殭屍網絡

網絡視圖(15張)

在Botnet的概念中有這樣幾個關鍵詞。“bot程序”是robot的縮寫，是指實現惡意控制功能的程序代碼；“殭屍計算機”就是被植入bot的計算機；“控制服務器（Control Server）”是指控制和通信的中心服務器，在基於IRC（因特網中繼聊天）協議進行控制的Botnet中，就是指提供IRC聊天服務的服務器 ^[1]  。殭屍網絡是一種由引擎驅動的惡意因特網行為：DDoS攻擊是利用服務請求來耗盡被攻擊網絡的系統資源，從而使被攻擊網絡無法處理合法用户的請求。 DDoS 攻擊有多種形式，但是能看到的最典型的就是流量溢出，它可以消耗大量的帶寬，卻不消耗應用程序資源。DDoS 攻擊並不是新鮮事物。在過去十年中，隨着殭屍網絡的興起，它得到了迅速的壯大和普遍的應用。殭屍網絡為 DDoS 攻擊提供了所需的“火力”帶寬和計算機以及管理攻擊所需的基礎架構。

是一個可控制的網絡，這個網絡並不是指物理意義上具有拓撲結構的網絡，它具有一定的分佈性，隨着bot程序的不斷傳播而不斷有新位置的殭屍計算機添加到這個網絡中來 ^[1]  。殭屍病毒被人放到計算機時機器會滴滴的響上2秒

這個網絡是採用了一定的惡意傳播手段形成的，例如主動漏洞攻擊，郵件病毒等各種病毒與蠕蟲的傳播手段，都可以用來進行Botnet的傳播，從這個意義上講，惡意程序bot也是一種病毒或蠕蟲 ^[1]  。

也是Botnet的最主要的特點，就是可以一對多地執行相同的惡意行為，比如可以同時對某目標網站進行分佈式拒絕服務（DDos）攻擊，同時發送大量的垃圾郵件等，而正是這種一對多的控制關係，使得攻擊者能夠以極低的代價高效地控制大量的資源為其服務，這也是Botnet攻擊模式近年來受到黑客青睞的根本原因。在執行惡意行為的時候，Botnet充當了一個攻擊平台的角色，這也就使得Botnet不同於簡單的病毒和蠕蟲，也與通常意義的木馬有所不同 ^[1]  。這裏我們可以引用國內外一些研究者的一些定義。殭屍網絡是攻擊者出於惡意目的，傳播殭屍程序bot以控制大量計算機，並通過一對多的命令與控制信道所組成的網絡，我們將之稱之為殭屍網絡，botnet。

殭屍網絡是互聯網上受到黑客集中控制的一羣計算機，往往被黑客用來發起大規模的網絡攻擊，如分佈式拒絕服務攻擊(DDoS)、海量垃圾郵件等，同時黑客控制的這些計算機所保存的信息，譬如銀行賬户的密碼與社會安全號碼等也都可被黑客隨意“取用”。因此，不論是對網絡安全運行還是用户數據安全的保護來説，殭屍網絡都是極具威脅的隱患。殭屍網絡的威脅也因此成為目前一個國際上十分關注的問題。然而，發現一個殭屍網絡是非常困難的，因為黑客通常遠程、隱蔽地控制分散在網絡上的“殭屍主機”，這些主機的用户往往並不知情。因此，殭屍網絡是目前互聯網上黑客最青睞的作案工具。

對網友而言，感染上“殭屍病毒”卻十分容易。網絡上搔首弄姿的美女、各種各樣有趣的小遊戲，都在吸引着網友輕輕一點鼠標。但事實上，點擊之後毫無動靜，原來一切只是騙局，意在誘惑網友下載有問題的軟件。一旦這種有毒的軟件進入到網友電腦，遠端主機就可以發號施令，對電腦進行操控。下載時只用一種殺毒軟件查不出來。

專家表示，每週平均新增數十萬台任人遙控的殭屍電腦，任憑遠端主機指揮，進行各種不法活動。多數時候，殭屍電腦的主人根本不曉得自己已被選中，任人擺佈。

殭屍網絡之所以出現，在家高速上網越來越普遍也是原因。高速上網可以處理(或製造)更多的流量，但高速上網家庭習慣將電腦長時間開機，唯有電腦開機，遠端主機才可以對殭屍電腦發號施令。

網絡專家稱：“重要的硬件設施雖然非常重視殺毒、防黑客，但網絡真正的安全漏洞來自於住家用户，這些個體户欠缺自我保護的知識，讓網絡充滿地雷，進而對其他用户構成威脅。”

Botnet是隨着自動智能程序的應用而逐漸發展起來的。在早期的IRC聊天網絡中，有一些服務是重複出現的，如防止頻道被濫用、管理權限、記錄頻道事件等一系列功能都可以由管理者編寫的智能程序所完成。於是在1993 年，在IRC 聊天網絡中出現了Bot 工具——Eggdrop，這是第一個bot程序，能夠幫助用户方便地使用IRC 聊天網絡。這種bot的功能是良性的，是出於服務的目的，然而這個設計思路卻為黑客所利用，他們編寫出了帶有惡意的Bot 工具，開始對大量的受害主機進行控制，利用他們的資源以達到惡意目標。 ^[1] 

20世紀90年代末，隨着分佈式拒絕服務攻擊概念的成熟，出現了大量分佈式拒絕服務攻擊工具如TFN、TFN2K和Trinoo，攻擊者利用這些工具控制大量的被感染主機，發動分佈式拒絕服務攻擊。而這些被控主機從一定意義上來説已經具有了Botnet的雛形。 ^[1] 

1999 年，在第八屆DEFCON 年會上發佈的SubSeven 2.1 版開始使用IRC 協議構建攻擊者對殭屍主機的控制信道，也成為第一個真正意義上的bot程序。隨後基於IRC協議的bot程序的大量出現，如GTBot、Sdbot 等，使得基於IRC協議的Botnet成為主流。 ^[1] 

2003 年之後，隨着蠕蟲技術的不斷成熟，bot的傳播開始使用蠕蟲的主動傳播技術，從而能夠快速構建大規模的Botnet。著名的有2004年爆發的Agobot/Gaobot 和rBot/Spybot。同年出現的Phatbot 則在Agobot 的基礎上，開始獨立使用P2P 結構構建控制信道。 ^[1] 

從良性bot的出現到惡意bot的實現，從被動傳播到利用蠕蟲技術主動傳播，從使用簡單的IRC協議構成控制信道到構建複雜多變P2P結構的控制模式，Botnet逐漸發展成規模龐大、功能多樣、不易檢測的惡意網絡，給當前的網絡安全帶來了不容忽視的威脅。 ^[1] 

Botnet的工作過程包括傳播、加入和控制三個階段。

一個Botnet首先需要的是具有一定規模的被控計算機，而這個規模是逐漸地隨着採用某種或某幾種傳播手段的bot程序的擴散而形成的，在這個傳播過程中有如下幾種手段：

（1）主動攻擊漏洞。其原理是通過攻擊系統所存在的漏洞獲得訪問權，並在Shellcode 執行bot程序注入代碼，將被攻擊系統感染成為殭屍主機。屬於此類的最基本的感染途徑是攻擊者手動地利用一系列黑客工具和腳本進行攻擊，獲得權限後下載bot程序執行。攻擊者還會將殭屍程序和蠕蟲技術進行結合，從而使bot程序能夠進行自動傳播，著名的bot樣本AgoBot，就是實現了將bot程序的自動傳播。 ^[1] 

（2）郵件病毒。bot程序還會通過發送大量的郵件病毒傳播自身，通常表現為在郵件附件中攜帶殭屍程序以及在郵件內容中包含下載執行bot程序的鏈接，並通過一系列社會工程學的技巧誘使接收者執行附件或點擊鏈接，或是通過利用郵件客户端的漏洞自動執行，從而使得接收者主機被感染成為殭屍主機。 ^[1] 

（3）即時通信軟件。利用即時通信軟件向好友列表中的好友發送執行殭屍程序的鏈接，並通過社會工程學技巧誘騙其點擊，從而進行感染，如2005年年初爆發的MSN性感雞（Worm.MSNLoveme）採用的就是這種方式。

（4）惡意網站腳本。攻擊者在提供Web服務的網站中在HTML頁面上綁定惡意的腳本，當訪問者訪問這些網站時就會執行惡意腳本，使得bot程序下載到主機上，並被自動執行。 ^[1] 

（5）特洛伊木馬。偽裝成有用的軟件，在網站、FTP服務器、P2P 網絡中提供，誘騙用户下載並執行。 ^[1] 

通過以上幾種傳播手段可以看出，在Botnet的形成中傳播方式與蠕蟲和病毒以及功能複雜的間諜軟件很相近。

在加入階段，每一個被感染主機都會隨着隱藏在自身上的bot程序的發作而加入到Botnet中去，加入的方式根據控制方式和通信協議的不同而有所不同。在基於IRC協議的Botnet中，感染bot程序的主機會登錄到指定的服務器和頻道中去，在登錄成功後，在頻道中等待控制者發來的惡意指令。如圖《加入階段》為在實際的Botnet中看到的不斷有新的bot加入到Botnet中的行為。 ^[1] 

在控制階段，攻擊者通過中心服務器發送預先定義好的控制指令，讓被感染主機執行惡意行為，如發起DDos攻擊、竊取主機敏感信息、更新升級惡意程序等。如圖《控制階段》為觀測到的在控制階段向內網傳播惡意程序的Botnet行為。

Botnet根據分類標準的不同，可以有多許多種分類。

按bot程序種類

（1）Agobot/Phatbot/Forbot/XtremBot。這可能是最出名的殭屍工具。防病毒廠商Spphos 列出了超過500種已知的不同版本的Agobot(Sophos 病毒分析)，這個數目也在穩步增長。殭屍工具本身使用跨平台的C++寫成。Agobot 最新可獲得的版本代碼清晰並且有很好的抽象設計，以模塊化的方式組合，添加命令或者其他漏洞的掃描器及攻擊功能非常簡單，並提供像文件和進程隱藏的Rootkit 能力在攻陷主機中隱藏自己。在獲取該樣本後對它進行逆向工程是比較困難的，因為它包含了監測調試器(Softice 和O11Dbg)和虛擬機（VMware 和Virtual PC）的功能。 ^[1] 

（2）SDBot/RBot/UrBot/SpyBot/。這個家族的惡意軟件目前是最活躍的bot程序軟件，SDBot 由C語言寫成。它提供了和Agobot 一樣的功能特徵，但是命令集沒那麼大，實現也沒那麼複雜。它是基於IRC協議的一類bot程序。 ^[1] 

（3）GT-Bots。GT-Bots是基於當前比較流行的IRC客户端程序mIRC編寫的，GT是（Global Threat）的縮寫。這類殭屍工具用腳本和其他二進制文件開啓一個mIRC聊天客户端, 但會隱藏原mIRC窗口。通過執行mIRC腳本連接到指定的服務器頻道上，等待惡意命令。這類bot程序由於捆綁了mIRC程序，所以體積會比較大，往往會大於1MB。 ^[1] 

按Botnet控制方式

（1）IRC Botnet。是指控制和通信方式為利用IRC協議的Botnet，形成這類Botnet的主要bot程序有spybot、GTbot和SDbot，目前絕大多數Botnet屬於這一類別。 ^[1] 

（2）AOL Botnet。與IRC Bot類似，AOL為美國在線提供的一種即時通信服務，這類Botnet是依託這種即時通信服務形成的網絡而建立的，被感染主機登錄到固定的服務器上接收控制命令。AIM-Canbot和Fizzer就採用了AOL Instant Messager實現對Bot的控制。 ^[1] 

（3）P2P Botnet。這類Botnet中使用的bot程序本身包含了P2P的客户端，可以連入採用了Gnutella技術（一種開放源碼的文件共享技術）的服務器，利用WASTE文件共享協議進行相互通信。由於這種協議分佈式地進行連接，就使得每一個殭屍主機可以很方便地找到其他的殭屍主機並進行通信，而當有一些bot被查殺時，並不會影響到Botnet的生存，所以這類的Botnet具有不存在單點失效但實現相對複雜的特點。Agobot和Phatbot採用了P2P的方式。 ^[1] 

Botnet構成了一個攻擊平台，利用這個平台可以有效地發起各種各樣的攻擊行為，可以導致整個基礎信息網絡或者重要應用系統癱瘓，也可以導致大量機密或個人隱私泄漏，還可以用來從事網絡欺詐等其他違法犯罪活動。下面是已經發現的利用Botnet發動的攻擊行為。隨着將來出現各種新的攻擊類型，Botnet還可能被用來發起新的未知攻擊。 ^[1] 

使用Botnet發動DDos攻擊是當前最主要的威脅之一，攻擊者可以向自己控制的所有bots發送指令，讓它們在特定的時間同時開始連續訪問特定的網絡目標，從而達到DDos的目的。由於Botnet可以形成龐大規模，而且利用其進行DDos攻擊可以做到更好地同步，所以在發佈控制指令時，能夠使得DDos的危害更大，防範更難。 ^[1] 

一些bots會設立sockv4、v5 代理，這樣就可以利用Botnet發送大量的垃圾郵件，而且發送者可以很好地隱藏自身的IP信息。 ^[1] 

Botnet的控制者可以從殭屍主機中竊取用户的各種敏感信息和其他秘密，例如個人賬號、機密數據等。同時bot程序能夠使用sniffer觀測感興趣的網絡數據，從而獲得網絡流量中的秘密。 ^[1] 

攻擊者利用Botnet從事各種需要耗費網絡資源的活動，從而使用户的網絡性能受到影響，甚至帶來經濟損失。例如：種植廣告軟件，點擊指定的網站；利用殭屍主機的資源存儲大型數據和違法數據等，利用殭屍主機搭建假冒的銀行網站從事網絡釣魚的非法活動。

可以看出，Botnet無論是對整個網絡還是對用户自身，都造成了比較嚴重的危害，我們要採取有效的方法減少Botnet的危害。

網絡安全商fortiguard labs的網絡安全研究報告指出，虛擬貨幣的殭屍挖礦ZeroAccess已經成為全球網絡當下主要威脅。ZeroAccess的主要攻擊手段是click fraud和virtual mining，通過控制大量殭屍主機進行挖礦活動，近期由於比特幣等虛擬貨幣的價值飆升，ZeroAccess的獲利可能出乎想象。 ^[2] 

對於Botnet的研究是最近幾年才逐漸開始的，從反病毒公司到學術研究機構都做了相關的研究工作。最先研究和應對Botnet的是反病毒廠商。它們從bot程序的惡意性出發，將其視為一種由後門工具、蠕蟲、Spyware 等技術結合的惡意軟件而歸入了病毒的查殺範圍。著名的各大反病毒廠商都將幾個重要的bot程序特徵碼寫入到病毒庫中。賽門鐵克從2004 年開始，在其每半年發佈一次的安全趨勢分析報告中，以單獨的章節給出對Botnet活動的觀測結果。卡巴斯基也在惡意軟件趨勢分析報告中指出，殭屍程序的盛行是2004年病毒領域最重大的變化。 ^[1] 

學術界在2003年開始關注Botnet的發展。國際上的一些蜜網項目組和蜜網研究聯盟的一些成員使用蜜網分析技術對Botnet的活動進行深入跟蹤和分析，如Azusa Pacific大學的Bill McCarty、法國蜜網項目組的Richard Clarke、華盛頓大學Dave Dittrich和德國蜜網項目組。特別是德國蜜網項目組在2004年11月到2005 年1月通過部署Win32蜜罐機發現並對近100個Botnet進行了跟蹤，併發布了Botnet跟蹤的技術報告。 ^[1] 

Botnet的一個主要威脅是作為攻擊平台對指定的目標發起DDos（分佈式拒絕服務攻擊）攻擊，所以DDos的研究人員同樣也做了對Botnet的研究工作。由國外DDosVax組織的“Detecting Bots in Internet Relay Chat Systems”項目中，分析了基於IRC協議的bot程序的行為特徵，在網絡流量中擇選出對應關係，從而檢測出Botnet的存在。該組織的這個研究方法通過在plantlab中搭建一個Botnet的實驗環境來進行測試，通過對得到的數據進行統計分析，可以有效驗證關於Botnet特徵流量的分析結果，但存在着一定的誤報率。 ^[1] 

國內在2005年時開始對Botnet有初步的研究工作。北京大學計算機科學技術研究所在2005年1月開始實施用蜜網跟蹤Botnet的項目，對收集到的惡意軟件樣本，採用了沙箱、蜜網這兩種各有優勢的技術對其進行分析，確認其是否為殭屍程序，並對殭屍程序所要連接的Botnet控制信道的信息進行提取，最終獲得了60,000 多個殭屍程序樣本分析報告，並對其中500多個仍然活躍的Botnet進行跟蹤，統計出所屬國分佈、規模分佈等信息。 ^[1] 

國家應急響應中心通過863－917網絡安全監測平台，在2005年共監測到的節點大於1000個的Botnet規模與數量統計如圖4所示。

這些數據和活動情況都説明，我國國內網上的Botnet的威脅比較嚴重，需要引起網絡用户的高度重視。

CCERT惡意代碼研究項目組在2005年7月開始對Botnet的研究工作，通過對大量已經掌握的Botnet的實際跟蹤與深入分析，對基於IRC協議的Botnet的服務器端的特徵進行了分類提取，形成對於Botnet 服務器端的判斷規則，從而可以對網絡中的IRC Server進行性質辨別。設計並初步實現了Botnet自動識別系統，應用於中國教育和科研計算機網絡環境中。

可以看出，從國內到國外，自2004年以來對Botnet的研究越來越多地受到網絡安全研究人員的重視，研究工作已經大大加強。但是這些工作還遠遠不夠，在檢測和處置Botnet方面還有許多工作要做。

綜述

對於目前比較流行的基於IRC協議的Botnet的研究方法，主要使用蜜網技術、網絡流量研究以及IRC Server識別技術。

使用蜜網技術

蜜網技術是從bot程序出發的，可以深入跟蹤和分析Botnet的性質和特徵。蜜網有着三大核心需求：即數據控制、數據捕獲和數據分析 ^[1]  。主要的研究過程是，首先通過密罐等手段儘可能多地獲得各種流傳在網上的bot程序樣本；當獲得bot程序樣本後，採用逆向工程等惡意代碼分析手段，獲得隱藏在代碼中的登錄Botnet所需要的屬性，如Botnet服務器地址、服務端口、指定的惡意頻道名稱及登錄密碼，以及登錄所使用到的用户名稱，這些信息都為今後有效地跟蹤Botnet和深入分析Botnet的特徵提供了條件。在具備了這些條件之後，使用偽裝的客户端登錄到Botnet中去，當確認其確實為Botnet後，可以對該Botnet採取相應的措施 ^[1]  。

網絡流量研究

網絡流量的研究思路是通過分析基於IRC協議的Botnet中殭屍主機的行為特徵，將殭屍主機分為兩類：長時間發呆型和快速加入型。具體來説就是殭屍主機在Botnet中存在着三個比較明顯的行為特徵，一是通過蠕蟲傳播的殭屍程序，大量的被其感染計算機會在很短的時間內加入到同一個IRC Server中；二是殭屍計算機一般會長時間在線；三是殭屍計算機作為一個IRC聊天的用户，在聊天頻道內長時間不發言，保持空閒。將第一種行為特徵歸納為快速加入型，將第二、三種行為特徵歸納為長期發呆型 ^[1]  。

研究對應這兩類殭屍計算機行為的網絡流量變化，使用離線和在線的兩種分析方法，就可以實現對Botnet的判斷。

IRC Server 識別技術的研究

通過登錄大量實際的基於IRC協議的Botnet的服務器端，可以看到，由於攻擊者為了隱藏自身而在服務器端刻意隱藏了IRC服務器的部分屬性。同時，通過對bot源代碼的分析看到，當被感染主機加入到控制服務器時，在服務器端能夠表現出許多具有規律性的特徵。通過對這些特徵的歸納總結，就形成了可以用來判斷基於IRC協議的Botnet的服務器端的規則，這樣就可以直接確定出Botnet的位置及其規模、分佈等性質，為下一步採取應對措施提供有力的定位支持。 ^[1] 

以上三種研究方法都是針對基於IRC協議的Botnet。對於P2P結構的Botnet的研究較少，原因是由於其實現比較複雜，在網絡中並不佔有太大比例，同時也因為其在控制方式上的分佈性使得對它的研究比較困難。但隨着Botnet的發展，對於P2P結構的Botnet的研究也將進一步深入。

採用Web過濾服務

Web過濾服務是迎戰殭屍網絡的最有力武器。這些服務掃描Web站點發出的不正常的行為，或者掃描已知的惡意活動，並且阻止這些站點與用户接觸。

Websense、Cyveillance 、FaceTime都是很好的例子。它們都可以實時地監視互聯網，並查找從事惡意的或可疑的活動的站點，如下載JavaScript或執行screen scrapes等正常Web瀏覽之外的其它騙局。Cyveillance 和Support Intelligence還提供另外一種服務：通知Web站點操作人員及ISP等惡意軟件已經被發現，因此黑客攻擊的服務器能被修復，他們如是説。

轉換瀏覽器

防止殭屍網絡感染的另一種策略是瀏覽器的標準化，而不是僅僅依靠微軟的Internet Explorer 或Mozilla 的Firefox.當然這兩者確實是最流行的，不過正因為如此，惡意軟件作者們通常也樂意為它們編寫代碼。同樣的策略也適用於操作系統。據統計，Macs很少受到殭屍網絡的侵擾，正如桌面Linux操作系統，因為大多數殭屍的罪魁禍首都把目標指向了流行的Windows.

禁用腳本

另一個更加極端的措施是完全地禁用瀏覽器的腳本功能，雖然有時候這會不利於工作效率，特別是如果僱員們在其工作中使用了定製的、基於Web的應用程序時，更是這樣。

部署防禦系統

另一種方法是調整你的IDS(入侵檢測系統)和IPS(入侵防禦系統)，使之查找有殭屍特徵的活動。例如，重複性的與外部的IP地址連接或非法的DNS地址連接都是相當可疑的。雖然難於發現，不過，另一個可以揭示殭屍的徵兆是在一個機器中SSL通信的突然上升，特別是在某些端口上更是這樣。這就可能表明一個殭屍控制的通道已經被激活了。您需要找到那些將電子郵件路由到其它服務器而不是路由到您自己的電子郵件服務器的機器，它們也是可疑的。殭屍網絡的專家Gadi Evron進一步建議，您應該學會監視在高層對Web進行訪問的傢伙。它們會激活位於一個Web頁面上的所有的鏈接，而一個高層次的訪問可能會指明一台機器正被一個惡意的Web站點所控制。

一個IPS或IDS系統可以監視不正常的行為，這些行為指明瞭難於發現的、基於HTTP的攻擊和來自遠程過程的攻擊、Telnet和地址解析協議(即ARP)欺騙等等。然而，值得注意的是，許多IPS檢測器使用基於特徵的檢測技術，也就是説，這些攻擊被發現時的特徵被添加到一個數據庫中，如果數據庫中沒有有關的特徵就無法檢測出來。因此，IPS或IDS就必須經常性的更新其數據庫以識別有關的攻擊，對於犯罪活動的檢測需要持續不斷的努力。

保護用户生成的內容

還應該保護你的WEB操作人員，使其避免成為“稀裏糊塗”的惡意軟件犯罪的幫兇。如果你並沒有朝着WEB 2.0社會網絡邁進，你公司的公共博客和論壇就應該限制為只能使用文本方式，這也是Web Crossing的副總裁Michael Krieg的觀點，他是社會化網絡軟件和主機服務的創造者。

Krieg 説，“我並不清楚我們成千上萬的用户有哪一個在消息文本中允許了JavaScript，我也不清楚誰在其中嵌入了代碼和其它的HTML標籤。我們不允許人們這樣做。我們的應用程序在默認情況下要將這些東西剝離出去。”

Dan Hubbard是Websense安全研究的副總裁，他補充説，“那是用户創建內容站點的一個嚴重問題，即Web 2.0現象。你怎麼才能在允許人們上傳內容的強大功能與不允許他們上傳不良的東西之間尋求平衡呢?”

這個問題的答案是很明確的。如果你的站點需要讓會員或用户交換文件，就應該進行設置，使其只允許有限的和相對安全的文件類型，如那些以。jpeg或mp3為擴展名的文件。(不過，惡意軟件的作者們已經開始針對MP3等播放器類型，編寫了若干蠕蟲。而且隨着其技術水平的發現，有可能原來安全的文件類型也會成為惡意軟件的幫兇。)

使用補救工具

如果你發現了一台被感染的計算機，那麼一個臨時應急的重要措施就是如何進行補救。像Symantec等公司都宣稱，他們可以檢測並清除即使隱藏最深的rootkit感染。Symantec在這裏指明瞭Veritas和VxMS(Veritas Mapping Service)技術的使用，特別是VxMS讓反病毒掃描器繞過Windows 的文件系統的API(API是被操作系統所控制的，因此易於受到rootkit的操縱)。其它的反病毒廠商也都試圖保護系統免受rootkit的危害，如McAfee 和FSecure等。

不過，Evron認為，事後進行的檢測所謂的惡意軟件真是一個錯誤!因為它會使IT專家確信他們已經清除了殭屍，而其實呢，真正的殭屍代碼還駐留在計算機上。他説，“反病毒並非是一個解決方案，因為它是一個自然的反應性的東西。反病毒能夠識別有關的問題，因而反病毒本身也會被操縱、利用。” 　這並不是説你不應該設法實施反病毒軟件中最好的對付rootkit的工具，不過你要注意這樣做就好似是在你丟失了貴重物品後再買個保險箱而已。用一句成語講，這就叫做“亡羊補牢”。Evron相信，保持一台計算機絕對安全乾淨、免受殭屍感染的方法是對原有的系統徹底清楚，並從頭開始安裝系統。

不要讓你的用户訪問已知的惡意站點，並監視網絡中的可疑行為，保護你的公共站點免受攻擊，你的網絡就基本上處於良好狀態。這是安全專家們一致的觀點。

可以注意到，如果一個網絡工作人員對於網絡安全百思不得其解，並會油然而生這樣一種感覺，‘我應該怎麼對付這些數以百萬的殭屍呢?’。“其實，答案非常簡單。正如，FaceTime 的惡意軟件研究主管Chris Boyd所言，”只需斷開你的網絡，使其免受感染─病毒、木馬、間諜軟件或廣告軟件等……。將它當作一台PC上的一個流氓文件來進行清除(不過，誰又能保證真正清除乾淨呢?)。這就是你需要做的全部事情。

手機殭屍網絡特徵

手機流量總不夠用、自動安裝陌生軟件、彈通知欄廣告，你可能遇到了中國最大的安卓手機殭屍網絡的攻擊。這是一款叫做Android.Troj.mdk的後門程序（簡稱MDK），感染率高達千分之七，總計感染了不少於105萬部智能手機。用户手機中招後，流量消耗劇增、廣告頻繁彈出、機器變卡變慢，隱私被竊取甚至存在被監聽被跟蹤的隱患。

手機殭屍網絡是由攻擊者通過手機殭屍程序構建的，可以通過一對多的命令控制信道遠程控制的、協同的只能手機羣，“手機殭屍程序”特別突出構建在手機平台；“一對多的命令與控制信道”是殭屍網絡區別於其他網絡攻擊的本質特徵，正是這種一對多的控制關係使得攻擊者可以以極地的代價控制大量的資源併為其服務，“協同性”則用來突出殭屍網絡具有的基於其規模的特有的攻擊方式，如DDos等 ^[3]  。

手機殭屍網絡傳播途徑

惡意廣告作者將正常的遊戲應用，流行應用進行重新打包，然後再發布到市場，由於帶有正常遊戲或正常應用功能因此用户很難發現問題 ，並有可能會將遊戲推薦給你身邊的朋友。同時，惡意廣告作者會進行後台刷榜，一提升用户熱度，從而用户將流失流量。

手機殭屍網絡與傳統殭屍網絡的區別

手機平台的特殊性決定了手機殭屍網絡與傳統殭屍網絡相比較而言的特殊性。

手機殭屍網絡必須藉助傳統服務器構建和維護，手機間的通訊方式除了可以通過3G/Wifi接入Internet實現網絡通信，還可以藉助SMS/MMS等固有通信方式和藍牙、紅外燈局域通信協議，這就為組建手機殭屍網絡提供了靈活性 ^[3]  。

手機殭屍網絡更易造成用户的財產損失，手機殭屍網絡可以對用户的隱私安全威脅更大 ^[3]  。