卡巴斯基联手微软歼灭Kelihos僵尸网络

2015-01-31  来源：网络  字号：大 中 小  我要评论 收藏本文

　　僵尸网络被列为十大电脑病毒之一，微软今年7月份曾悬赏25万美元捉拿僵尸网络操纵者，可见其是多么的令人深恶痛绝。近日，有相关消息称，卡巴斯基实验室联手微软、Kyrus Tech，成功歼灭了臭名昭著的Kelihos僵尸网络，同时还重创了背后支持该僵尸网络运行的主机服务商，该服务商曾为其提供匿名的域名注册服务。

　　据悉，Kelihos是一种点对点(P2P)式的僵尸网络。它由不同种类的节点层组成：控制中心、路由程序和执行程序。控制中心主要由僵尸网络幕后集团操控，他们对僵尸机发送指令，监控P2P网络的动态结构。实施路由程序的受感染设备均为具有公共IP地址的设备，它们操作的僵尸机可发送垃圾邮件、收集邮件地址、从网络流中发现有用的用户资料等。

　　卡巴斯基实验室最初将Kelihos命名为Hlux，据估计，该僵尸网络曾利用了4万台计算机，发送了数以亿计的垃圾邮件信息、盗取个人数据、实施DDoS攻击以及其它的犯罪活动。对此，微软还采取了相应的法律手段，对与该僵尸网络幕后基础架构相关的24名人员提起了民事诉讼，进一步粉碎了该僵尸网络的指控中心。微软在诉讼过程中提交的重要证据包括了卡巴斯基实验室与Kyrus Tech提供的申报资料，为Kelihos僵尸网络案件的证据收集提供了详细信息。

　　自2011年初开始，卡巴斯基实验室就与微软合作，展开了对Kelihos僵尸网络的追踪，并通过其美国公司与微软共享了其僵尸网络实时追踪系统收集到的信息。卡巴斯基实验室还注意到，该僵尸网络出现失控情况，并进一步确认了该僵尸网络就是此次追踪的目标。通过反向工程技术，卡巴斯基实验室的专家们对该僵尸网络进行了解码，破译其通信协议，发现了其P2P架构中的弱点，进而研发出能够瓦解该网络的对应工具。此外，该僵尸网络使用的域名已经在法庭的禁令下被停用，在微软的协助下，卡巴斯基实验室成功突破该网络，在位于僵尸网络最复杂的内部通信系统中，控制住一台计算机。

　　就此次僵尸网络歼灭行动，微软方面对卡巴斯基实验室的积极参与表示了感谢，微软数码犯罪组高级律师Richard Boscovich说道：“卡巴斯基实验室在此次行动中起到了重要的作用，经过他们的技术分析，为我们提供了有关Kelihos僵尸网络的专业信息和深度见解。这些重要的信息包括了对该僵尸网络的分析和其架构情况，不仅成为法律方面的重要证据，也是瓦解僵尸网络行动中的重要一环。我们非常感谢卡巴斯基实验室给予的大力支持，对他们决心致力于打造更安全的互联网表示钦佩。”

　　谈及控制Kelihos卡巴斯基实验室还要继续扮演的角色，卡巴斯基实验室德国高级恶意软件分析师Tillmann Werner表示：“卡巴斯基实验室对该僵尸网络的突破从9月26日开始，当时一度遇到无法控制的情况。但现在，我们已经成功控制了该网络中通信系统中的相关设备，进一步的数据挖掘可以发现不同国家或地区遭到感染的严重程度。例如，我们已经分析了61,463个受到感染的IP地址，并积极与它们各自的互联网服务提供商取得联系，通报网络拥有者有关感染的情况。”