一旦某臺計算機被感染上，它就會等候為非作歹的僵尸網(wǎng)絡(luò)操縱者(bot herder)下達(dá)的命令，這些人把這些僵尸計算機變成了龐大的僵尸網(wǎng)絡(luò)，然后在互聯(lián)網(wǎng)上制造大量的垃圾郵件及其他惡意軟件。

　　你恐怕無法完全阻擋僵尸網(wǎng)絡(luò)的入侵，但是借助多層的僵尸網(wǎng)絡(luò)追捕技術(shù)，并且結(jié)合一些常識，你還是可以盡量減小網(wǎng)絡(luò)受到的影響。

　　每個人都可能中僵尸網(wǎng)絡(luò)的招

　　你在與僵尸網(wǎng)絡(luò)作斗爭之前，一定要明白這個問題的嚴(yán)重性。加利福尼亞州圣何塞PayPal公司的首席信息安全官(CISO)Michael Barrett說：“但大家一直否認(rèn)這個問題(僵尸網(wǎng)絡(luò))的嚴(yán)重性?！?/P>

　　其實，《Network World》雜志在最近對394名負(fù)責(zé)網(wǎng)絡(luò)安全的讀者開展的一項調(diào)查顯示，居然多達(dá)43.7%的調(diào)查對象表示受到威脅的客戶機不是一個嚴(yán)重的問題。另有30.2%的調(diào)查對象表示他們沒見過什么證據(jù)可以表明網(wǎng)絡(luò)上的任何計算機受到了感染。

　　Rick Wesson是舊金山負(fù)責(zé)跟蹤僵尸網(wǎng)絡(luò)爆發(fā)情況的Support Intelligence公司的首席執(zhí)行官，他表示，就因為近四分之三的調(diào)查對象沒有處于高度戒備狀態(tài)，并不意味著就沒有威脅。在任何特定的一天，他公司的蜜罐(honeypot)都會捕獲到來自僵尸客戶機的各種各樣的危險及欺詐性的垃圾郵件。

　　他說：“現(xiàn)在的情況是，這些僵尸網(wǎng)絡(luò)操縱者相當(dāng)狡猾;而操作系統(tǒng)非常容易受到攻擊，結(jié)果每個人都中了僵尸網(wǎng)絡(luò)的招。大多數(shù)公司運行相當(dāng)嚴(yán)密的網(wǎng)絡(luò)，但由此認(rèn)為僵尸網(wǎng)絡(luò)不會在你的系統(tǒng)上運行，那也未免過于幼稚。我們有大量數(shù)據(jù)表明，《財富》1000強公司當(dāng)中相當(dāng)一部分中了僵尸網(wǎng)絡(luò)的招?！?/P>

　　要是《財富》1000強公司都阻止不了僵尸網(wǎng)絡(luò)，小規(guī)模公司和消費者個人就更別指望什么了。弗吉尼亞州阿靈頓的安全服務(wù)提供商Cyveillance公司的安全主管Ken Lloyd表示，小公司沒有太多的資源來執(zhí)行安全更新或者監(jiān)控自己的網(wǎng)絡(luò)和機器，從而查找異常流量模式。Lloyd說，消費者面臨的風(fēng)險最大，因為他們的安全機制往往最薄弱。

　　入侵檢測軟件生產(chǎn)商Sourcefire公司的首席技術(shù)官Martin Roesch說：“大企業(yè)同樣存在這個問題，這一點毫無疑問?！睕]有經(jīng)過合理設(shè)置以便防御惡意軟件攻擊的移動機器給企業(yè)帶來的危害最大。他說：“這時候就會出現(xiàn)問題人們在進(jìn)行即時通訊時遭遇垃圾郵件，或者是木馬及病毒;要不就是在收件箱中出現(xiàn)這些東西;還有就是使用存在漏洞的IE和Firefox瀏覽器來瀏覽不該瀏覽的網(wǎng)站。”

　　實際上，Gartner公司預(yù)測：到年末，多達(dá)75%的企業(yè)會遭到僵尸網(wǎng)絡(luò)的感染。

　　網(wǎng)絡(luò)入侵趨向犯罪化

　　讓人不安的是，在過去的一年里，僵尸網(wǎng)絡(luò)操縱行為在向以盈利為目的的有組織性的犯罪活動轉(zhuǎn)變。年輕人發(fā)動分布式拒絕服務(wù)攻擊、從而炫耀自己的時代已一去不復(fù)返了。舉例說，去年夏天發(fā)生在倫敦的一次重大逮捕就牽涉三名男子，年齡分別為63歲、28歲和19歲。這些人更有組織性、更加專業(yè)，對從事偷偷摸摸的勾當(dāng)也更有興趣。

　　Lloyd說：“這起案子涉及的工作量之大簡直成了一條龍渠道。有人負(fù)責(zé)制造，有人負(fù)責(zé)兜售，有人負(fù)責(zé)使用。一個人不可能完成從制造到使用的這整個活動。而腳本小子是不可能得手的。從事這些非法活動的人基本上形成了有組織的犯罪團(tuán)伙?！?/P>

　　具體來說，僵尸網(wǎng)絡(luò)操縱者正在策劃回報豐厚的騙局，比如垃圾郵件、通過記錄擊鍵內(nèi)容(捕獲擊鍵內(nèi)容從而盜取用戶姓名和密碼)來盜取身份、點擊欺詐(自動點擊廣告商按點擊付費的橫幅廣告)以及盜版軟件(分發(fā)盜版軟件)。

　　研究人士表示，作案規(guī)模和涉及金額可能相當(dāng)大。咨詢公司ClickForensics聲稱，舉例說，點擊欺詐占了所有點擊數(shù)的大約14%，以及多達(dá)20%的高價廣告。研究公司IncreMentalAdvantage表示，估計去年廣告商因此蒙受的損失達(dá)到了6.66億美元。商業(yè)軟件聯(lián)盟聲稱，全球四分之一的軟件是盜版軟件，這使軟件開發(fā)商損失了數(shù)十億美元的收入。

　　黑市服務(wù)器(有人在上面購買、銷售及簽約訂購僵尸網(wǎng)絡(luò))正在蓬勃發(fā)展起來。

　　賽門鐵克安全響應(yīng)中心的新興技術(shù)主管Oliver Friedrichs說：“僵尸網(wǎng)絡(luò)是地下經(jīng)濟的一個重要組成部分。它出現(xiàn)了新的變化，我們發(fā)現(xiàn)它在過去的六個月左右時間內(nèi)呈爆炸式發(fā)展?！狈缸锓肿舆€在這些服務(wù)器上兜售從僵尸機器偷來的信息，比如信用卡號碼。
   

    痛擊僵尸網(wǎng)絡(luò)

　　因為僵尸網(wǎng)絡(luò)操縱者顯然把大量資源花在了管理及運行各自的僵尸網(wǎng)絡(luò)上，于是他們對于增加自己管理的網(wǎng)絡(luò)數(shù)量的興趣有所減弱。賽門鐵克聲稱，在2006年下半年，指揮控制型服務(wù)器的數(shù)量減少了25%。該公司聲稱，這表明僵尸網(wǎng)絡(luò)操縱者正在鞏固及壯大每個網(wǎng)絡(luò)。

　　各種新新的攻擊手法使得安全研究人士猜測：僵尸網(wǎng)絡(luò)操縱者正在爭奪地盤、相互攻擊對方。有些惡意軟件的目的可能是摧毀競爭對手的僵尸網(wǎng)絡(luò);同時，大肆破壞普通網(wǎng)絡(luò)。舉例說，最近一種蠕蟲就是針對訪問過惡意的炒股詐騙網(wǎng)站的機器。網(wǎng)絡(luò)監(jiān)控公司W(wǎng)ebsense聲稱，它會使機器感染上一種病毒，從而導(dǎo)致機器不斷重新啟動，結(jié)果無法用于正常工作(及非法使用)。

　　因為僵尸網(wǎng)絡(luò)操縱者更加感興趣的是讓成千上萬臺受到感染的機器處于秘密狀態(tài)，所以他們會激活某臺機器，發(fā)送大量垃圾郵件，或者施展點擊欺詐把戲，然后迅速關(guān)閉連接。rootkit感染過程對操作系統(tǒng)來說是看不見的。而僵尸網(wǎng)絡(luò)操縱者可以通過HTTP(不一定依靠IRC)來控制機器。這意味著你很難查出網(wǎng)絡(luò)上的僵尸機器。

　　社交網(wǎng)絡(luò)呈現(xiàn)諸多安全隱患

　　不過更令人擔(dān)憂的是，如今的僵尸網(wǎng)絡(luò)操縱者開始采用諸如帶毒博客、跨站腳本攻擊和iFrame攻擊之類的手法，這些不需要用戶采取任何動作(比如點擊電子郵件的附件)就可以使用戶受到感染。如果一臺操作系統(tǒng)或者瀏覽器存在安全漏洞的個人電腦訪問了某個含有惡意代碼的網(wǎng)站或者博客，可能不知不覺就會遭到感染。有時出現(xiàn)在廣告軟件中的惡意JavaScript腳本會自動下載到個人電腦上，然后電腦被引到其他惡意網(wǎng)站來接收惡意腳本的命令，僵尸電腦就這樣形成了。由于基于共享服務(wù)器的成本低廉的主機托管服務(wù)非常流行，黑客只要單單利用某個操作系統(tǒng)的漏洞，就能訪問眾多Web服務(wù)器。

　　帶毒博客和跨站腳本攻擊存在已有好些年了，它們就是在原本合法的網(wǎng)站中植入惡意代碼。不過，僵尸網(wǎng)絡(luò)操縱者找到了新的方法來利用它們。比較臭名昭著的一個例子是，就在全美橄欖球決賽前夕這時候成千上萬的人想設(shè)法買到門票，僵尸網(wǎng)絡(luò)操縱者入侵了決賽場地海豚球場的網(wǎng)站。

　　社交網(wǎng)絡(luò)也有可能成為惡意軟件藏污納垢之地，因為這些網(wǎng)絡(luò)允許用戶上傳及共享文件、數(shù)據(jù)及其他可能有害的代碼。借助iFrame攻擊，看不見的框架就可以用來把沒有被檢測出來的惡意軟件自動下載到眾多網(wǎng)站、博客和社交網(wǎng)絡(luò)上。

　　Chris Boyd是專門保護(hù)IM和VoIP等實時應(yīng)用的網(wǎng)絡(luò)監(jiān)控公司FaceTime Communications的惡意軟件研究主管，他說：“諸多網(wǎng)站和社交網(wǎng)絡(luò)站點上有大量的個人資料和用戶，這簡直是一座信息金礦?！?/P>