卸下僵尸网络或许会为你带来有价值数据(图)

　　研究人员希望在卸下Pushdo僵尸网络(全球五大僵尸网站之一)的部件后，对僵尸网络有个更好的了解。

　　Thorsten Holz， 德国Ruhr大学的计算机科学助理教授称他的团队正致力于一项学术论文，该论文旨在研究发现在电脑上发送特定垃圾邮件的恶意垃圾软件的方法。

　　他们了解过许多主要的僵尸网络，包括Mega-D，Rustock以及Pushdo和Cutwail，后两种恶意软件有时候很像是同一种个僵尸网络的组成部分。

▲

　　Holz称他们发现Pushdo具备一种特殊性能，超过一半的命令和控制服务器都集中在一个托管公司。僵尸网络使用命令和控制服务器向被感染的PC的发布指令，如更新垃圾邮件模板以及目标邮箱的地址以便发送垃圾邮件。

　　Pushdo的30服务器中有15个与托管供应商连在一起，托管供应商现在断开了这些服务器冰与Holz及其团队共享这些数据。他们的分析在不断改善中，但是他们还有78G文本邮件地址没有覆盖到，大约40%的被感染电脑都在印度。这一结果令Holz颇为吃惊。

　　其他服务器中的数据应该更能清晰地显示出Pushdo的工作原理。Holz说：“我们会分析所有日志数据，因为我认为我们可以对当今的垃圾邮件操作提供一个综述。”

　　在拥有Pushdo命令和控制服务器的八个托管供应商中，有六个已经关闭了Pushdo。但是还有两个两个中国供应商没有响应邮件请求来关闭Pushdo，甚至是没有承认自己有收到相关投诉。虽然垃圾邮件的量已经下跌，但是运营商很有可能会重操旧业。

　　不过，Holz及其团队现在已经可以分辨哪台电脑感染了Pushdo。他们正在与互联网运营商沟通，这样这些运营商就可以识别哪些客户的电脑被感染，并帮助客户来清除被感染的部分。

　　虽然Pushdo运营商可能用剩下的仍然联网的服务器来重组僵尸网络，但如果我们可以识别被损害的电脑并清除被感染的部分，还是具有长远意义的。

　　Holz认为识别哪台带你哪台电脑被感染，然后修复这些电脑是与僵尸网络斗争的有效手段。在德国，政府发出了一项倡议，这项倡议涉及八个主要的网络运营商，他们都会在发送邮件给客户的时候告知其是否有可能感染僵尸网络代码。

　　Holz还是LastLine的高级威胁分析师，LastLine是一个学术性的安全公司，由法国的Eurecom研究所，Santa Barbara的加州大学和其他研究人员创立。该公司推出了许多用于分析恶意软件和追踪僵尸网络感染的产品。LastLine掌握着一个巨型数据库，数据库中有网络上的恶意内容以及一个能识别服务器上Pushdo感染的系统，它还能向托管营运商自动发送滥用通知。

　　该公司还生产了一些可以整合到思科网络设备的订阅资料，这些资料可用来拦截对被感染服务器的访问。Holz称其是另一个为托管营运商开发的，可用来识别被感染客户电脑并自动发送威胁通知的工具。因为运营商可以用它来保持自己的网络健康。

　　LastLine可以媲美其他专攻web安全和僵尸网络的安全公司，如websense和Dambala。Holz称LastLine会以其稳定的学术型资质和研究与其他公司竞争。