Created: 2009-06-09 17:51:32
如果有人想刻意為Conficker製造震撼,我想他們成功了。(事實上,事件吸引了比我預期中還要多的人注意。)
很多人都緊張地關注每個Conficker的相關消息。在過去幾個星期,我很多時都都會被問到這樣或那樣的問題是否因為那蠕蟲轉引起... 。
有人估計,最近一些對俄羅斯網站進行的分佈式拒絕服務攻擊(DDoS),Conficker是加強它的幫兇。大多數的消息似乎都來自俄羅斯網日報網站Webplanet.ru,當中更提及到對tonks.ru、roem.ru等網站攻擊。
但我們沒有任何證據證明這些攻擊和Conficker有關。當中至少有一個攻擊我肯定不是因為Conficker(襲擊tonks.ru的,是另一個殭屍網絡)。俄羅斯似乎有很多感染了Conficker的電腦,但這並不代表它們會被用於襲擊俄羅斯的網站。事實上,最近的一些惡意程式(包括最早版本的Conficker )避免了使用某些國家的電腦(如W32/Conficker.A不會使用烏克蘭的電腦),這可能與避免法律追究問題有關。
雖然在感染數目上有些爭議,但Conficker在不同地方感染了大量的電腦,已經不是什麼秘密。所以如果Conficker殭屍網絡的控制者決定對某網站發動DDoS攻擊,其效果將非常顯著,但攻擊前提當然是,他們需要先調動足夠的電腦。但如果我們就此認為大型殭屍網絡是發動DDoS的必須條件,這將會是一嚴重的錯誤假設。事實上,DDoS更適合使用小型群組電腦進行攻擊,這可以讓其他人更難在短時間內去追查攻擊源頭,或採取任何形式的補救行動。
但很多人仍認為Conficker殭屍網絡本身將被用於大規模互聯網攻擊。我認為這是不可能的,因為這種方式的攻擊不能為攻擊者帶來更佳的利潤。
這是否代表我們無須擔心?當然不是。我們仍然看到很多不同的Conficker版本(包括一些稍有不同的樣本,我們仍然使受啟發式技術偵測)。我們會仔細觀察。但正如Randy指出,除了Conficker,其實還有許多其他威脅須要我們特別留意。
感謝Pierre-Marc, Jose Nazario和gor Muttik在研究這個問題時提供的幫助。
David Harley BA CISSP FBCS CITP
Director of Malware Research