僵屍網絡被列為十大電腦病毒之一,微軟今年7月份曾懸賞25萬美元捉拿僵屍網絡操縱者,可見其是多麼的令人深惡痛絕。近日,有相關消息稱,卡巴斯基實驗室聯手微軟、Kyrus Tech,成功殲滅了臭名昭著的Kelihos僵屍網絡,同時還重創了背後支持該僵屍網絡運行的主機服務商,該服務商曾為其提供匿名的域名注冊服務。
據悉,Kelihos是一種點對點(P2P)式的僵屍網絡。它由不同種類的節點層組成:控制中心、路由程序和執行程序。控制中心主要由僵屍網絡幕後集團操控,他們對僵屍機發送指令,監控P2P網絡的動態結構。實施路由程序的受感染設備均為具有公共IP地址的設備,它們操作的僵屍機可發送垃圾郵件、收集郵件地址、從網絡流中發現有用的用戶資料等。
卡巴斯基實驗室最初將Kelihos命名為Hlux,據估計,該僵屍網絡曾利用了4萬台計算機,發送了數以億計的垃圾郵件信息、盜取個人數據、實施DDoS攻擊以及其它的犯罪活動。對此,微軟還采取了相應的法律手段,對與該僵屍網絡幕後基礎架構相關的24名人員提起了民事訴訟,進一步粉碎了該僵屍網絡的指控中心。微軟在訴訟過程中提交的重要證據包括了卡巴斯基實驗室與Kyrus Tech提供的申報資料,為Kelihos僵屍網絡案件的證據收集提供了詳細信息。
自2011年初開始,卡巴斯基實驗室就與微軟合作,展開了對Kelihos僵屍網絡的追蹤,並通過其美國公司與微軟共享了其僵屍網絡實時追蹤系統收集到的信息。卡巴斯基實驗室還注意到,該僵屍網絡出現失控情況,並進一步確認了該僵屍網絡就是此次追蹤的目標。通過反向工程技術,卡巴斯基實驗室的專家們對該僵屍網絡進行了解碼,破譯其通信協議,發現了其P2P架構中的弱點,進而研發出能夠瓦解該網絡的對應工具。此外,該僵屍網絡使用的域名已經在法庭的禁令下被停用,在微軟的協助下,卡巴斯基實驗室成功突破該網絡,在位於僵屍網絡最復雜的內部通信系統中,控制住一台計算機。
就此次僵屍網絡殲滅行動,微軟方面對卡巴斯基實驗室的積極參與表示了感謝,微軟數碼犯罪組高級律師Richard Boscovich說道:“卡巴斯基實驗室在此次行動中起到了重要的作用,經過他們的技術分析,為我們提供了有關Kelihos僵屍網絡的專業信息和深度見解。這些重要的信息包括了對該僵屍網絡的分析和其架構情況,不僅成為法律方面的重要證據,也是瓦解僵屍網絡行動中的重要一環。我們非常感謝卡巴斯基實驗室給予的大力支持,對他們決心致力於打造更安全的互聯網表示欽佩。”
談及控制Kelihos卡巴斯基實驗室還要繼續扮演的角色,卡巴斯基實驗室德國高級惡意軟件分析師Tillmann Werner表示:“卡巴斯基實驗室對該僵屍網絡的突破從9月26日開始,當時一度遇到無法控制的情況。但現在,我們已經成功控制了該網絡中通信系統中的相關設備,進一步的數據挖掘可以發現不同國家或地區遭到感染的嚴重程度。例如,我們已經分析了61,463個受到感染的IP地址,並積極與它們各自的互聯網服務提供商取得聯系,通報網絡擁有者有關感染的情況。”