近日，在對抗僵尸網(wǎng)絡運營以及網(wǎng)絡犯罪方面，卡巴斯基實驗室的專家同Crowd Strike Intelligence Team、Dell Secure Works以及Honeynet Project的成員一道，成功打掉并關閉了第二個Hlux僵尸網(wǎng)絡（又被稱為Kelihos僵尸網(wǎng)絡）。第一個Hlux/Kelihos僵尸網(wǎng)絡于2011年9月被關閉，而最近被關閉的僵尸網(wǎng)絡的規(guī)模是其規(guī)模的三倍。在開始執(zhí)行打擊該僵尸網(wǎng)絡行動的5天內(nèi)，卡巴斯基實驗室為109,000臺受感染計算機清除了感染。而第一個Hlux/Kelihos僵尸網(wǎng)絡大約只感染了40,000臺計算機。

第一個Hlux/Kelihos僵尸網(wǎng)絡

2011年9月，卡巴斯基實驗室同微軟打擊數(shù)字犯罪小組、SurfNet和KyrusTech，Inc一起，成功關閉了首個Hlux/Kelihos僵尸網(wǎng)絡。期間，卡巴斯基實驗室執(zhí)行了排污行動，通過命令控制服務器（C&C）關閉了僵尸網(wǎng)絡及其備份基礎設施。

盡管首個Hlux僵尸網(wǎng)絡已被關閉并得到控制，但卡巴斯基實驗室的專家在2012年1月發(fā)表的一篇最新的研究報告中指出，第二個Hlux/Kelihos僵尸網(wǎng)絡已經(jīng)在運行。雖然這個僵尸網(wǎng)絡是新的，但其中所使用的惡意軟件代碼同首個Hlux/Kelihos僵尸網(wǎng)絡所使用的代碼一致。新的惡意軟件表明第二個僵尸網(wǎng)絡進行了功能升級，包括感染手段以及比特幣采集和電子錢包盜竊功能。同之前的僵尸網(wǎng)絡一樣，新的僵尸網(wǎng)絡會利用受感染計算機發(fā)送垃圾郵件、竊取用戶個人數(shù)據(jù)，并針對特定目標實施DDoS攻擊。

第二個Hlux/Kelihs僵尸網(wǎng)絡是如何被關閉的

2012年3月的第三周，卡巴斯基實驗室和Crowd Strike IntelligenceTeam、Dell Secure Works以及Honeynet Project共同啟動了排污行動，成功關閉了第二個僵尸網(wǎng)絡。這兩個Hlux/Kelihos僵尸網(wǎng)絡都是點對點（P2P）類型的僵尸網(wǎng)絡，即網(wǎng)絡中的任何一臺受感染計算機，都可以充當服務器或客戶端。而傳統(tǒng)的僵尸網(wǎng)絡則不同，必須依靠一臺唯一的C&C服務器。為了打掉這一靈活的P2P僵尸網(wǎng)絡，來自上述公司和組織的安全專家創(chuàng)建了一個分布式計算機全球網(wǎng)絡，將其安裝在僵尸網(wǎng)絡的基礎設施中。行動開始后，排污網(wǎng)絡在僵尸網(wǎng)絡中的影響力逐漸增強，使得越來越多的受感染計算機被卡巴斯基實驗室專家所控制，同時阻止惡意僵尸網(wǎng)絡操作者訪問這些計算機。隨著越來越多的受感染計算機中的惡意程序被清除，僵尸網(wǎng)絡的P2P架構(gòu)逐漸失效，其控制的計算機數(shù)量開始急劇下降，威力也成倍下降。

自3月19日排污行動開始后，該僵尸網(wǎng)絡就已經(jīng)無法被操作。目前，大多數(shù)被感染的計算機都已經(jīng)連接到排污網(wǎng)絡?？ò退够鶎嶒炇业膶＜覍⒗媒┦W(wǎng)絡收集到的信息，追蹤此次僵尸網(wǎng)絡造成的感染情況和地理分布趨勢。