I'n Blog 之萬象真藏

什麼是殭屍網絡？

    殭屍網絡是指採用一種或多種傳播手段，將大量主機感染bot程序（殭屍程序），從而在控制者和被感染主機之間所形成的一個可一對多控制的網絡。在 Botnet的概念中有這樣幾個關鍵詞。「bot程序」是robot的縮寫，是指實現惡意控制功能的程序代碼；「殭屍計算機」就是被植入bot的計算機； 「控制服務器（Control Server）」是指控制和通信的中心服務器。 

    殭屍網絡首先是一個可控制的網絡，這個網絡並不是指物理意義上具有拓撲結構的網絡，它具有一定的分佈性，隨著bot程序的不斷傳播而不斷有新位置的殭屍計 算機添加到這個網絡中來。其次，這個網絡是採用了一定的惡意傳播手段形成的，例如主動漏洞攻擊，郵件病毒等各種病毒與蠕蟲的傳播手段，都可以用來進行 Botnet的傳播，從這個意義上講，惡意程序bot也是一種病毒或蠕蟲。最後一點，也是殭屍網絡的最主要的特點，就是可以一對多地執行相同的惡意行為， 比如可以同時對某目標網站進行分佈式拒絕服務（DDos）攻擊，同時發送大量的垃圾郵件等，而正是這種一對多的控制關係，使得攻擊者能夠以極低的代價高效 地控制大量的資源為其服務，這也是Botnet攻擊模式近年來受到黑客青睞的根本原因。在執行惡意行為的時候，Botnet充當了一個攻擊平台的角色，這 也就使得Botnet不同於簡單的病毒和蠕蟲，也與通常意義的木馬有所不同。

黑客如何利用補丁郵件？ 

    目前，有黑客利用偽造的微軟補丁郵件構建殭屍網絡，因此請廣大的網民確認收到的有關於微軟補丁的郵件，並弄清楚您到底下載了什麼到自己的計算機中。互聯網 風暴中心（Internet Storm Center）指出，黑客正在基於微軟的安全更新偽造惡意電子郵件，這種偽造的郵件不能給用戶提供任何有用的安全補丁，而實際上在郵件提供的鏈接或者附件 中包含了惡意代碼，那些沒有警惕性的用戶在點擊了這些鏈接後即下載了惡意程序到自己的主機中。 

    實際上，對微軟的安全補丁稍微留意的用戶就會知道，微軟是從來不會通過電子郵件的形式來通告用戶安裝安全更新補丁的，微軟都是以安全公告的形式在其安全中 心主頁上（http://www.microsoft.com/china/technet/security/default.mspx）發佈安全信息 的。通過這種偽造的郵件中，以安全補丁下載到的應用程序，實際上是一個後門木馬，即在上面提到的bot程序。受這種木馬影響的機器，將會被黑客遠程的控 制，受影響的機器至此就加入了殭屍網絡。偽造郵件的黑客非常聰明，他們在受害者的姓名或者公司的名字裡加入超級鏈接，鏈接到木馬程序。到目前為止，安全研 究人員已經發現了4種均是指向木馬程序的不同的URL地址。在黑客偽造的郵件中，其中有封信的原文如下： 

    「由於您使用了微軟的軟件而收到這封郵件，我們是通過你提交給『微軟Windows更新』的郵件列表中獲得您的電子郵件地址的。一個0day漏洞（未公佈 的漏洞）已經在網絡上流傳開來，該漏洞將影響那些使用MICROSOFT OUTLOOK的用戶。成功利用該漏洞後，黑客能夠完全控制您的機器。（此處是一個補丁的鏈接地址）」

     當大家收到類似的E-mail時，請提高警惕。處在，網絡安全事件四起的今天，請廣大的網民一定要注意自身的計算機安全。

(責任編輯：封小明)