如果計算機使用者在 4 月 1 日關閉電腦,那是可以原諒的。自從去年 11 月首次出現以來,名為 Conficker 蠕蟲的惡意軟體已成為多年來網際網路上最強大的威脅之一,據估計已感染了全球 1000 萬臺計算機。該惡意軟體潛入執行 Windows 作業系統的計算機,並靜靜地等待愚人節(時間安排並非巧合),屆時它計劃下載並執行一套新的指令。儘管沒有人知道接下來會發生什麼,但該蠕蟲的複雜性提供了一個鮮明的例子,說明全球惡意軟體行業是如何演變成企業效率模型的。與此同時,這也引發了安全研究人員呼籲從他們的黑帽同行那裡學到一招。
蠕蟲利用無處不在的軟體(在本例中為 Microsoft Windows)中的安全漏洞來傳播自身的副本。然而,Conficker 是一段非常先進的程式碼,能夠使計算機的防病毒軟體失效,並接收更新,從而使其具有更復雜的能力。它突然在網路上的蔓延重新燃起了人們對安全保護中最具爭議的想法之一的興趣:釋出“良性”蠕蟲。這種軟體會像蠕蟲一樣傳播,但有助於保護它感染的機器。這種方法之前已經嘗試過一次。2003 年末,Waledac 蠕蟲利用與當時廣泛傳播的 Blaster 蠕蟲相同的漏洞侵入了 Windows 機器。然而,與 Blaster(被程式設計為攻擊 Microsoft 網站)不同,Waledac 使用安全補丁更新了受感染的機器。
從表面上看,Waledac 似乎取得了成功。然而,這種蠕蟲,像所有蠕蟲一樣,使網路流量激增並堵塞了網際網路。它還在未經使用者同意的情況下重啟了機器。(對自動安全更新的常見批評——以及許多人決定關閉它們的關鍵原因——是更新安全補丁需要重啟計算機,有時會在不方便的時候。)更重要的是,無論目的多麼崇高,蠕蟲都是未經授權的入侵。
支援科學新聞
如果您喜歡這篇文章,請考慮透過以下方式支援我們屢獲殊榮的新聞報道 訂閱。透過購買訂閱,您正在幫助確保有關塑造我們當今世界的發現和想法的具有影響力的故事的未來。
在 Waledac 之後,關於良性蠕蟲的討論消失了,至少部分原因是蠕蟲本身也消失了。“早在 2000 年代初期,分散式惡意軟體還沒有強大的商業模式,”非營利性安全研究公司 SRI International 的專案主管 Philip Porras 說。他解釋說,駭客“使用 [蠕蟲] 來發表宣告並獲得認可。” 蠕蟲會將計算機捆綁成殭屍網路——巨型的殭屍計算機集合——然後可以嘗試關閉合法的網站。令人興奮(如果您喜歡這類事情),但不是很賺錢。
在過去的五年中,惡意軟體變得越來越明確地與金融相關。“網路釣魚者”傳送電子郵件,誘騙人們洩露使用者名稱和密碼。犯罪分子也開始將難以檢測的監視程式碼上傳到合法的商店網站,這些程式碼會秘密攔截信用卡資訊。然後,被盜資訊會在網際網路的黑市上出售。個人銀行網站的使用者名稱和密碼可以賣到 10 美元到 1,000 美元不等;信用卡號碼更普遍,售價低至 6 美分。據網際網路安全公司賽門鐵克稱,一年內在黑市上出現的商品總價值現在超過 70 億美元。
此類詐騙背後的管理嚴密的犯罪組織(通常位於俄羅斯和前蘇聯共和國)將惡意軟體視為一項業務。他們在網際網路黑市上購買高階程式碼,對其進行定製,然後將由此產生的殭屍網路出售或出租給出價最高者。他們透過投資更新(另一種形式的維護)來儘可能延長蠕蟲的壽命。這種裝配線式的犯罪方法奏效了:在賽門鐵克過去 20 年跟蹤的所有病毒中,60% 是在過去 12 個月內引入的。
在 4 月 1 日截止日期一週後,很明顯,對 Conficker 負責的人有強烈的經濟動機。該蠕蟲下載了一個眾所周知的垃圾郵件生成器。此外,感染蠕蟲的計算機也開始每隔幾分鐘顯示一個非常煩人的“Windows 安全警報”彈出視窗。警報聲稱計算機感染了病毒,這確實沒錯。然而,這些恐嚇軟體警告也承諾,清除機器的唯一方法是下載廣告宣傳的 50 美元程式——僅限信用卡支付,請。
具有諷刺意味的是,例行更新本可以防止蠕蟲的傳播。事實上,Conficker 出現在 Microsoft 釋出“緊急”安全補丁以保護計算機免受其侵害的整整四周之後。顯然,數百萬臺機器沒有得到更新。而且數百萬臺機器可能仍然沒有得到適當的免疫——這是一個令人不安的想法,考慮到即使在 4 月份的行動之後,Conficker 仍然在等待進一步的指令。
注意:本文最初以標題“Pulling Up Worms”釋出。