近日，在對(duì)抗僵尸網(wǎng)絡(luò)運(yùn)營(yíng)以及網(wǎng)絡(luò)犯罪方面，卡巴斯基實(shí)驗(yàn)室的專(zhuān)家同Crowd Strike Intelligence Team、Dell Secure Works以及Honeynet Project的成員一道，成功打掉并關(guān)閉了第二個(gè)Hlux僵尸網(wǎng)絡(luò)（又被稱(chēng)為Kelihos僵尸網(wǎng)絡(luò)）。第一個(gè)Hlux/Kelihos僵尸網(wǎng)絡(luò)于2011年9月被關(guān)閉，而最近被關(guān)閉的僵尸網(wǎng)絡(luò)的規(guī)模是其規(guī)模的三倍。在開(kāi)始執(zhí)行打擊該僵尸網(wǎng)絡(luò)行動(dòng)的5天內(nèi)，卡巴斯基實(shí)驗(yàn)室為109,000臺(tái)受感染計(jì)算機(jī)清除了感染。而第一個(gè)Hlux/Kelihos僵尸網(wǎng)絡(luò)大約只感染了40,000臺(tái)計(jì)算機(jī)。

第一個(gè)Hlux/Kelihos僵尸網(wǎng)絡(luò)

2011年9月，卡巴斯基實(shí)驗(yàn)室同微軟打擊數(shù)字犯罪小組、SurfNet和KyrusTech，Inc一起，成功關(guān)閉了首個(gè)Hlux/Kelihos僵尸網(wǎng)絡(luò)。期間，卡巴斯基實(shí)驗(yàn)室執(zhí)行了排污行動(dòng)，通過(guò)命令控制服務(wù)器（C&C）關(guān)閉了僵尸網(wǎng)絡(luò)及其備份基礎(chǔ)設(shè)施。

盡管首個(gè)Hlux僵尸網(wǎng)絡(luò)已被關(guān)閉并得到控制，但卡巴斯基實(shí)驗(yàn)室的專(zhuān)家在2012年1月發(fā)表的一篇最新的研究報(bào)告中指出，第二個(gè)Hlux/Kelihos僵尸網(wǎng)絡(luò)已經(jīng)在運(yùn)行。雖然這個(gè)僵尸網(wǎng)絡(luò)是新的，但其中所使用的惡意軟件代碼同首個(gè)Hlux/Kelihos僵尸網(wǎng)絡(luò)所使用的代碼一致。新的惡意軟件表明第二個(gè)僵尸網(wǎng)絡(luò)進(jìn)行了功能升級(jí)，包括感染手段以及比特幣采集和電子錢(qián)包盜竊功能。同之前的僵尸網(wǎng)絡(luò)一樣，新的僵尸網(wǎng)絡(luò)會(huì)利用受感染計(jì)算機(jī)發(fā)送垃圾郵件、竊取用戶(hù)個(gè)人數(shù)據(jù)，并針對(duì)特定目標(biāo)實(shí)施DDoS攻擊。

第二個(gè)Hlux/Kelihs僵尸網(wǎng)絡(luò)是如何被關(guān)閉的

2012年3月的第三周，卡巴斯基實(shí)驗(yàn)室和Crowd Strike IntelligenceTeam、Dell Secure Works以及Honeynet Project共同啟動(dòng)了排污行動(dòng)，成功關(guān)閉了第二個(gè)僵尸網(wǎng)絡(luò)。這兩個(gè)Hlux/Kelihos僵尸網(wǎng)絡(luò)都是點(diǎn)對(duì)點(diǎn)（P2P）類(lèi)型的僵尸網(wǎng)絡(luò)，即網(wǎng)絡(luò)中的任何一臺(tái)受感染計(jì)算機(jī)，都可以充當(dāng)服務(wù)器或客戶(hù)端。而傳統(tǒng)的僵尸網(wǎng)絡(luò)則不同，必須依靠一臺(tái)唯一的C&C服務(wù)器。為了打掉這一靈活的P2P僵尸網(wǎng)絡(luò)，來(lái)自上述公司和組織的安全專(zhuān)家創(chuàng)建了一個(gè)分布式計(jì)算機(jī)全球網(wǎng)絡(luò)，將其安裝在僵尸網(wǎng)絡(luò)的基礎(chǔ)設(shè)施中。行動(dòng)開(kāi)始后，排污網(wǎng)絡(luò)在僵尸網(wǎng)絡(luò)中的影響力逐漸增強(qiáng)，使得越來(lái)越多的受感染計(jì)算機(jī)被卡巴斯基實(shí)驗(yàn)室專(zhuān)家所控制，同時(shí)阻止惡意僵尸網(wǎng)絡(luò)操作者訪問(wèn)這些計(jì)算機(jī)。隨著越來(lái)越多的受感染計(jì)算機(jī)中的惡意程序被清除，僵尸網(wǎng)絡(luò)的P2P架構(gòu)逐漸失效，其控制的計(jì)算機(jī)數(shù)量開(kāi)始急劇下降，威力也成倍下降。

自3月19日排污行動(dòng)開(kāi)始后，該僵尸網(wǎng)絡(luò)就已經(jīng)無(wú)法被操作。目前，大多數(shù)被感染的計(jì)算機(jī)都已經(jīng)連接到排污網(wǎng)絡(luò)。卡巴斯基實(shí)驗(yàn)室的專(zhuān)家將利用僵尸網(wǎng)絡(luò)收集到的信息，追蹤此次僵尸網(wǎng)絡(luò)造成的感染情況和地理分布趨勢(shì)。