軟資深律師理查德· 博斯科維克的敘述，美國弗吉尼亞州聯邦法院法官促使審理微軟案的地方法院法官里奧尼·布林克馬批準一項被告因不出庭而敗訴的判決。被Waledac僵尸網絡用作中央控制臺、指揮成千上萬臺中毒電腦的276個域名，被判給了微軟，形同于永久關閉。

　　用假名在中國注冊其中大多數的域名的Waledac幕后經營者接到審判通知，沒有底氣出庭。微軟提起訴訟后不久，就獲法院核準臨時限制令，在未先知會域名注冊者的情況下，暫時關閉Waledac域名。

　　此案中微軟的高明之處在于，它巧妙地運用一種稱為單方面(ex parte)的法律程序，讓法院不需這些域名所有人出庭，也能作裁決。

　　基于關閉Waledac的經驗，微軟這次對付Rustock就輕車熟路了。微軟起訴了Rustock的匿名操控者在垃圾郵件中侵犯微軟商標權。在法律許可范圍內，微軟提取現場證據并盡可能地從互聯網托管服務商獲取被感染服務器用于分析，而后又和荷蘭警方合作，封鎖了主要的海外主機。微軟再與上行帶寬服務者聯絡，將僵尸網絡控制者的IP統統屏蔽，最后與中國國家計算機網絡應急技術處理協調中心合作，屏蔽操作者可能注冊的新域名。

　　在IE9推出的重要關口，Rustock真身灰飛煙滅，微軟的時間表安排得很不錯。微軟如何減少IE9的安全漏洞無從而知，但能把外界攻擊IE9的可能性減少一點是一點，至少微軟能拍胸脯說IE9更安全了。

　　美國政府對僵尸網絡的打擊力度也在加大。2010年12月1日，FBI表示確認一名23歲的俄羅斯男子奧列格·尼古拉連科系世界第三大僵尸網絡Mega D的幕后人物，并以“協助他人違反通信法規”的罪名對他發出了通緝令。12月3日，尼古拉連科就在美國威斯康星州密爾沃基市聯邦法院出庭了。雖未最后判決，但一旦罪名成立，尼古拉延科將獲得最長3年的監禁和最高25萬美元的罰款。

　　戰火仍將蔓延

　　盡管Rustock倒下了，但別忘了代表僵尸網絡未來發展方向的Grum (它采用了內核模式的rootkit ，很難被檢測到。它還狡猾地采用自動執行的注冊項來感染文件，保證惡意代碼可以被有效激活。)和既可基于代理服務器也可基于模板的Maazben仍頑強生存著。

　　僵尸網絡發送的信息對用戶是很有誘惑力的。賽門鐵克發布的1月和2月垃圾郵件及釣魚攻擊現狀報告均顯示，垃圾郵件發送者們總是投接收者之所好，并根據時間和時事調整郵件內容。在元旦過后，垃圾郵件以健身為誘餌。因為1月份，健身中心和運動俱樂部的注冊人數通常會大幅上升，許多人在新年伊始便下定決心要保持身材。而針對中國的用戶，垃圾郵件應著人們喜洋洋購置年貨的景，穿上了宣傳食物禮品籃的外衣。2月14日前，垃圾郵件又打起了“我們約會吧”的幌子。

　　現在人氣最旺的網站是什么?對的，你知道答案是社交網站，僵尸網絡同樣也知道。在覺得攻擊Adobe已經沒有什么挑戰后，僵尸網絡們開始對Facebook、Twitter下手了。一個名叫Koobface的僵尸網絡，它攻擊Facebook用戶以傳播病毒。還有招數是利用 Twitter 作為垃圾郵件惡意 URL 的目標網頁，藉此躲避電子郵件 URL 過濾技術。Twitter、Facebook、Pastebin、Google Groups 和 Google AppEngine都曾被用來當幕后操控基礎架構的代理。

　　僵尸網絡的棲身地也不限于PC了。越來越多消費者使用的智能手機和平板電腦也成了它們的樂園，其手段也由發送垃圾郵件進化為植入惡意軟件。McAfee發布的《2010年第四季度McAfee威脅報告》顯示，針對移動設備的威脅呈持續增長態勢。2010 年新發現的惡意軟件數量高達2000萬個，相當于每天新增近5.5萬個惡意軟件。2010年9月，中國國家計算機病毒應急處理中心檢測到了能控制手機發送任意內容短信的“手機僵尸”病毒。不得不說，在線罪犯們屬于時尚潮流的緊緊跟隨者。

　　給消滅僵尸網絡增加難度的還有迫在眉睫的IPv6應用。靜態的IP地址可以被拉入黑名單，但解決IP不夠用問題的IPv6的部署可以使互聯網服務供應商(ISP)采取簡單的方法分配IPv6地址，而不再給用戶分配靜態的地址。IP黑名單無法包括這些地址。對互聯網服務供應商而言，為用戶分配一個靜態IP地址成本過高，他們會更愿意采用IPv6地址。僵尸網絡操縱者們正在竊喜，IPv6逃不過這一劫。

　　安全衛士們任重而道遠。

編輯：信誠IT保姆http://www.uq7scb3a.cn