研究人員希望在卸下Pushdo僵尸網(wǎng)絡(luò)(全球五大僵尸網(wǎng)站之一)的部件后，對僵尸網(wǎng)絡(luò)有個更好的了解。

Thorsten Holz， 德國Ruhr大學(xué)的計(jì)算機(jī)科學(xué)助理教授稱他的團(tuán)隊(duì)正致力于一項(xiàng)學(xué)術(shù)論文，該論文旨在研究發(fā)現(xiàn)在電腦上發(fā)送特定垃圾郵件的惡意垃圾軟件的方法。

他們了解過許多主要的僵尸網(wǎng)絡(luò)，包括Mega-D，Rustock以及Pushdo和Cutwail，后兩種惡意軟件有時候很像是同一種個僵尸網(wǎng)絡(luò)的組成部分。

[[15341]]

Holz稱他們發(fā)現(xiàn)Pushdo具備一種特殊性能，超過一半的命令和控制服務(wù)器都集中在一個托管公司。僵尸網(wǎng)絡(luò)使用命令和控制服務(wù)器向被感染的PC的發(fā)布指令，如更新垃圾郵件模板以及目標(biāo)郵箱的地址以便發(fā)送垃圾郵件。

Pushdo的30服務(wù)器中有15個與托管供應(yīng)商連在一起，托管供應(yīng)商現(xiàn)在斷開了這些服務(wù)器冰與Holz及其團(tuán)隊(duì)共享這些數(shù)據(jù)。他們的分析在不斷改善中，但是他們還有78G文本郵件地址沒有覆蓋到，大約40%的被感染電腦都在印度。這一結(jié)果令Holz頗為吃驚。

其他服務(wù)器中的數(shù)據(jù)應(yīng)該更能清晰地顯示出Pushdo的工作原理。Holz說：“我們會分析所有日志數(shù)據(jù)，因?yàn)槲艺J(rèn)為我們可以對當(dāng)今的垃圾郵件操作提供一個綜述?！?/P>

在擁有Pushdo命令和控制服務(wù)器的八個托管供應(yīng)商中，有六個已經(jīng)關(guān)閉了Pushdo。但是還有兩個兩個中國供應(yīng)商沒有響應(yīng)郵件請求來關(guān)閉Pushdo，甚至是沒有承認(rèn)自己有收到相關(guān)投訴。雖然垃圾郵件的量已經(jīng)下跌，但是運(yùn)營商很有可能會重操舊業(yè)。

不過，Holz及其團(tuán)隊(duì)現(xiàn)在已經(jīng)可以分辨哪臺電腦感染了Pushdo。他們正在與互聯(lián)網(wǎng)運(yùn)營商溝通，這樣這些運(yùn)營商就可以識別哪些客戶的電腦被感染，并幫助客戶來清除被感染的部分。

雖然Pushdo運(yùn)營商可能用剩下的仍然聯(lián)網(wǎng)的服務(wù)器來重組僵尸網(wǎng)絡(luò)，但如果我們可以識別被損害的電腦并清除被感染的部分，還是具有長遠(yuǎn)意義的。

Holz認(rèn)為識別哪臺帶你哪臺電腦被感染，然后修復(fù)這些電腦是與僵尸網(wǎng)絡(luò)斗爭的有效手段。在德國，政府發(fā)出了一項(xiàng)倡議，這項(xiàng)倡議涉及八個主要的網(wǎng)絡(luò)運(yùn)營商，他們都會在發(fā)送郵件給客戶的時候告知其是否有可能感染僵尸網(wǎng)絡(luò)代碼。

Holz還是LastLine的高級威脅分析師，LastLine是一個學(xué)術(shù)性的安全公司，由法國的Eurecom研究所，Santa Barbara的加州大學(xué)和其他研究人員創(chuàng)立。該公司推出了許多用于分析惡意軟件和追蹤僵尸網(wǎng)絡(luò)感染的產(chǎn)品。LastLine掌握著一個巨型數(shù)據(jù)庫，數(shù)據(jù)庫中有網(wǎng)絡(luò)上的惡意內(nèi)容以及一個能識別服務(wù)器上Pushdo感染的系統(tǒng)，它還能向托管營運(yùn)商自動發(fā)送濫用通知。

該公司還生產(chǎn)了一些可以整合到思科網(wǎng)絡(luò)設(shè)備的訂閱資料，這些資料可用來攔截對被感染服務(wù)器的訪問。Holz稱其是另一個為托管營運(yùn)商開發(fā)的，可用來識別被感染客戶電腦并自動發(fā)送威脅通知的工具。因?yàn)檫\(yùn)營商可以用它來保持自己的網(wǎng)絡(luò)健康。

LastLine可以媲美其他專攻web安全和僵尸網(wǎng)絡(luò)的安全公司，如websense和Dambala。Holz稱LastLine會以其穩(wěn)定的學(xué)術(shù)型資質(zhì)和研究與其他公司競爭。

【編輯推薦】

1. 企業(yè)如何檢測并移除僵尸網(wǎng)絡(luò)
2. 六把利劍斬殺僵尸網(wǎng)絡(luò)