就在上千万台的规模。”
Conficker蠕虫作者疑为中国黑客 遭微软25万美金悬赏缉拿
Conficker制造的数字时代全球性恐慌因愚人节的日益临近而逐渐加剧。令人吃惊的是,饱受木马病毒侵害的国内网民却少有受Conficker感染的报告。据相关数据称,目前确认曾感染Conficker及其变种的国内用户电脑仅有数万的量级,与各互联网发达国家的疫情相比可以说是微不足道,而Conficker的作者恰恰很可能却是中国黑客!
安全工程师表示:“Conficker蠕虫相继出现过A、B、C多个变种,根据我们采集的样本分析,Conficker的反汇编代码出现了大量国产木马病毒的特征,部分功能模块更是使用了仅限于国内技术人员中流传的经典代码,因此它的作者极有可能是国内黑客。”
“Conficker主打MS08-067漏洞,这个漏洞的详细分析最早被发布在国内技术论坛,攻击代码也是由国内的扫荡波蠕虫最先实践。”网路论坛中,技术高手们同样将Conficker作者视为随时会在身边出没的神秘人物。据了解,出现在2004年的“震荡波”蠕虫作者在遭到微软25万美金悬赏通缉后,最终证明是一名德国黑客。这一次,曾制造无数木马病毒的国内黑客们很可能因重金悬赏而站在风口浪尖。而微软公司为揪出Conficker作者,再次开出了与缉拿“震荡波”蠕虫作者相同标准的25万美元高额悬赏金。
Conficker如真为国内黑客制作,为何它在国内反而几乎毫无斩获,是手下留情还是另有隐情,微软中国安全研究人员“大牛蛙”在其个人博客中如此分析:“用户群广泛的国产安全软件,通过各种醒目的方式宣传和提醒,并提供了适合用户需求的系统更新方式,很大程度上帮助了Windows使用者及时安装了补丁(表示感谢);此外中国ISP比国外少得多,并且在骨干路由和重要节点上设置过对TCP:139/445的访问策略,中国互联网已不再是Conficker类蠕虫的温床。”
据分析,一些黑客论坛中流行的“木马出口论”也为Conficker作者是国内黑客提供了有力佐证。“黑域城堡BBS”中一名网友透露道:“国内网民中安全软件越来越普及,大家都意识到打补丁的重要性,‘肉鸡’比以前已经难抓多了。现在在国内做木马赚钱越来越难,很多人写了木马却卖不动,只好苦练英语转做出口生意。”他甚至戏言“真想抓黑客,到英语培训班一抓一个准儿”。
据了解,微软IE XML 0day (MS08-078) 漏洞最早被发现,继而被出售、被利用、被公开都是在国内互联网上,最后反而是美国被挂的恶意站点远远超过了中国。巧合的是,另一款流行软件Adobe Acrobat Read在今年出现0day漏洞时,率先在国外伺机传播的Ghost木马变种正是国内“肉鸡”控制的常用工具,很可能也是出自国内木马作者的手笔,由此推断,Conficker作者是国内黑客绝非天方夜谭,正如某国内黑客的广告所言——“好病毒,中国造”。
安全专家石晓虹博士郑重建议,对于Conficker可能发起的攻击必须国内互联网企业应有所防范:“Conficker蠕虫在国内大多数打了补丁的网民电脑来说,其实并不会有太大的威胁。但那些可能成为Conficker攻击目标的大型网站,建议一定要在4月1日前进行一次服务器端压力测试,以防万一。此外,企事业机构的局域网更是Conficker容易传播的场所,往往一台电脑‘中招’就会导致整个局域网出现大面积感染,企业员工除了尽快为电脑修复漏洞补丁外,建议用户在使用U盘前应尽量开启具有U盘防火墙功能的安全软件。”
附:微软中国资深安全研究人员“大牛蛙”的博文链接:http://blogs.technet.com/secure/archive/2009/01/10/How-WGA-Impacted-Security-In-China.aspx 9 7 3 1 2 4 8 :