什么是僵尸网络?
僵尸网络是指采用一种或多种传播手段,将大量主机感染bot程序(僵尸程序),从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。在Botnet的概念中有这样几个关键词。“bot程序”是robot的缩写,是指实现恶意控制功能的程序代码;“僵尸计算机”就是被植入bot的计算机;“控制服务器(Control Server)”是指控制和通信的中心服务器。
僵尸网络首先是一个可控制的网络,这个网络并不是指物理意义上具有拓扑结构的网络,它具有一定的分布性,随着bot程序的不断传播而不断有新位置的僵尸计算机添加到这个网络中来。其次,这个网络是采用了一定的恶意传播手段形成的,例如主动漏洞攻击,邮件病毒等各种病毒与蠕虫的传播手段,都可以用来进行Botnet的传播,从这个意义上讲,恶意程序bot也是一种病毒或蠕虫。最后一点,也是僵尸网络的最主要的特点,就是可以一对多地执行相同的恶意行为,比如可以同时对某目标网站进行分布式拒绝服务(DDos)攻击,同时发送大量的垃圾邮件等,而正是这种一对多的控制关系,使得攻击者能够以极低的代价高效地控制大量的资源为其服务,这也是Botnet攻击模式近年来受到黑客青睐的根本原因。在执行恶意行为的时候,Botnet充当了一个攻击平台的角色,这也就使得Botnet不同于简单的病毒和蠕虫,也与通常意义的木马有所不同。
黑客如何利用补丁邮件?
目前,有黑客利用伪造的微软补丁邮件构建僵尸网络,因此请广大的网民确认收到的有关于微软补丁的邮件,并弄清楚您到底下载了什么到自己的计算机中。互联网风暴中心(Internet Storm Center)指出,黑客正在基于微软的安全更新伪造恶意电子邮件,这种伪造的邮件不能给用户提供任何有用的安全补丁,而实际上在邮件提供的链接或者附件中包含了恶意代码,那些没有警惕性的用户在点击了这些链接后即下载了恶意程序到自己的主机中。
实际上,对微软的安全补丁稍微留意的用户就会知道,微软是从来不会通过电子邮件的形式来通告用户安装安全更新补丁的,微软都是以安全公告的形式在其安全中心主页上(http://www.microsoft.com/china/technet/security/default.mspx)发布安全信息的。通过这种伪造的邮件中,以安全补丁下载到的应用程序,实际上是一个后门木马,即在上面提到的bot程序。受这种木马影响的机器,将会被黑客远程的控制,受影响的机器至此就加入了僵尸网络。伪造邮件的黑客非常聪明,他们在受害者的姓名或者公司的名字里加入超级链接,链接到木马程序。到目前为止,安全研究人员已经发现了4种均是指向木马程序的不同的URL地址。在黑客伪造的邮件中,其中有封信的原文如下:
“由于您使用了微软的软件而收到这封邮件,我们是通过你提交给‘微软Windows更新’的邮件列表中获得您的电子邮件地址的。一个0day漏洞(未公布的漏洞)已经在网络上流传开来,该漏洞将影响那些使用MICROSOFT OUTLOOK的用户。成功利用该漏洞后,黑客能够完全控制您的机器。(此处是一个补丁的链接地址)”
当大家收到类似的E-mail时,请提高警惕。处在,网络安全事件四起的今天,请广大的网民一定要注意自身的计算机安全。