3月“飞客(conficker)”蠕虫的传播成泛滥之势，CNCERT/CC监测到中国、美国、巴西感染数量居前三位，其中，中国约占五分之一。目前的情况是，黑客大量控制互联网终端用户资源，以利于其发动大规模网络攻击。用户需关注安全资讯，做好主机安全加固工作，安全意识淡薄、基本安全防护知识缺乏将使用户成为黑客的“帮凶”。

　　木马与僵尸网络监测

　　3月，CNCERT/CC通过对木马与僵尸网络的监测分析，发现我国大陆地区18738个IP地址所对应的主机被通过木马程序秘密控制，我国大陆地区386个IP地址对应的主机被利用作为僵尸网络控制服务器。我国被木马控制的主机数量与2月相比增长幅度为31%，感染僵尸网络的主机数量则增长83.7%。

　　2009年3月1日至31日，CNCERT/CC对当前流行的木马程序的活动状况进行了抽样监测，发现我国大陆地区18738个IP地址对应的主机被其他国家或地区通过木马程序秘密控制，比2月的14306个增长31%，最多的地区分别为广东省(11.29%)和北京市(11.27%)。

　　境外控制者来自4652个IP地址，这些地址按国家和地区分布如图1所示，与2月的7603个相比下降38.2%。

　　2009年3月1日至31日，CNCERT/CC发现并跟踪的僵尸网络中，所用控制端口的分布情况如图2。可以看出：6667、7000和135端口是僵尸网络最常用的控制端口，所占比例较大。

　　2009年3月1日至31日，CNCERT/CC监测发现国内外共有420024个IP地址所对应的主机为僵尸网络的客户端(即被黑客利用僵尸网络所控制的计算机)，与2月相比增长117.5%。其中位于我国大陆的有135349个，与2月的73698个相比，增长83.7%。僵尸网络客户端在我国大陆的地区分布如图3所示，其中客户端最多的地区分别是河南省(15.68%)、广东省(8.30%)和北京市(7.26%)。

　　恶意代码捕获

　　在对恶意代码活动情况的监测分析中，CNCERT/CC3月日均捕获恶意代码2325次，新样本215个。捕获恶意代码次数比2月增长了约34.4%，所捕获的新样本2月大幅增长175.6%， 3月份为恶意代码(网络病毒)较为活跃。

　　“飞客”蠕虫监测和分析

　　近期“飞客”(Conficker)蠕虫出现新的变种Conficker.C，该变种比此前的两个版本(Conficker.A和Conficker.B)更具危害性。“飞客”蠕虫自出现以来，已经在全球范围内得到大范围传播。据CNCERT近期的监测，截至3月24日，共监测发现有3253578个IP主机感染“飞客”蠕虫。感染蠕虫IP主机数量按国家分布，前三名分别是中国(21.2%)、美国(11.8%)和巴西(9.7%)；国内感染蠕虫IP主机数量按省份分布，前三名分别是广东(14.5%)、河北(8.4%)和浙江(7.8%)。

　　“飞客”蠕虫最早出现在2008年11月，之后相继在2009年2月、3月出现变种。该蠕虫利用已公布的Windows操作系统漏洞(如：MS08-067漏洞)将自己植入未打补丁的电脑，并以局域网、U盘等多种方式传播。这次出现的新变种Conficker.C，较之以前的两个版本更加复杂并且自我保护能力更强。针对前两个变种，包括CNCERT在内的全球网络安全应急组织联合域名管理机构近期采取了联合行动，对可能被其用来实施控制感染主机的数千个域名进行了管制。但Conficker.C采用了新的策略，即每日从随机生成的5万个域名池中选择500个域名的方式，并且将所使用的顶级域名从5个扩展到了110个，这使得通过目前的应急措施来阻止其控制感染主机变得十分困难。

　　对于计算机用户来说，“飞客”蠕虫能够阻止用户访问与安全相关的网站，删除系统还原点，终止操作系统自身以及第三方安全软件的服务，并下载任意恶意程序文件，比如：被植入木马导致用户敏感数据信息泄漏等。然而对整个互联网安全来说，Conficker.C的传播已经形成一个包含数百万被控主机的攻击平台，不仅能够被用于大范围的网络欺诈和信息窃取，而且能够被利用发动无法阻挡的大规模拒绝服务攻击，甚至可能成为有力的信息战工具。CNCERT将继续跟踪监测“飞客”蠕虫病毒的演进动态。在此，CNCERT提醒广大用户及时采取相应防范措施，避免遭到该蠕虫的侵害并被不法黑客利用。

　　(作者单位为国家计算机网络应急技术处理协调中心)

　　来源：《中国教育网络》2009年5月刊