之前有大型电脑蠕虫爆发,但没有什么比Conficker.。
微软宣布了250,000美元的Conticker Worm Bounty
首次在11月发现,蠕虫很快就感染了更多的电脑,而不是近年来任何蠕虫。通过一些估计,它现在安装了超过1000万台。但自从它的第一次出现以来,它奇怪地安静了。Conficker感染了个人电脑并在网络上传播,但它不做任何其他事情。它可用于发射大规模的网络攻击,几乎可以在互联网上跨越任何服务器,或者它可能被租用到垃圾邮件发送者中,以便在数十亿条垃圾邮件上抽出数十亿。相反,它坐在那里,一个巨大的破坏发动机等待某人转动钥匙。
直到最近,许多安全研究人员根本不知道Conficker网络正在等待。然而,周四,一个国际联盟透露,他们已经采取了前所未有的步骤,以防止蠕虫与可以控制它的命令和控制服务器分开。本集团由安全研究人员,科技公司,域名注册商组成加入了力量使用Internet Corporation分配的名称和数字(ICANN),它监督互联网的域名系统。
研究人员已经采取了Apart Conficker的代码,并发现它使用棘手的新技术来打电话为新的指示。每天,蠕虫都会生成约250个随机域名的新列表,例如Aklkanpbq.info。然后,它检查那些域进行新指令,验证他们的加密签名,以确保他们是由Conficker的作者创建的。
当Conficker的代码首次被破解时,安全专家攫取了一些随机生成的域,创建了所谓的“天坑服务器”,从被破解的机器接收数据,并观察蠕虫是如何工作的。但随着感染变得越来越普遍,他们开始注册所有的域名——每周接近2000个——在罪犯有机会告诉受感染的电脑该做什么之前,这些域名就退出了流通。如果坏人试图注册这些命令和控制域,他们会发现他们已经被一个自称“Conficker阴谋集团”的虚构组织占领了。它的地址吗?华盛顿州雷德蒙德微软大道1号
这是一个新的研究人员的猫和鼠标游戏,但它已经在过去几个月里测试了几次。例如,在11月,另一组使用该技术来控制世界上最大的僵尸网络网络之一使用的域,称为Srizbi,从其命令和控制服务器中切断。
然而,有成千上万的域,这种策略可能会耗时和昂贵。因此,通过Conficker,该组织已经使用新技术识别并锁定了名称,称为域预注册和锁定。
通过划分识别和锁定Conficker的域名的工作,该集团仅将蠕虫保留,而不是将悲伤的打击归咎于Cyber Catchdog组的Cydowserver Foundation的联合创始人Andre Dimino表示。“这真的是这个水平的第一个主要努力,有可能做出重大差异,”他说。“我们想认为我们对瘫痪有一些影响。”
这是ICANN的未知领域,该集团负责管理互联网的地址系统。在过去,ICANN被批评,因为利用其权力来撤销已被犯罪分子被广泛使用的域名注册商撤销认可。但这一次,它得到了放松规则的赞美,使得难以锁定域名并汇集集团的参与者。
“在这个具体情况下,他们润滑了轮子,使事情能够快速移动,”Opendns的创始人David Ulevitch说。“我认为应该为此表示赞赏。......这是ICANN真正做的事情的首次态度之一。”
网络安全咨询公司Support Intelligence的首席执行官里克·韦森(Rick Wesson)表示,如此多元化的组织能够共同合作,这是非常了不起的。“中国和美国合作打击全球范围内的恶意活动……这是严重的。这从来没有发生过。”
ICANN没有回复寻求评论对这个故事的评论,并且许多参与者在包括微软,VeriSign和中国互联网网络信息中心(CNNIC)中拒绝接受本文的采访。
私下,一些参与者表示,他们不想提请注意他们的个人努力,以打击可能是一个有组织的网络犯罪集团。其他人说,因为努力是如此之界,讨论策略仍然为时过早。
不管整个故事是什么,风险显然很高。Conficker已经在政府和军事网络中被发现,在公司网络中尤其严重。只要有一个失误,Conficker的创建者就可以重新编程他们的网络,给计算机一个必须破解的新算法,让它们有机会利用这些计算机来做邪恶的事情。“我们必须做到100%准确,”韦森说。“这是一场每天都在进行的战斗。”
(新加坡的Sumner Lemon致力于本报告。)