Rustock の脅威との闘い 官・民・学の連携で実現

Japan Security Team
2011年7月20日 · 6分钟阅读

我们发布了《对抗Rustock威胁——安全情报报告：特别版》。该报告深入分析了Rootkit型后门木马Win32/Rustock的背景、功能与运作原理，并提供了2010年至2011年5月期间的威胁测量数据与分析结果。

Rustock被确认为全球最大的垃圾邮件僵尸网络之一，据估计控制约100万台受感染计算机，每日发送数十亿封垃圾邮件（曾创下单日300亿封的纪录）。其内容涵盖伪装微软彩票中奖的欺诈邮件，以及推销可能危害健康的假处方药（尤其是性功能药物）。

微软联合行业与学术研究者，于2011年3月16日成功阻断Rustock僵尸网络。通过法律与技术双重手段，在上游供应商支持下，我们切断了控制该僵尸网络的IP地址，阻断通信并使其失效。

下图展示了2011年1月至4月期间，由Rustock僵尸网络发起并经Microsoft Forefront Online Protection for Exchange（FOPE）检测到的垃圾邮件活动，按接收邮件数量与使用的独立IP地址数量统计：

从图中可见，3月中旬阻断后活动量骤降至近乎为零。
通过封锁控制僵尸网络的IP，活动量显著下降。此外，借助清除工具等手段，感染Rustock的PC数量减少超一半。但当前仍有数千万台PC受感染，需彻底清除。若怀疑感染Rustock，请使用「恶意软件删除工具」或「Microsoft PC Safety Scanner」进行清理。为预防恶意软件感染，请始终保持安全软件更新。未安装安全软件的用户，建议考虑免费工具「Microsoft Security Essentials」。

同时，需协作追捕Rustock僵尸网络运营者。微软于2011年7月18日（美国时间）宣布，对提供线索导致发现、逮捕与起诉控制者的举报者悬赏250,000美元。若有可靠信息，请立即联系。详情参阅微软官方博客「Microsoft Offers Reward for Information on Rustock」。

单一企业无法独立完成如此大规模的僵尸网络阻断。此举需行业、学术研究者、执法机构及各国政府协同合作。唯有齐心协力，才能阻止犯罪团伙利用僵尸网络，实现更安全可靠的互联网环境。

标签: Bot, Malware, Rustock, 时事热点