神秘病毒要干什么？

陳　俊

在這1000多萬個被Conficker感染的IP地址所屬國家和地區排名中，排在前四位的居然是中國、巴西、俄羅斯以及印度——恰好是未來最有發展潛力的“金磚四國”。

特殊的日子總會有特別的故事，互聯網世界最富懸念的驚爆大戲，也許會在2009年4月1日這一天拉開大幕。

故事的主角是一個名為“Conficker”、大小只有數百K字節的電腦蠕蟲病毒。可別小看了它——通過感染全球1500萬臺以上的電腦“僵尸網絡”，它所能駕馭的能量已經堪稱網絡世界的“核武”。問題的關鍵在于，它的主人、正被微軟以25萬美元懸賞的幕后黑客，究竟會否在4月1日這一天將其引爆，掀起災難性的網絡攻擊？還是僅僅只是為了跟全球互聯網開上一個超級愚人節玩笑？謎底正在揭開。

初露猙獰

很多人聽說Conficker蠕蟲病毒，是在法國海軍戰機停飛的事故之后——今年1月，一名法國士兵在家中使用U盤感染了Conficker，蠕蟲被帶回海軍內網后大面積擴散，軍方電腦數據庫也未能幸免，以至于“颶風”戰斗機飛行員無法下載飛行計劃。除法國海軍內網外，英國、德國等國部分軍事系統相繼爆出Conficker入侵的消息，英國議會電腦網絡近日也宣告淪陷。

“這是一種利用局域網和可插入USB端口的任何設備快速傳播的電腦蠕蟲，黑客可以使用Conficker蠕蟲攻擊竊取個人和財務數據。”CNN在今年１月的新聞報道同時指出：“現階段來說，該蠕蟲病毒帶來的傷害還不算非常嚴重，因為到目前為止，它并沒有試圖竊取個人或信用卡資料。”

這些正是最令研究人員困惑的問題，Conficker到底想要什么？長期以來，蠕蟲、木馬、后門程序、流氓插件等等惡意程序一直被人們視為“洪水猛獸”，因為他們要么是偷竊用戶電腦隱私和數據的“賊”，要么是拖垮受害者電腦系統的“無賴”，或者就是瘋狂騷擾用戶的“流氓”。然而，Conficker出世半年來，一直都只是通過電腦系統漏洞默默地傳播自己——一方面屏蔽微軟的安全更新和安全廠商網站，讓中招用戶無法清除；另一方面還幫助電腦系統阻止其他木馬病毒入侵，仿佛在扮演一種“俠盜”的角色，從不傷害“手無寸鐵”的無辜網民，甚至被微軟中國安全研究人員“大牛蛙”稱為“模范蠕蟲”。

是“梁山好漢”還是“王莽謙恭未篡時”？直到Conficker的第三個變種Conficker.C，它才突然露出了猙獰的獠牙。

3月19日，國際知名安全廠商冠群金辰公司率先宣布，從4月1日，也就是西方愚人節這一天起，Conficker.C蠕蟲病毒將向全球網絡發起大規模攻擊。趨勢科技（Trend Micro）則向用戶緊急發布預警郵件，宣稱WORM_DOWNAD.KK（趨勢科技對Conficker.C變種的命名）將在愚人節當天自我修改程序，以進行下一波的網絡攻擊。幾乎同一時間，國內最大的網絡安全廠商360安全中心也發布預警稱，通過分析，安全專家發現Conficker.C正在它所感染的電腦中進行休眠的死循環，一旦系統時間到2009年4月1日之后，它就會清醒過來，在一系列浮點運算后向上百家預先指定的網站發送數據包，雅虎美國、迪斯尼、Facebook、Youtube等國際知名網站都成為其攻擊目標，百度、騰訊搜搜、開心網、天涯等國內網站也赫然在列。

“這將是一場被精密計劃和組織的大型網絡攻擊，它所設計的協同作戰模式無異于一場正規的軍事行動。”從國際安全研究組織MTC（Malware Threat Center）對于Conficker的研究報告中可以看到，“Conficker.C具備了HTTP時間查詢功能，就像警匪片中的戰前‘對表一樣，一切攻擊行為都在被其作者精確控制。”

新“恐怖主義”

正如一場好戲中會不斷上演矛盾沖突一般，另一些安全機構則對于Conficker的爆發持懷疑態度。安全公司Sophos的研究人員表示，大規模的網絡攻擊并不會如期出現，Conficker蠕蟲的作者要造成重大的網絡故障是沒有意義的，因為一旦互聯網通訊被破壞，他們也就賺不到任何錢。

賽門鐵克安全響應中心研究人員的態度則搖擺不定，他們證實了Conficker.C中威脅代碼的存在，但并不確信4月1日會發生什么。“這或許又是千年蟲未能實踐可怕預言的重演。”研究人員猜測道。

另一項傳聞則更令人欣慰，一個由安全研究人員、技術公司、加入ICANN的域名注冊公司組成的國際聯盟披露，他們已經采取了前所未有的措施切斷了Conficker與操控它的服務器之間的聯系，中國互聯網絡信息中心便是該聯盟成員，有消息稱“中國和美國合作挫敗了一次全球范圍的嚴重的惡意攻擊”。然而，無論是中國互聯網信息中心，還是ICANN抑或是微軟，都并未對傳言發表評論。

“唯一可以確定的是，Conficker蠕蟲黑客具有非常高深的互聯網編程技術、先進的密碼技能、定制雙層編碼封裝和編碼模糊技術，以及Windows與安全產品的深度知識。”360安全專家石曉虹博士分析說：“Conficker緊跟時代潮流幾乎應用了當前最前沿的黑客技術。比如，當前最先進的加密算法是MD6算法，而就在該算法公布不久，Conficker的B變種中就使用了該算法。一開始MD6算法本身還存在缺陷,導致黑客無法藉此控制整個Conficker僵尸網絡,但這個聰明的作者顯然也很清楚這個缺陷,在其C變種版里很快就更新到了最新的算法。”

另據MTC發布的最新數據，Conficker感染電腦所占據的IP地址在全球共計10512451個，其中包括1022062個局域網IP，也就是說，Conficker幕后黑手控制的“僵尸”電腦保守估計也在1500萬臺以上。

2002年，黑客僅控制百萬級的僵尸網絡發動DDOS攻擊，就把位于美國的DNS根服務器徹底攻癱，從而導致谷歌、微軟、IBM等全球大網站癱瘓多時。這意味著，如果Conficker背后的黑客樂意，他可以利用這上千萬臺電腦做任何事——無論是攻癱互聯網上的任何服務器，還是讓垃圾郵件制造者發送數十億個垃圾郵件信息。

這個判斷似乎可以解釋，為何微軟公司今年2月決定懸賞25萬美元來追蹤Conflicker的幕后作者——這個懸賞金額與上次微軟全球懸賞“震蕩波”蠕蟲作者的標準相同。當時“震蕩波”導致了全球數百萬電腦的感染，造成了5億到10億美元的估算損失。

更為巧合的是，在這1000多萬個被Conficker感染的IP地址所屬國家和地區排名中，排在前四位的居然是中國、巴西、俄羅斯以及印度——恰好是未來最有發展潛力的“金磚四國”。這個巧合給Conficker蒙上了一層更為神秘的色彩。

Conficker.C變種出現后， MTC的研究人員指出：最好的情況可能是，Conficker蠕蟲被用作大量互聯網詐騙和偷竊的長期獲利平臺；而最糟糕也最讓人不寒而栗的情況是，Conficker蠕蟲可能成為信息聯合侵襲的強大武裝工具，不僅能使各個國家限于一片混亂，而且能使整個互聯網中斷。

網絡世界中惡勢力林立，有大范圍破壞電腦系統或是攻擊網絡服務器的“技術狂人”，他們圖的是名；有偷網銀偷網游偷個人資料的盜賊，他們圖的是利。Conficker幕后的控制者（更可能是黑客組織）絕對是卓爾不群的，從未有任何一種惡意程序像Conficker一樣，還沒造成多少危害，就已經制造了數字時代的全球性恐慌。■