魔波_MOCBOT_蠕虫事件的处理情况及经验介绍

58独家授权ＮＥＴＩＮＦＯ　ＳＥＣＵＲＩＴＹ编者按：今年８月份的魔波蠕虫攻击，全球共有１０５万个主机ＩＰ被感染，但却是２００３年以来感染主机数量相对最少的一次。大规模的蠕虫传播虽趋于消失，但随之而来的

58独家授权

ＮＥＴＩＮＦＯ　ＳＥＣＵＲＩＴＹ

编者按：今年８月份的魔波蠕虫攻击，全球共有１０５万个主机ＩＰ被感染，但却是２００３年以来感染主机数量相对最少的一次。大规模的蠕虫传播虽趋于消失，但随之而来的网络攻击的针对性和趋利性更为突出。

与此同时，国家计算机网络应急技术处理协调中心和各地分中心对事件所涉及的主机分别进行了相应处理，包括向ＡＰＣＥＲＴ各经济体成员的ＣＥＲＴ小组，以及英国等１３个国家的ＣＥＲＴ组织通报了相应国家感染主机ＩＰ列表。这也是我国应急组织首次在大规模蠕虫事件中，协助其他国家进行处理，在国际上树立了中国作为负责任的互联网大国以及ＣＮＣＥＲＴ／ＣＣ良好形象，得到了各应急组织的好评。

以下这篇文章，对此次事件的处理情况和经验进行了介绍。

魔波

(M O C B O T ) 的处理情况及经验介绍　

蠕虫事件

■　　国家计算机网络应急技术处理协调中心　陈明奇

２００６年８月８日，微软公司发布了８月份的例行安全公告后，互联网上很快有了利用其中ＭＳ０６－０４０漏洞（远

程服务的溢出攻击漏洞）的攻击代码已经出现的报道。ＣＮＣＥＲＴ／ＣＣ于８月１４日根据国际权威应急组织信息，确认了魔波蠕虫及其变种出现的信息，蠕虫会利用Ｗｉｎｄｏｗｓ操作系统的ＭＳ０６－０４０漏洞传播，可影响Ｗｉｎｄｏｗｓ　ｘｐ　和Ｗｉｎｄｏｗｓ　Ｓｅｒｖｅｒ２００３的所有版本。该蠕虫能自动对互联网主机的４４５端口进行扫描，并发起攻击。如被扫描主机没有安装微软ＭＳ０６－０４０漏洞补丁，则有可能被蠕虫入侵。蠕虫入侵以后，会在受害主机上释放一个僵尸程序，并驱使受害主机连接到特定的ＩＲＣ服务器接收黑客控制，从而构成一个大规模的僵尸网络。从僵尸程序内置的命令来看，黑客可以用其发动拒绝服务攻击，扫描或文件下载等行为。

独家授权

59

ＮＥＴＩＮＦＯ　ＳＥＣＵＲＩＴＹ

１４日，ＣＮＣＥＲＴ／ＣＣ也接到用户单位报告，称怀疑已遭受该蠕虫的攻击，影响较严重。用户称该蠕虫为已知蠕虫的新变种，名为Ｂａｃｋｄｏｏｒ．Ｗｉｎ３２．ＩＲＣＢｏｔ．ｓｔ。根据上述信息，ＣＮＣＥＲＴ／ＣＣ认为，攻击者会利用国内大量用户未及时安装ＭＳ０６－０４０漏洞补丁的间隙，制造更多的蠕虫或蠕虫变种在网上传播，可能对我国互联网造成严重危害，立即启动了大规模网络安全事件处理流程对该事件进行了应急处理。

截至８月１８日，ＣＮＣＥＲＴ／ＣＣ共掌握感染魔波蠕虫的主机ＩＰ共计１０５万个，其中中国境内１２．５万个，我国境内的感染主机分布情况如下图所示：

在全球分布前十名如下：美国　１５６７９６台主机，中国大陆　１２５８５６台主机，巴西　７４８２９台主机，德国　７４１５２台主机，日本　６２９５７台主机，台湾　４５９１５台主机，韩国３７７６９台主机，墨西哥　３６９７８台主机，波兰　３４６９９台主机，西班牙　３２５９３台主机。ＣＮＣＥＲＴ／ＣＣ和各地分中心对事件所涉及的主机分别进行了相应处理，包括向ＡＰＣＥＲＴ各经济体成员的ＣＥＲＴ小组，以及向英国、阿根廷、巴西、西班牙、加拿大、德国、墨西哥、波兰、俄国、法国、意大利、智利、奥地利等１３个国家的ＣＥＲＴ组织通报了相应国家感染主机ＩＰ列表。这也是我国应急组织第一次在大规模蠕虫事件中，协助其他国家进行处理，在国际上树立了中国作为负责任的互联网大国的以及ＣＮＣＥＲＴ／ＣＣ良好形象，得到了各应急组织的好评。９月中旬，该事件的处理基本结束。

事件处理期间，ＣＮＣＥＲＴ／ＣＣ采取的处理措施主要包括：１．　三天之内，在网站发布了两个安全公告，提醒广大网民蠕虫的出现，提供了响应解决方案；

２．　启动８６３－９１７平台监测，　掌握了魔波蠕虫在我国境内的情况；

３．　通过域名注册商取消了僵尸网络控制服务器所用域名，制止了黑客对感染主机的控制，清除了危害；

４．　通过代码分析和密罐网辅助监测，掌握了蠕虫及感染主机的活动情况；

５．　向国内有关部门通报了１４６个重要ＩＰ地址感染情况，并将国内感染用户ＩＰ地址通报了国内主要运营商。

目前，该事件的有关数据还在进一步分析总结中，基于这次近两年来规模较大一次的蠕虫攻击的处理，ＣＮＣＥＲＴ／ＣＣ认为对今后的大规模蠕虫事件应急处理应注重一下几个方面问题：

１．　提高我国公共互联网应对零日攻击的应急处理能力。互

联网网上蠕虫的“零日攻击”，是指漏洞公布出来后，当天就会出现攻击代码情况。这次蠕虫攻击出现时间之短，已经接近零日攻击的程度了，零日攻击对我国互联网安全设施以及重要信息系统的危害都是较大的。对此，我国应高度重视，提高国家骨干互联网以及重要应用系统应对零日攻击的国家层面的应急响应能力；

２．　提高应对网络攻击更具针对性和趋利性的能力。互联网的大规模蠕虫传播已经趋于消失，网络攻击更具针对性和趋利性，将对我国的互联网带来严峻挑战。这次蠕虫攻击规模虽然为近两年来最大的一次，但从ＣＮＣＥＲＴ／ＣＣ掌握的感染数字来说，１０５万的感染主机，是０３年以来的大规模蠕虫事件中，感染主机数量相对最少的一次。这和黑客的攻击的趋利性趋势是吻合的，黑客希望利用蠕虫来控制感染机器，用以获利，而不是漫无目的的在互联网上传播；此外，从感染主机的控制利用来看，黑客更多用来控制主机后，安装间谍软件或者出售感染主机的控制权来获利。因此，网络攻击的针对性和趋利性，对于我国网民所造成的危害，可能要比更具轰动性无目的的大规模蠕虫传播是有过之而无不及，对维护互联网产业的健康发展带来了更严峻的挑战。

３．　应加强有关法律规章建设，为事件处理提供必要的政策法规依据是应急处理的法规保障。本次事件处理中，与域名注册商的成功合作避免了感染主机被黑客控制。实践证明，信息产业部《中国互联网络域名管理办法（信息产业部令第３０号）》，为ＣＮＣＥＲＴ／ＣＣ协调域名注册商提供了政策依据，对注册商依法取消被黑客冒名注册并用于非法用途的域名，迅速有效的抑制事件的进一步发展将起到关键性作用。