|
2月,西班牙熊猫安全公司(Panda Security)配合FBI和西班牙国民防卫部门破获了一起特大僵尸网络案件,该僵尸网络名为:Mariposa(蝴蝶),在190个国家传播,超过1400万用户受到感染,31901个城市的网络受到不同程度的影响。中国有196个城市的21270个用户受到感染。什么是僵尸网络?它究竟有什么危害?近日,记者就此采访了西班牙熊猫安全公司的专家。 问:什么是僵尸网络Botnet? 答:是指被僵尸病毒感染的计算机网络或者计算机组,可由外部控制者操纵。僵尸网络的控制者可以向其发送指令,包括升级病毒、下载最新的变种、显示广告信息、发送垃圾邮件或者发起拒绝服务攻击等。 问:蝴蝶(Mariposa)僵尸网络是什么时候被发现的? 答:最早是在2009年5月由加拿大的安全公司Defence Intelligence发现的。
问:它和最近出现的Kneber僵尸网络有关吗?或者Zeus木马? 答:事实上两者没有任何关系,除了都是僵尸网络以外。Kneber是一个基于Zeus木马的小型僵尸网络。现在基于该木马的僵尸网络规模全球仅仅只有数百台计算机而已。另外,第一个Zeus木马出现时间是2007年底,而Mariposa出现时间还不到一年。 问:为什么蝴蝶僵尸网络与众不同? 答:它是有史以来报道过的最大的僵尸网络之一,熊猫安全对其日志文件和木马特征研究做了分析,并且研究了该网络的IP地址,我们意识到被其感染的计算机数量超过一千三百万台。 问:谁是僵尸网络的受害者?(企业、家庭用户…)?它们是从哪里来的? 答:由于它感染的计算机数量极为庞大,因此几乎各种类型的用户都是其受害者。有非常多的企业都受到了感染,包括美国1000家最大企业中的一半企业。 蝴蝶僵尸网络所感染的一千三百万用户涉及超过190个国家的个人、企业、政府和大学。被窃取的数据包括银行账户、信用卡信息、用户名、密码等。
问:这种僵尸网络会带来什么经济损失? 答:尽管执法机关还在就所获得的材料和失窃数据进行调查,但从初步的结果来看,因网络欺诈、财务失窃、数据丢失和还原所导致的损失已经高达数百万美元。 问:那些罪犯控制蝴蝶僵尸网络的目的是什么? 答:大多数情况下,僵尸网络的动机纯粹是为了获利。他们通过以下途径达到获利的目的:将僵尸网络的一部分出租,安装控制软件,窃取用户信用卡信息,发起分布式拒绝服务攻击DDoS等等。在对抓获的犯罪嫌疑人的计算机硬盘分析的结果显示,其上游供应商很复杂,并提供了多种服务:攻击服务器并在上面运行僵尸网络控制台;对木马服务进行加密以使其躲过防病毒软件的检测;连接到匿名虚拟专用网VPN来运行僵尸网络等等。同时,他们竟然也有复杂的客户网络,愿意为僵尸网络付费,来窃取信用卡信息或安装浏览器工具栏。 问:计算机被感染后,会有什么事情发生? 答:被感染的计算机会成为蝴蝶僵尸网络的一部分,而用户却全然不知。从被感染开始,此计算机就变成僵尸网络的触手,而其控制者可以发送各种指令给她:安装新的恶意软件、发起拒绝服务攻击等等。同时,僵尸计算机也有蠕虫的特征,可以在P2P网络、即时通讯程序、USB设备(如MP3)、手机等上面传播。
问:目前采取什么方法来对付蝴蝶僵尸网络? 答:专门对付该网络的“蝴蝶工作组”目前已经成立。这个工作组由Defence Intelligence、佐治亚州技术学院和熊猫安全公司,以及一些安全专家和各个国家的执法机构组成,大家群策群力试图根除这个僵尸网络,并将罪犯绳之以法。 问:如何判断你自己的计算机是否是这个僵尸网络的一部分? 答:熊猫安全公司首先采取的一个步骤是联系其他所有的防病毒厂商,将蝴蝶僵尸客户端的程序样本发给它们,以便于这些厂商的产品也能够检测出这些僵尸程序。因此,在所有防病毒产品升级了病毒库后,就能够检测到你的计算机中是否有僵尸程序了。 问:如何判断你的系统是否已经受到了蝴蝶僵尸网络的危害或丢失了信息? 答:Defence Intelligence目前正在联系被感染的企业和组织,如果希望了解您的企业是否被感染,可以通过邮件来联系Defence Intelligence公司,邮箱如下:compromise@defintel.com 转自http://www.dnbsc.com/Article/2010/04/14/1271222405-H12DQZNBVI.html | 
发表于 2010-4-18 01:42:59
