如果计算机用户在 4 月 1 日关闭电脑,那是可以原谅的。自从去年 11 月首次出现以来,名为 Conficker 蠕虫的恶意软件已成为多年来互联网上最强大的威胁之一,据估计已感染了全球 1000 万台计算机。该恶意软件潜入运行 Windows 操作系统的计算机,并静静地等待愚人节(时间安排并非巧合),届时它计划下载并执行一套新的指令。尽管没有人知道接下来会发生什么,但该蠕虫的复杂性提供了一个鲜明的例子,说明全球恶意软件行业是如何演变成企业效率模型的。与此同时,这也引发了安全研究人员呼吁从他们的黑帽同行那里学到一招。
蠕虫利用无处不在的软件(在本例中为 Microsoft Windows)中的安全漏洞来传播自身的副本。然而,Conficker 是一段非常先进的代码,能够使计算机的防病毒软件失效,并接收更新,从而使其具有更复杂的能力。它突然在网络上的蔓延重新燃起了人们对安全保护中最具争议的想法之一的兴趣:发布“良性”蠕虫。这种软件会像蠕虫一样传播,但有助于保护它感染的机器。这种方法之前已经尝试过一次。2003 年末,Waledac 蠕虫利用与当时广泛传播的 Blaster 蠕虫相同的漏洞侵入了 Windows 机器。然而,与 Blaster(被编程为攻击 Microsoft 网站)不同,Waledac 使用安全补丁更新了受感染的机器。
从表面上看,Waledac 似乎取得了成功。然而,这种蠕虫,像所有蠕虫一样,使网络流量激增并堵塞了互联网。它还在未经用户同意的情况下重启了机器。(对自动安全更新的常见批评——以及许多人决定关闭它们的关键原因——是更新安全补丁需要重启计算机,有时会在不方便的时候。)更重要的是,无论目的多么崇高,蠕虫都是未经授权的入侵。
支持科学新闻
如果您喜欢这篇文章,请考虑通过以下方式支持我们屡获殊荣的新闻报道 订阅。通过购买订阅,您正在帮助确保有关塑造我们当今世界的发现和想法的具有影响力的故事的未来。
在 Waledac 之后,关于良性蠕虫的讨论消失了,至少部分原因是蠕虫本身也消失了。“早在 2000 年代初期,分布式恶意软件还没有强大的商业模式,”非营利性安全研究公司 SRI International 的项目主管 Philip Porras 说。他解释说,黑客“使用 [蠕虫] 来发表声明并获得认可。” 蠕虫会将计算机捆绑成僵尸网络——巨型的僵尸计算机集合——然后可以尝试关闭合法的网站。令人兴奋(如果您喜欢这类事情),但不是很赚钱。
在过去的五年中,恶意软件变得越来越明确地与金融相关。“网络钓鱼者”发送电子邮件,诱骗人们泄露用户名和密码。犯罪分子也开始将难以检测的监视代码上传到合法的商店网站,这些代码会秘密拦截信用卡信息。然后,被盗信息会在互联网的黑市上出售。个人银行网站的用户名和密码可以卖到 10 美元到 1,000 美元不等;信用卡号码更普遍,售价低至 6 美分。据互联网安全公司赛门铁克称,一年内在黑市上出现的商品总价值现在超过 70 亿美元。
此类诈骗背后的管理严密的犯罪组织(通常位于俄罗斯和前苏联共和国)将恶意软件视为一项业务。他们在互联网黑市上购买高级代码,对其进行定制,然后将由此产生的僵尸网络出售或出租给出价最高者。他们通过投资更新(另一种形式的维护)来尽可能延长蠕虫的寿命。这种装配线式的犯罪方法奏效了:在赛门铁克过去 20 年跟踪的所有病毒中,60% 是在过去 12 个月内引入的。
在 4 月 1 日截止日期一周后,很明显,对 Conficker 负责的人有强烈的经济动机。该蠕虫下载了一个众所周知的垃圾邮件生成器。此外,感染蠕虫的计算机也开始每隔几分钟显示一个非常烦人的“Windows 安全警报”弹出窗口。警报声称计算机感染了病毒,这确实没错。然而,这些恐吓软件警告也承诺,清除机器的唯一方法是下载广告宣传的 50 美元程序——仅限信用卡支付,请。
具有讽刺意味的是,例行更新本可以防止蠕虫的传播。事实上,Conficker 出现在 Microsoft 发布“紧急”安全补丁以保护计算机免受其侵害的整整四周之后。显然,数百万台机器没有得到更新。而且数百万台机器可能仍然没有得到适当的免疫——这是一个令人不安的想法,考虑到即使在 4 月份的行动之后,Conficker 仍然在等待进一步的指令。
注意:本文最初以标题“Pulling Up Worms”发布。