七年前的僵尸网络,至今依然存在。似乎一旦感染,就永远无法摆脱。
2008年底,名为飞客(Conficker)的蠕虫病毒开始感染数百万台电脑,计算机安全社区大为震惊,迅速采取行动。
Gameover Zeus僵尸网络感染情况
飞客的快速传播令人十分惊恐,以致专门成立了一个名为“飞客工作小组”的组织来阻止僵尸网络的蔓延以及找出该蠕虫病毒的制造者。
很多国家也成立了自己的小组与互联网服务提供商共同合作清除用户电脑的感染。但,7年过去了,尽管投入了经年努力,全球依然有大约100万台电脑仍受该恶意软件困扰。
荷兰研究者分析了这些清除工作,试图找出其中做对与做错了部分,以便指导将来的僵尸网络对抗工作。他们的研究报告将于本周在华盛顿特区举行的第24届高等计算机系统协会安全研讨会(USENIX Security Symposium)上公布。
荷兰代尔夫特理工大学助理教授哈迪·阿斯哈里说:“现在仍被感染的,就可能永远处于感染中了。”
2008年12月,微软把Windows XP上飞客蠕虫利用的漏洞打上了补丁。该漏洞在文件共享功能开启的状态下可能被利用来远程执行文件。但飞客的蠕虫能力令其生命力超强,即使研究人员已经干掉了僵尸网络的命令控制系统也能继续感染计算机。
阿斯哈里称,单个国家为控制飞客传播所做出的特别努力,比如说芬兰的工作,起到了一定帮助。别的一些发达国家,包括挪威和瑞典,尽管没有飞客修复程序,依然成功将其置于控制之下。
自数年前拿下僵尸网络控制权以来,研究人员一直在监控被飞客感染的计算机。阿斯哈里称他的团队看到超过100万个受感染机器的IP地址回连以请求指令,但很难弄清这些机器的类型以及为什么它们仍然被感染了。
阿斯哈里认为,很有可能很多运行着Windows XP的计算机都是把自动更新功能关闭了的。还有可能其中一些极少更新或者直接抛弃了内嵌的系统。
有时候,互联网服务提供商(ISP)确实很难帮用户清理他们被感染的计算机。阿斯哈里说他曾接触过一家ISP,为了清除飞客蠕虫,那家ISP与同一位顾客联系了36次。
“每次那位顾客都说自己已经清除掉了,但感染继续发生。”
种种迹象表明,需要让客户更加简单方便地修复他们的电脑。计算机安全社区也应该认识到,清除工作很有价值但通常进展缓慢,需要引入跑马拉松的心态。
最好也要记住:如果这些计算机已经感染了飞客,它们同样对其他更新的有可能被用于进一步攻击的威胁也不设防。
阿斯哈里的团队也能接触到2014年6月被司法部门和研究人员捣毁的Gameover Zeus僵尸网络得来的数据。
感染了Gameover Zeus的计算机中有10%也同时感染了飞客蠕虫,表明安全防护糟糕的计算机可容病毒持续肆虐。
即使这种漏洞百出的计算机只占联网计算机中很小的比例,算起来也是以百万计了。
研究报告的共同作者还有迈克尔·希勒和米歇尔·J.G.·冯·伊顿,二者均来自代尔夫特理工大学。