僵尸计算机工作原理

​破解者通过使用小型程序将计算机转化为僵尸，这些程序利用了计算机操作系统 (OS) 中的弱点。您可能认为这些破解者是顶尖的互联网犯罪主谋，但实际上，许多人几乎没有编程经验或知识。（有时人们称这些破解者为“脚本小子”，因为他们年轻且不擅长编写脚本或代码。）监控僵尸网络的调查人员表示，这些破解者使用的程序是原始且编写拙劣的。尽管方法笨拙，这些程序却能实现破解者的目的——将计算机转化为僵尸。

为了感染计算机，破解者必须首先将安装程序发送给受害者。破解者可以通过电子邮件、点对点网络甚至常规网站来做到这一点。大多数时候，破解者会用一个名称和文件扩展名来伪装恶意程序，让受害者以为自己得到的是完全不同的东西。随着用户对互联网攻击越来越精明，破解者也在寻找新的方式来分发他们的程序。您是否曾见过一个包含“不，谢谢”按钮的弹出广告？希望您没有点击它——这些按钮通常只是诱饵。它们非但不会关闭烦人的弹出广告，反而会激活恶意软件的下载。

一旦受害者收到程序，他们就必须激活它。在大多数情况下，用户会认为这个程序是其他东西。它可能看起来像一个图片文件、一个MPEG或其他可识别的文件格式。当用户选择运行程序时，似乎什么也没有发生。对一些人来说，这会敲响警钟，他们会立即进行大量的病毒和间谍软件扫描活动。不幸的是，有些用户只是简单地认为他们收到了一个损坏的文件，然后就不管了。

与此同时，被激活的程序会附着在用户操作系统的​​一个元素上，这样每次用户打开计算机时，该程序都会变得活跃。破解者并不总是使用操作系统初始化序列的同一部分，这使得普通用户难以检测到它。

该程序要么包含在特定时间执行任务的特定指令，要么允许破解者直接控制用户的互联网活动。许多此类程序通过互联网中继聊天 (IRC) 工作，事实上，IRC 网络上存在僵尸网络社区，同行破解者可以互相帮助——或试图窃取另一个破解者的僵尸网络。

一旦用户的计算机被入侵，破解者几乎可以为所欲为。大多数破解者会尽量不引起用户的注意。如果破解者提醒用户他的存在，他就有可能失去一个机器人。对于一些破解者来说，这并不是什么大问题，因为有些网络拥有数十万台僵尸。

在下一节中，我们将探讨僵尸计算机与垃圾邮件之间的关系。

​

垃圾邮件仍然是一个巨大的问题。打开您的电子邮件并筛选数十封垃圾邮件是一种令人沮丧的体验。所有这些垃圾邮件来自哪里？根据FBI的估计，其中很大一部分来自联网的僵尸计算机。

如果垃圾邮件来自一个集中式来源，那么追踪它就会相对容易，要么要求相应的ISP切断该计算机对互联网的访问，要么指控用户发送非法垃圾邮件。为了规避这些陷阱，破解者依赖僵尸计算机。僵尸计算机成为一个代理，这意味着破解者与垃圾电子邮件的来源相隔一步。一个拥有庞大僵尸网络的破解者每天可以发送数百万封垃圾邮件消息。

破解者可能会建立一个垃圾邮件僵尸网络，以将计算机病毒或特洛伊程序传播到尽可能多的计算机上。他们还可以利用垃圾邮件发送网络钓鱼消息，这些消息旨在诱骗用户分享个人信息（我们稍后会详细讨论网络钓鱼）。

在发送垃圾邮件中的广告时，破解者要么专门为客户搭建僵尸网络，要么按小时出租。那些希望宣传其产品（且不在乎其广告有多么侵扰或非法）的客户会付费给破解者，让他们向成千上万的人发送电子邮件。

大多数电子邮件收件人通常无法弄清楚垃圾邮件来自何处。他们可能会屏蔽一个来源，却从僵尸网络中的另一个僵尸收到相同的垃圾邮件。如果电子邮件中包含类似“点击此处从该邮件列表中移除”的消息，他们可能会因此将自己的计算机暴露给更多的垃圾邮件。足够精明的用户可以追溯电子邮件的来源，但可能不会注意到发件人的计算机是更大规模受感染机器网络的一部分。对于懂行的人来说，要弄清楚发件人是一个发送垃圾邮件的普通用户，还是一个破解者在远程控制计算机，并非总是难以做到。然而，这确实很耗时。

如果垃圾邮件收件人写信抱怨垃圾邮件，或者他自己的电子邮件发件箱里塞满了并非他撰写的邮件，那么僵尸计算机的所有者可能会意识到有破解者正在远程控制他的机器。否则，所有者很可能仍然乐呵呵地不知道自己是垃圾邮件发送团伙的一员。有些用户似乎不在乎他们的机器是否被用来传播垃圾邮件，仿佛那是别人的问题，而更多的人则没有采取必要的预防措施来避免成为僵尸网络的一部分。

在下一节中，我们将讨论僵尸网络的另一种恶劣用途——分布式拒绝服务攻击。

有时，破解者会利用僵尸计算机网络来破坏特定的网站或服务器。这个想法很简单——破解者命令其僵尸网络上的所有计算机反复联系某个特定的服务器或网站。流量的突然增加可能导致网站对合法用户来说加载非常缓慢。有时流量甚至足以完全关闭该网站。我们将这种攻击称为分布式拒绝服务 (DDoS) 攻击。

一些特别狡猾的僵尸网络会利用未受感染的计算机作为攻击的一部分。其工作原理如下：破解者将发起攻击的命令发送给他的僵尸军队。军队中的每台计算机都会向一台无辜的计算机（称为反射器）发送电子连接请求。当反射器收到请求时，它看起来不是来自僵尸，而是来自攻击的最终受害者。反射器将信息发送到受害者系统，最终系统性能下降或完全关闭，因为它同时被多台计算机发出的未经请求的响应所淹没。

从受害者的角度来看，似乎是反射器攻击了系统。从反射器的角度来看，受害系统似乎请求了数据包。僵尸计算机仍然隐藏着，而破解者本人则更加隐蔽。

DDoS攻击的受害者名单中不乏一些知名大公司。微软曾遭受名为MyDoom的DDoS攻击。破解者还曾将亚马逊、CNN、雅虎和eBay等其他主要的互联网参与者作为目标。DDoS的名称从略带趣味到令人不安，例如：

一旦军队对受害者系统发起DDoS攻击，系统管理员几乎无法阻止灾难。他可以选择限制其服务器上的流量，但这会同时限制合法的互联网连接和僵尸。如果管理员能够确定攻击的来源，他就可以过滤流量。不幸的是，由于许多僵尸计算机伪装（或欺骗）它们的地址，这并非总是容易做到。

在下一节中，我们将探讨破解者使用僵尸计算机的其他一些方式。

有些破解者对利用僵尸计算机发送垃圾邮件或瘫痪特定目标不感兴趣。许多人通过网络钓鱼的方式控制计算机，即破解者试图获取秘密信息，特别是身份识别信息。破解者可能会窃取您的信用卡信息，或者搜索您的文件以寻找其他盈利来源。破解者可能会使用键盘记录程序来跟踪您输入的一切，然后用它来发现您的密码和其他机密信息。

有时，破解者会以不直接损害初始攻击受害者甚至最终目标的方式使用僵尸计算机，尽管最终目的仍然相当阴险和不道德。

您可能见过甚至参与过一些基于互联网的投票。也许您甚至见过某个结果显得不寻常或反常的投票，尤其是在涉及比赛时。虽然投票完全有可能从未受到攻击，但已知破解者会利用僵尸计算机进行点击欺诈。点击欺诈指的是设置僵尸网络以重复点击特定链接的做法。有时，破解者会通过针对自己网站上的广告商来实施点击欺诈。由于网络广告商通常会根据广告获得的点击次数向网站支付一定费用，因此破解者可能会通过欺诈性网站访问赚取不少钱。

僵尸计算机及其背后的破解者相当可怕。您可能会成为身份盗窃的受害者，或者在不知情的情况下参与对重要网站的攻击。学习如何保护自己免受破解者侵害，以及如果发现您的计算机已被入侵应该怎么做，这一点很重要。

在下一节中，我们将探讨您应该采取哪些安全措施来防止您的计算机变成僵尸。

您不想让您的计算机变成僵尸，那么您该如何预防呢？最重要的一点是记住，预防是一个持续的过程——您不能只是设置好一切就期望永远受到保护。此外，重要的是要记住，除非您运用常识并养成谨慎的互联网习惯，否则您就是在自找麻烦。

杀毒软件是绝对必需的。无论您是购买像McAfee VirusScan这样的商业软件包，还是下载像AVG Anti-Virus Free Edition这样的免费程序，您都需要激活它并确保您的版本保持最新。一些专家表示，要真正有效，杀毒软件包需要每小时更新。这不切实际，但它确实强调了确保您的软件尽可能保持最新的重要性。欲了解更多信息，请阅读我们关于计算机病毒工作原理的文章。

安装间谍软件扫描程序以搜索恶意间谍软件。间谍软件包括监控您的互联网习惯的程序。有些甚至更进一步，记录您的按键并记录您在计算机上所做的一切。获取一个好的反间谍软件程序，例如 Lavasoft 的 Ad-Aware。像杀毒软件一样，确保程序保持最新。要了解更多信息，请阅读我们关于间谍软件工作原理的文章。

安装防火墙以保护您的家庭网络。防火墙可以是软件包的一部分，甚至可以集成到某些硬件（如路由器或调制解调器）中。要了解有关防火墙的更多信息，请务必阅读我们关于防火墙工作原理的文章。

您还应该确保您的密码难以或不可能被猜到，并且不应在多个应用程序中使用相同的密码。这使得记住所有这些密码很麻烦，但它为您提供了额外的保护层。

如果您的计算机已经被感染并变成了一台僵尸计算机，那么您的选择就所剩无几。如果您可以获得技术支持，让他们为您处理您的计算机，那将是最佳选择。如果不能，您可以尝试运行病毒清除程序来断开您的计算机与破解者之间的连接。不幸的是，有时您唯一的选择就是擦除计算机上的所有内容并重新加载其操作系统，然后从头开始。您应该定期为硬盘制作备份盘以防万一。请记住使用杀毒程序扫描这些文件，以确保它们都没有损坏。

您的计算机是一个宝贵的资源。不幸的是，破解者也这么认为——他们想让您的计算机成为他们自己的资源。如果您养成谨慎的互联网习惯并遵循我们在此页面上描述的提示，您的计算机保持安全的几率将非常高。

要了解更多关于僵尸计算机以及如何避免它们的信息，请查看下一页的链接。