警惕僵尸网络威胁

僵尸网络（Botnet）迅速增长，对互联网安全威胁日益严重。这些被控制的Windows计算机沦为垃圾邮件发送的工具，它们的数目还在增长。本文中介 绍了这种日益严重的威胁，并且描述了它对于互联网安全的影响。

2005年无论对于Windows安全性还是整个互联网安全来说，都是寻常的一年，2006年看起来也不会更好。尽管这一年对于互联网安全企业来说是一个赢利 的好年份，但是对于企业和普通电脑用户来说，却充满了病毒和蠕虫爆发引发的困扰，而且还要面对不断增长的恶意软件侵袭。

2005年被一声巨响打破了平静，对Windows机器的零天攻击（zero-day Windows exploit）出现在节日期间，引发了购买安全系统的狂潮。这个严重的安全问 题是由于操作系统为Windows Meta File图片着色的方式引起的，它让所有的人感到惊异，一共感染了100万台计算机。

事实上，一些反病毒和安全厂商，包括SANS Institute的Internet Storm Center和F-Secure都推荐安装俄罗斯软件开发人员Ilfak Guilfanov所编写的一个补丁程序 （尽管这个程序并不是官方的版本），而不是等待微软发布正式的补丁。这对于安全厂商来说是极不寻常的行动，以前从未出现过。

然而，这还仅仅是凸显了这种安全问题的严重性。零天攻击是非常严重的安全问题，它们应该立刻引起大家的重视。最终，微软终于比预期提前了几天 发布了针对WMF的安全补丁，但是很多用户已经安装了那个非官方的补丁。

当然，今天我们回顾这一事件，零天攻击并不让人吃惊。恶意软件编写者们喜爱节日，还有什么时间比节日更适合传播蠕虫和病毒呢？

很多受到感染的Windows机器都是第一次连接到互联网的崭新机器。TechRepublic的绝大部分成员都知道，预安装的Windows操作系统存在很多安全隐患 ，无法应对多种攻击，这些电脑连接到互联网上之后，一个人能够从远端在几分钟之内控制它。但是，绝大部分的电脑用户并不了解这一情况。

根据恶意软件类型的不同，新近被感染的电脑所经受的不仅仅是弹出广告这样简单的困扰。很多新的病毒和蠕虫都会引导机器连接到IRC，接受指令，成 为众多被感染的Windows系统一员。

这些被感染的计算机被称为僵尸网络，僵尸网络正在成为互联网上越来越严重的一种安全威胁。它们成为互联网勒索或者垃圾邮件传播的工具，其数目 一直都在增长。

事实上，法律组织很长时间以来就已经意识到这种威胁的严重性，并且采取了积极的行动来关闭僵尸网络。例如，由美国联邦商务委员会（Federal Trade Commission，FTC）发起了Operation Spam Zombies行动，该行动的目标就是阻止那些被感染的、被用于传播垃圾邮件的Windows电脑。

但是，我对于这一建议从一开始就持批评态度，因为它针对的不是僵尸系统的真正风险，恶意的黑客可以利用远程控制实施犯罪行为。事实上，垃圾邮 件发送在我的互联网安全威胁列表中被排在最后，但是通过IRC控制被感染的电脑却最被关注。

僵尸网络对于任何形式的互联网破坏行为都是有用的，无论对于个人还是有组织的计算机犯罪团伙都是如此。Jeanson James Ancheta操纵着一个大型的 僵尸网络，将其用于勒索并安装垃圾邮件转发软件。他最近的犯罪辩护是说这个高度组织化的僵尸网络，只有一位“地下僵尸控制者”，而一群熟悉僵尸攻 击的黑客经常会租用他们的僵尸系统来从事违法活动。

当然，传播垃圾邮件无疑是非常讨厌的，但是它只是僵尸网络受到单一源头控制的一个副产品。法律行动应该继续关注如何关闭僵尸网络，我们不能停 止努力，应该首先去寻找阻止被感染的Windows系统的方法。

但是不幸的是，这个问题的解决很困难。我收集这些被感染的Windows系统的统计数据，直到CipherTrust（CipherTrust的ZombieMeter跟踪全世界僵尸电脑 的通信情况）完全超过了我。

无论统计数据如何，很清楚的是互联网安全几乎完全依赖于微软Windows的安全性，无论它是否是你所选择的操作系统。这一情况让很多用户怀疑存在某 一反病毒阴谋；他们认为如果Windows真的安全了，围绕着互联网安全的“微软经济”也将土崩瓦解。

尽管我不倾向于同意这一观点，受感染的Windows系统确实成为互联网的最大安全威胁。组织并控制僵尸网络，已经成为互联网上大规模破坏行动的最重 要的武器。这也就是为什么诸如Operation Spam Zombies和其他的一些法律行动应该把垃圾邮件传播排在其他僵尸网络造成的、更严重的安全威胁之后的 原因。