中国盗版Windows传播Nitol病毒引发微软打击
扫描二维码
随时随地手机看文章
21ic网友杂谈:据国外媒体报道,一位深圳的客户将一台全新的笔记本电脑从箱子里面拿了出来,第一次把它打开。随着屏幕点亮,这台计算机正式开始自己的生命。但是这台受隐藏于硬盘的病毒控制的机器开始在互联网上搜寻另外一台电脑。
这台计算机应该是处于原始、直接出自工厂状况,但却立即成为了一个非法的全球网络的部分,这个网络能够攻击网站,搜索银行账户并盗窃个人数据。
多年来,网络调查者已经警告消费者,打开或者下载由未知或者可疑源头发来的邮件的危险。他们指出,现在恶意软件和计算机代码可能甚至在外包装打开前就已经潜伏于电脑上。
上述案例的购物者是微软中国研究员团队的成员之一,他们负责调查盗版软件的销售情况。他们偶然间认识到一种名为Nitol的恶意软件。美国弗吉尼亚法庭周四披露的法庭文件描述了这起事件。这些文件描述了一个司法打击活动的新阵地,该打击活动由微软发起,专门针对网络犯罪。微软是Windows操作系统的生产商,该系统是病毒的最大目标。
这些文件属于微软针对一位中国商人彭勇(Peng Yong,音译)注册的一个网络域名所提起的计算机欺诈诉讼。该公司称,这个域名是非法互联网活动的焦点。这是Nitol和超过500种其他类型的恶意软件的根据地,使其成为最大的受感染软件单一储存点。
彭勇是一家互联网服务公司的老板,他表示自己并不知道微软的诉讼,并否认存在违法行为,称他的公司不允许在其域名3322.org上存在违法的行为。在这宗诉讼里,微软还起诉了另外三位不知名的个人,他们建立和运营了这个Nitol网络。
在 法庭文件和对微软官员的采访中令人印象深刻的是,互联网用户已经变得非常脆弱,这种情况的部分原因在于电脑供应链的疲弱。为了增加利润率,部分电脑生产商 和零售商可能使用盗版软件产品,从而降低装机成本。要堵住这个漏洞几乎不可能,尤其是在监管缺失的中国市场,这也为网络犯罪创造了机会。
前美国政府检察官理查德·博斯科维奇(Richard Boscovich)是微软数字犯罪部门的资深代理律师,他表示:“他们改变了试图攻击你的方式。”
距 离并不代表安全。例如,Nitol是一款具有侵略性的计算机病毒,出现在中国、美国、俄罗斯、澳大利亚和德国的计算机。微软甚至已经找到了位于开曼群岛、 控制受Nitol感染的计算机的服务器。所有这些受感染的计算机成为了一个僵尸网络的部分,这种网络是网络犯罪最普遍和具有持续性的工具之一。
同时,Nitol似乎也随时准备进行攻击。微软数字犯罪部门的高级经理帕特里克·斯特拉顿(Patrick Stratton)指出,受感染率已经达到高峰。该部门向法庭提交一份文件,解释Nitol及其与3322.org域名的关系。
对于微软,打击网络犯罪是一项不错生意。该公司的Windows操作系统运行大部分与互联网连接的计算机。恶意软件的受害者可能认为他们的问题源自于Windows,而不是他们觉察不到的病毒,这可能会损害该公司的品牌和声誉。
博斯科维奇指出,一旦盗版软件受到快速转播的恶意软件的感染,其中的利害关系就不仅包括微软的形象。他说:“这不只是传统的知识产权问题。这现在已经成为了安全问题。”
微软电子犯罪部门发起的调查开始于2011年8月,是一项针对盗版Windows销售和发行的调查。微软在中国的员工从零售商处购买20台新计算机,并带到能够连接互联网的家里。
他们发现所有的计算机都使用盗版Windows操作系统,其中4台预装了恶意软件。但是其中预装了Nitol的计算机是最令人警醒的,因为这款恶意软件非常活跃。
斯特拉顿在一份提交给法庭的文件中表示:“我们给这台计算机通电后,这台没有接受过我们任何指令的计算机开始向互联网延伸,试图联系一台我们不熟悉的计算机。”
斯特拉顿和他的同事还发现Nitol具有非常高的传染性。他们将一个U盘插入计算机,该病毒马上将自己复制到里面。当U盘插入到另外的机器上,Nitol很快就将自己复制到该计算机里。
根据法庭文件,微软检查了数千个Nitol的样本,所有都和与3322.org这个域名有关的指挥和控制服务器相连接。
微软在其诉讼中表示:“简单说,3322.org是一个违法犯罪活动的主枢纽,犯罪分子时时刻刻都利用这个枢纽向全球无辜消费者的计算机传播恶意软件和指令。”
彭勇是3322.org的注册所有人,他表示自己对于滥用域名“零容忍”并且已经与中国的执法部门合作。但是,他表示,自己有大量的用户,使得侦查工作非常困难。
彭勇在微博的私信上表示:“我们的政策一贯是反对将我们的域名用于恶意用途。我们目前拥有285万个域名,不可能不包括那些可能使用域名进行恶意用途的个人。”
但是博斯科维奇指出,彭勇过往忽视了由其他网络安全公司提起的警告。根据计算机安全公司 Zscaler,3322.org这个域名占2009年全球恶意网络交易的17%以上。在2008年,俄罗斯安全公司卡巴斯基报告称,所有的恶意软件中40%在一定程度上与3322.org有关联。
美 国地区法庭法官杰拉德·布鲁斯·李(Gerald Bruce Lee)同意了微软的请求,准许将受Nitol及其他恶意软件感染的互联网流量从3322.org转移至一个名为sinkhole的特别网站。在那里,微 软可以提醒受感染的计算机用户升级他们的反病毒病毒软件,并清除Nitol。
根据微软,自从这位法官发出命令以来,超过3700万的恶意连接已经从3322.org断开。
下载文档
