自从2003年的Slammer蠕虫后，随着安全企业和研究机构的努力，网络蠕虫很少能再掀起让整个互联网震动的风浪。直到2008年，Conficker蠕虫的出现再次让全世界震惊。Conficker蠕虫一度侵占了一千五百万台主机，该蠕虫曾经大面积感染法国海军的内部网络导致“飓风”战机被迫停飞，让微软公司发出了25万美元的悬赏，即使在多方合作打击之后，它仍然侵占了200万台左右的主机，并且其创造者至今未知。本期介绍的组织就是在全球对Conficker蠕虫进行响应处理的Conficker工作组。

　　安全危机蔓延下的全球合作

　　Conficker蠕虫攻击的主要漏洞是微软公司发布的MS08-067漏洞。在其蔓延之初，微软公司曾经想通过补丁来消除Conficker蠕虫的影响。但用户进行补丁修补的速度远远赶不上蠕虫蔓延的速度，据统计今日仍有30%的主机未打上微软公司发布的补丁，这使得Conficker蠕虫迅速蔓延到了全球。

　　在此情况下仅靠微软公司已经无法遏制其传播，此时微软公司只有联系全球不同地区不同类型的各种组织和企业组成了一个超级的响应队伍Conficker工作组(Conficker Woking Group)。

　　Conficker工作组成立于2009年2月，是一个由不同类型的单位组成的松散的企业联盟。其中除微软公司外，包括ICANN这样的国际组织和CNNIC、Neustar和Verisign这样的域名注册机构，也有主要的反病毒企业如Kaspersky, Symantec和F-Secure，还有AOL这样的ISP，以及Arbor Network、Shadow Server、ISC、Support Intelligence这样的安全组织，最后还包括乔治亚理工大学这样的科研机构。

　　Conficker工作组协调来自这些不同方面的力量，通过对恶意软件的反向工程，锁定恶意网站使用的域名，以及使用HTTP黑洞服务器标识被感染的主机，并将Conficker蠕虫的数据在企业、网络服务提供商和域名注册机构之间进行共享，通过协同响应来控制Conficker蠕虫可能造成的威胁。

　　协同工作机制

　　Conficker工作组对不同组织提出了不同的协同响应建议来解决Conficker蠕虫问题。对于企业和网络服务提供商(ISP以及各类提供网络接入的服务商)，Conficker工作组要求他们帮助修补在他们管理范围内的感染了恶意软件的用户。

　　Conficker指出目前Conficker蠕虫仍处于进化过程中，Conficker蠕虫控制的僵尸网络随时可以向互联网的基础设施或者其他目标发动大规模的DDoS攻击。企业和网络服务提供商如果忽视自己管理范围内的Conficker感染主机，不仅会给整个互联网带来风险，而且自己也随时可能成为被攻击的目标。
　　Conficker蠕虫通过和指定域名的HTTP服务器通讯获取更新代码和攻击者的指令，在和域名注册机构协同后，安全组织通过架设指定域名的HTTP黑洞服务器(HTTP SinkHole Server)来获取被感染的主机信息。通过HTTP黑洞服务器，Conficker工作组获得了大量被感染主机的信息，企业和网络服务提供商可以通过联系拥有Conficker感染主机信息的安全组织来获取该组织内部感染Conficker蠕虫的主机信息，从而更准确地消灭这些蠕虫。