互联网上病毒制作者的激烈竞争

  现在你的书房或者卧室里有可能正在进行着一场战争。虽然没有枪炮，没有流血，没有硝烟，但那确实是战争。这战争的目的是争夺你的带宽和PC处理器资源。

　　上周，我们说过，那些进行高额敲诈的黑客们劫持了大约1.5亿的联网计算机，并利用这些计算机进行犯罪。他们都是些有着像Rustock和Warezov这样令人毛骨悚然的名字的黑客团伙。这些人控制着被感染的计算机—所谓的僵尸—用这些计算机散发垃圾邮件或者攻击网站，以便谋取暴利。

　　他们还用这些僵尸网络互相攻击

　　数年来，黑客们开发了各种目的不同的恶意程序，人们称为木马和病毒，它们一般通过电子邮件附件或者通过被感染的网页侵入用户的计算机。一旦进入了受害计算机，该程序就将计算机变成了黑客们—现在称为僵尸牧人—所控制的僵尸大军中的一员了，黑客们可以用受害计算机发送数十亿的垃圾信息或者用他们产生大量无用的流量从而使站点崩溃。然而，最近，由于受害计算机的数量大幅地增长，安全专家称这是个互联网攻击大流行的时期。

　　现在操控僵尸网络可赚取相当那个丰厚的利润，因此被劫持的计算机就成了非常有价值的资源。于是，不同的黑客组织之间现在开始互相竞争被感染的计算机了。这种数码战争是非实体的，但是它确实是真正的战争。僵尸牧人们互相窃取感染的计算机，保护自己的资源不被抢走，并经常试图使对方的计算机离线。“这些战争残酷而激烈，黑客们是为了赚钱而战的……他们本来就都很冷酷无情，只要能挣钱，他们并不在乎伤害了谁，”语出——Arbor Networks安全研究员Jose Nazario。

　　这场战争逐渐升级，僵尸牧人们现在必须十分小心地守护着他们所劫持的计算机。去年10月份，一个还没有命名的俄罗斯团伙发布了叫做SpamThru的程序，该程序能感染世界上任何地方的计算机，并且能够迅速积聚成拥有数十万感染计算机的僵尸网络，这种网络能够每天发出10亿垃圾信息。

　　为了保护自己控制的资源，该恶意程序包含了一段剽窃自卡巴斯基杀毒软件的程序，黑客们用这段程序阻止除自己之外的其他黑客的攻击。SpamThru能够往所有被感染的计算机上安装这段防毒程序，杀掉所有其他病毒。它甚至还会给作者发送感染率报告！而剽窃来的防毒程序会继续保护SpamThru的僵尸网络不受当前的其他恶意程序的攻击。

　　现在的僵尸牧人都会用各种办法让他的僵尸们能够抵御其他竞争者的攻击，因此要想抢夺资源的话，袭击这种特设的防毒软件是非常必要的。一月份，有人发布了Storm蠕虫—它可能是目前最危险的病毒—该蠕虫就有双重功能。除了散发垃圾邮件外，被Storm感染了的计算机还会攻击那些被它的竞争对手俄罗斯Warezov团伙控制的网站，还有那些带有例如esunhuitionkdefunhsadwa.com等隐晦意义的名字的站点。把这些站点攻击掉线，那么它的竞争对手的垃圾网络也会部分瘫痪。因为这些站点是作为Warezov所劫持的计算机的通信中枢而存在的；一旦它们被攻击了，僵尸网络就不知道该攻击哪里了。

　　这种Storm蠕虫很显然是用来挤垮竞争对手的。“他们正在攻击其他的僵尸网络，”SecureWorks公司的杰出的防毒软件研究员Joe Stewart说。由于这种攻击是根植于Storm病毒中的，它不需要任何人工干预。Stewart说，“它会自动发起大规模的战争……”

　　他们是第一的

　　为什么他们要进行这种战争呢？那是因为跟其他产业一样，这些僵尸控制者也需要推销他们的服务。同样，每个僵尸牧人也希望自己被承认是最强的。“这些家伙在这点上跟生意人一样，考虑的都是如何使利润最大化。他们采取这样的行动一点也不奇怪，”Stewart说。“我们认为他们会继续互相竞争，企图超过对手。他们都想成为拥有最大的僵尸网络的那个唯一的胜利者。”

　　这绝对是事关大笔金钱的事情。Jose Nazario说，单单一个针对赌博站点的拒绝服务攻击就价值50000美金/天。典型的拒绝服务攻击中，僵尸牧人会让数以千计的计算机都攻击一个站点，产生巨大流量，使其表现不可及的状态。合法用户无法访问站点，只会收到网络忙的反馈。这样黑客就可以向网站所有者索要付款，以便摆脱这些捏造的巨大流量。对赌博站点来说，这种服务中止会造成大量的金钱损失，他们的站点的利润可都是按分钟来计算的；于是，一般在无计可施的情况下，很多公司都会支付这笔勒索金的。有三个俄罗斯僵尸牧人最近因勒索英国的数个赌博运营商判刑八年。芬兰的F-Secure.com公司的研究人员Mikko Hypponen说，“这些团伙在被捕前赚了数百万美元。”

 
线上有这么多的钱，僵尸牧人们不可能不互相窃取资源的。Nazario说，“如果新感染10万计算机需要1周的时间，而从另一个僵尸网络窃取同样数量的计算机只需要1小时，那么你会选择哪种方法呢？”答案是很明显的。

　　修复Bug的速度“比商业软件还快”

　　僵尸网络的作者们能利用各种方法互相窃取资源。最常见的方法是：攻击原始僵尸软件的漏洞。这恰恰是病毒开发者攻击Windows和其他商业软件的方法。举一个典型的例子，2004年大规模爆发的MyDoom病毒，它就是在感染的所有计算机上开启后门程序，以便让作者安装更新。但是，它的竞争对手很快发现了那个后门程序，他们随后利用被称为“DoomJuice”的病毒接管了所有MyDoom感染的计算机。

　　当一台被劫持过的计算机再次被劫持的时候，第二次劫持的程序会迅速使前一个程序停用并关闭。Nazario说，事实上，所有的软件，包括黑客软件，都有漏洞，因此黑客们会定期互相刺探对方工具的弱点。同时，僵尸病毒的作者会在发现漏洞后迅速反应，以免给自己造成损失。Nazario说“其中一些Bug的更新速度比商业软件的Bug更新速度还要快。”

　　这些贪婪的僵尸牧者还经常在网上闲逛，寻找被感染但处于休眠状态的计算机，他们称这个过程为“大清洗”。这些攻击的目的不都是为了让你的什么功能停用，Shadowserver基金会的研究人员AndreM.DiMino说。有时，他们之间的战争只是为了证明实力。

　　“他们想要证明他们的僵尸网络比其他的更强，”DiMinoat说。今年早些时候，对核心计算机而不是网络上的所有计算机所进行的大规模攻击正是为了证明这点。上个月，互联网名称与编号分配组织，也就是运行那些计算机的公司，提供了一份最新报告，报告指出该攻击的发动者是一个想要通过证明自己网络的规模以及威力之大来推销自己的僵尸牧人。

　　最近涌现的僵尸战争并不是黑客团伙们的首次战争。2004年，Bagle，Netsky以及前面提到过的MyDoom的开发者们在攻击计算机的时候就已经明争暗斗了。并且很多病毒还攻击了Spamhaus.org，这是一个致力于阻止垃圾邮件的网站。

　　但是那些战争都是大张旗鼓地进行的，最后搞得人尽皆知。而今天的僵尸战争目标更加明确—它们专注于竞争，影响范围也更加集中，更具有自动性。随着垃圾邮件和拒绝服务攻击的利润一路飙升，此类战争也与利益更加紧密相关了。但是这些攻击仍然有一个重要的共同点。此类战争中没有刀枪剑戟之类，或者甚至是拳头之类的武器。唯一的战斗武器就是计算机。