僵尸网(botnet)的开始

　　富有进取心的程序员并不满足于通过Internet传播恶意软件，他们开始研究利用Internet直接控制Windows PC的途径。

　　1999年12月，一位自称Vecna的巴西程序员发布了一种叫做Babylonia的新木马。Babylonia集CIH式的间隙感染和Happy99式的Winsock替换于一体，为恶意软件基因库带来了一个重要的新型能力：它每隔一分钟，回连控制端一次，如果有了新版本，就更新自己。

　　尽管其作者声称Backorifice并不是为破坏系统而发明的，但它肯定在Windows 95和98系统上提供了这种能力。同今天的僵尸网控制器非常像，BackOrifice具有遥控能力——通过Internet从一台PC运行另一台PC的能力。BackOrifice并不是病毒;确切地说，它是等待被病毒或木马放置的有效载体。

　　Sobig蠕虫开创了第一个商业上取得成功的垃圾邮件制造僵尸网，它通过被感染的电子邮件附件做到了这点。在某个时刻，在Internet上传送的20封电子邮件中就有一封包含被染上Sobig的附件。Sobig收集被感染的计算机上的电子邮件地址。

　　入侵Windows

　　到2001年，多数恶意软件通过在Internet上发送被感染的文件或通过将被感染的文件放在网络共享中来传播。那一年，恶意软件编写者扩大了他们的攻击面，直接瞄准Windows本身存在的安全漏洞。它们在复杂性上也跃升了几级。一些恶意软件编写者不再热衷于摧毁数据或恶作剧，他们将自己的卓越才能转向了赚钱。

　　臭名昭著的CodeRed感染了300,000多台Windows Servers，它利用一个缓冲区溢出漏洞控制IIS并篡改运行在被感染的服务器上的Web网站网页。被CodeRed感染的机器发动喷射(spray)攻击，随机向Internet上的机器发送缓冲区溢出包。Microsoft在CodeRed出现前的1个月修补了这个漏洞，但管理员没有很快打这个补丁。经过完全改写的CodeRed II,不仅发动喷射攻击，而且还攻击本地机器。

　　随后，Nimda青出于蓝而胜于蓝。它利用了5种不同的感染向量：一种较高级的混合病毒。Nimda利用电子邮件附件感染。它感染没有保护的网络共享;它试图控制网站;它以CodeRed方式攻击服务器;它可以利用CodeRed留下的后门。

　　2003年，SQL Slammer横扫了Internet，在它出现的头10分钟内感染了75,000台机器。这种蠕虫利用SQL Server和SQL Desktop Engine中的一个安全漏洞，而这个漏洞早在半年前就被修补了。SQL Slammer不在硬盘上留下自己的拷贝，它选择呆在内存中：重新启动被感染的机器，以后这台机器就不再被感染了。

　　同SQL Slammer一样，Blaster(也叫Lovsan)以极快地速度在Internet上传播，它扫描连接在Internet上的机器并传播自己。同Slammer一样，它利用了一个已经被修补的漏洞。与Slammer不同的是，Blaster攻击每一台Windows XP和Windows 2000计算机。其有效载体试图通过DDoS攻击让Microsoft的windowsupdate.com瘫痪。

　　今天，金钱流向了何处?

　　几年前组成的僵尸网仍在运行中——一个向利润丰厚的恶意软件行业提供资金的家伙们很清楚的事实。

　　这些程序后面的专业人员容不下竞争对手。Mydoom紧随Sobig而来。Mydoom是另一种电子邮件附件僵尸网生成器。一场恶意软件战争在Mydoom、Netsky、Sasser(它拿下了成千上万家公司)和Bagel之间爆发，每一种病毒都试图击败另一种病毒。德国一名18岁的计算机科学学生因开发Sasser和Netsky.AC变种而被宣布有罪。Zlob木马采用了新的欺骗手段，把自己伪装成一种被认为运行某种视频文件所必需的视频编解码器。Zlob有几十种变种，其中的多数因为流氓杀毒软件拉生意而闻名：这是一项赚钱的消遣。Zlob过一段时间就变会变形，5年后变成了臭名远扬的Alureon rootkit。

　　2007年，Storm Worm出现了。它是又一种电子邮件附件僵尸网生成器，但有一点不同：Storm Worm不是通过一台服务器运行僵尸网，而是借用对等技术实施分散控制。100多万台Windows PC被感染。2008年底，Storm/Waledac僵尸网大爆发，不过据Symantec说，它在上个月再次苏醒，开始发送垃圾邮件。Waldec的操纵者正为第二轮大爆发积蓄力量。

　　过去几年里，其它许多僵尸网走马灯似地你方唱罢我登场，其中的多数因阻断通信线路和阻塞被控制的服务器而被阻止或被大大削弱。但其中的一些仍在制造麻烦，其中最著名的是Zeus和Conficker。Zeus是一种DIY僵尸网工具，它收集被感染机器上的口令、账户号等信息，然后把它们发送到选择的存放区。Conficker是一种被认为处于休眠状态，没有被彻底根除的僵尸网。

　　Waledac等制造垃圾邮件的僵尸网去年10月受到了Microsoft律师的痛击。最大的垃圾邮件僵尸网之一，Bredolab，被荷兰国家犯罪总署捣毁(尽管没有被彻底消除)。

　　恶意软件将向何处发展

　　随着Windows XP的行将就木，将被Windows 7取代，攻击Windows的难度增加了几个数量级。小恶意软件参与者已经被挤出市场，大恶意软件参与者正在等待新的机会，寻找不多的容易摘到的果实。

　　但是，Windows零天安全漏洞仍很值钱，那些找到它们的人不太可能只是利用它们来制造古怪的对话框。

　　因此，可以预期Windows恶意软件将继续以创新的方式演进。一个显著的趋势是Microsoft领地之外的攻击的兴起。例如，Koobface运行在Windows上，但它被用于从Facebook和MySpace收集信息，说服Facebook用户安装流氓恶意软件杀毒程序，否则就会把社交网信息变为钱财。

　　另一个趋势将可能将围绕着工业间谍发展。不管你信不信，Stuxnet蠕虫是为破坏伊朗核浓缩离心机而设计的，毫无疑问，一个能力非常的团队构建了利用多个零天Windows漏洞和Siemens Step 7代码的惊人组合。预计有动机的组织将混合各种创新威胁，以达到他们想要达到的目的。

　　至于恶意软件构建工具，ZeuS看起来才是个开始。天才的恶意软件构建工具发明者可以靠构建恶意软件民主化过上体面的生活，同时面临的风险大大降低。有了可待价而沽的工具，这些发明者不必为分发恶意软件被抓着、维护存放网站或将信息变成钱而操心。最近，Brian Krebs报告说，ZeuS和SpyEye显然相互勾结在一起，最新的ZeuS源代码只需花上1万美元就可以买到。有了源代码，你可以开发和销售你自己定制的ZeuS构建工具。可以把这认为是一幅恶意软件多级营销图。

　　不过，恶意软件创新的最多产的病毒可能将出现在社会工程学领域。毕竟，尽管攻击Windows程序变得更加困难了，但攻击最薄弱的环节同过去一样容易：用户耳朵之间的环节。我们将看到更多的缺点，更多的假“Windows技术支持”呼叫，更多的欣然向任何声称可以帮助修补漏洞的人交出敏感信息的不知所措的用户。

　　Windows恶意软件在过去20年里有了很大的变化，但人却没有变。