一些僵尸网络灭亡了,另外一些却死灰复燃,继续批量制造垃圾邮件。
计世网20日消息 近日,一名安全研究人士表示,虽然去年加州一家主机托管服务公司已被关闭,彻底根除了几个知名的僵尸网络,但另有几个僵尸网络又“前仆后继”,制造危害。
亚特兰大SecureWorks公司的研究主任Joe Stewart表示,从人们视野中消失的僵尸网络是Srizbi和Storm,他把这两种僵尸网络分别列在去年僵尸网络调查的第1位和第5位。
Stewart是当初竭力抨击McColo的研究人士之一。两个月前,由于研究人士指责长期托管僵尸网络服务器的McColo公司藏匿网络犯罪活动,该公司最终被上游提供商从互联网断开,Srizbi和危害较小的Rustock也随之销声匿迹。
McColo与互联网的连接被断开后,由于垃圾邮件发送者无法使用Srizbi或Rustock僵尸网络来发送垃圾邮件,垃圾邮件数量立即直线下降。
但平静的日子没过多久。Stewart认为,“僵尸网络的数量曾经一度在减少,我们夺回了一些阵地。”而现在,其他僵尸网络又冒了出来。其中一些僵尸网络在McColo被关闭之前就赫赫有名,只是规模相对较小; 而另一些在这之前则默默无闻。
现在的结果是,“垃圾邮件的数量不如McColo被关闭前来得多,但很可能也在80%到90%这个范围。”他列举的数字与其他公司的估计相一致。比方说,赛门铁克公司估计,1月份的垃圾邮件数量是McColo被关闭前的80%。
Stewart表示,僵尸网络卷土重来的原因有几个,最主要的因素还是有利可图。他最近重新制作了近4个月的调查表,得出了新的僵尸网络排名。
Cutwail在Stewart经过修订的排行榜上占据榜首。Stewart说: “这个僵尸网络声称被其控制的PC估计有17.5万台,以前还只有12.5万台。McColo被关闭后,Cutwail制造的垃圾邮件实际上增加了,可能是获得了其他僵尸网络的一些客户。”
Stewart估计僵尸网络规模的办法就是,先通过每个僵尸网络实施的简单邮件传输协议(SMTP)来获取其“指纹”,然后,再从每个僵尸网络提取一天的垃圾邮件流量作为样本,推断出被每个僵尸网络感染的PC总数。
虽然Rustock也受到了McColo被关闭事件的影响,但它死灰复燃了,而Srizbi没有。Rustock目前排名第2位,它控制着约13万台计算机,比去年一个月最高峰时所控制的15万台有所减少。
除了Cutwail和Rustock外,Stewart的僵尸网络排行榜上多出了两个新面孔。就在不久前,Donbot和Xarvester在垃圾邮件发送生态系统中都还是小角色。Steweart说: “我们注意到有些僵尸网络的流量出现了大幅增长。”他认为这两个是今年需要重点监控的僵尸网络。
他说,Donbot曾经只向俄罗斯的收件人发送垃圾邮件,如今“它向全天下的收件人发送垃圾邮件”。Stewart估计被Donbot控制的PC有12.5万台,排在Cutwail和Rustock之后,名列第3位。他说: “这个僵尸网络在2008年还不为人们所注意,但现在一下子壮大起来。”
另一个榜上有名的是Xarvester,这个僵尸网络控制了大约6万台机器,显然也是在垃圾邮件发送者因McColo事件而改换电信服务提供商后获得垃圾邮件客户的。
Stewart表示,一度臭名昭著的Storm可能死灰复燃了,只是名字不一样。
他认为,名为Waledec的僵尸网络与现已灭亡的Storm有太多的相似之处,这绝非巧合。Stewart说: “就算不是同一伙人所为,他们也肯定全面研究过了Storm,才会有相似的功能。两者太相似了,不太可能是另一伙人所为。”
Waledec的规模相对较小,到目前为止只控制了1万台计算机,不过很可能会壮大起来。Stewart强调,这个重新编写的恶意软件采用的加密技术比Storm强大得多。这样一来,调查人员几乎不可能探究这个恶意软件的内幕。
一些僵尸网络消亡了,另一些又层出不穷,所以消除它们是一项艰苦而又没有尽头的任务。Stewart承认,有时候这让人泄气。他说: “要真正重创那些发送众多恶意软件和垃圾邮件的人,我们还有很长的一段路。”
问题的一方面在于,不法分子只需要一个大范围存在的安全漏洞,他们就可以利用这个漏洞,让僵尸网络迅速壮大起来。
Stewart以微软的两个“零日”漏洞为例,微软分别在去年10月和12月为Windows和IE浏览器打上了相应的补丁。实际上,使用Downadup蠕虫的攻击者一直在大肆利用Windows的这个安全漏洞,在过去几周被这个蠕虫感染的PC估计多达900万台,但目前还没有证据表明这个蠕虫在组建僵尸网络。
Stewart说: “我们必须不断给予打击。”他说,研究人士惟一能做的就是对不法分子施加高压。“僵尸网络发起者下一次可能没有另一个容易得手的漏洞了,我们也许能打败他们。”
