中國盜版Windows傳播Nitol病毒引發微軟打擊

　　據國外媒體報道，一位深圳的客戶將一臺全新的筆記本電腦從箱子里面拿了出來，第一次把它打開。隨著屏幕點亮，這臺計算機正式開始自己的生命。但是這臺受隱藏于硬盤的病毒控制的機器開始在互聯網上搜尋另外一臺電腦。

　　這臺計算機應該是處于原始、直接出自工廠狀況，但卻立即成為了一個非法的全球網絡的部分，這個網絡能夠攻擊網站，搜索銀行賬戶并盜竊個人數據。

　　多年來，網絡調查者已經警告消費者，打開或者下載由未知或者可疑源頭發來的郵件的危險。他們指出，現在惡意軟件和計算機代碼可能甚至在外包裝打開前就已經潛伏于電腦上。

　　上述案例的購物者是微軟中國研究員團隊的成員之一，他們負責調查盜版軟件的銷售情況。他們偶然間認識到一種名為Nitol的惡意軟件。美國弗吉尼亞法庭周四披露的法庭文件描述了這起事件。這些文件描述了一個司法打擊活動的新陣地，該打擊活動由微軟發起，專門針對網絡犯罪。微軟是Windows操作系統的生產商，該系統是病毒的最大目標。

　　這些文件屬于微軟針對一位中國商人彭勇(Peng Yong，音譯)注冊的一個網絡域名所提起的計算機欺詐訴訟。該公司稱，這個域名是非法互聯網活動的焦點。這是Nitol和超過500種其他類型的惡意軟件的根據地，使其成為最大的受感染軟件單一儲存點。

　　彭勇是一家互聯網服務公司的老板，他表示自己并不知道微軟的訴訟，并否認存在違法行為，稱他的公司不允許在其域名3322.org上存在違法的行為。在這宗訴訟里，微軟還起訴了另外三位不知名的個人，他們建立和運營了這個Nitol網絡。

　　在法庭文件和對微軟官員的采訪中令人印象深刻的是，互聯網用戶已經變得非常脆弱，這種情況的部分原因在于電腦供應鏈的疲弱。為了增加利潤率，部分電腦生產商和零售商可能使用盜版軟件產品，從而降低裝機成本。要堵住這個漏洞幾乎不可能，尤其是在監管缺失的中國市場，這也為網絡犯罪創造了機會。

　　前美國政府檢察官理查德·博斯科維奇(Richard Boscovich)是微軟數字犯罪部門的資深代理律師，他表示：“他們改變了試圖攻擊你的方式。”

　　距離并不代表安全。例如，Nitol是一款具有侵略性的計算機病毒，出現在中國、美國、俄羅斯、澳大利亞和德國的計算機。微軟甚至已經找到了位于開曼群島、控制受Nitol感染的計算機的服務器。所有這些受感染的計算機成為了一個僵尸網絡的部分，這種網絡是網絡犯罪最普遍和具有持續性的工具之一。

　　同時，Nitol似乎也隨時準備進行攻擊。微軟數字犯罪部門的高級經理帕特里克·斯特拉頓(Patrick Stratton)指出，受感染率已經達到高峰。該部門向法庭提交一份文件，解釋Nitol及其與3322.org域名的關系。

　　對于微軟，打擊網絡犯罪是一項不錯生意。該公司的Windows操作系統運行大部分與互聯網連接的計算機。惡意軟件的受害者可能認為他們的問題源自于Windows，而不是他們覺察不到的病毒，這可能會損害該公司的品牌和聲譽。

　　博斯科維奇指出，一旦盜版軟件受到快速轉播的惡意軟件的感染，其中的利害關系就不僅包括微軟的形象。他說：“這不只是傳統的知識產權問題。這現在已經成為了安全問題。”

　　微軟電子犯罪部門發起的調查開始于2011年8月，是一項針對盜版Windows銷售和發行的調查。微軟在中國的員工從零售商處購買20臺新計算機，并帶到能夠連接互聯網的家里。

　　他們發現所有的計算機都使用盜版Windows操作系統，其中4臺預裝了惡意軟件。但是其中預裝了Nitol的計算機是最令人警醒的，因為這款惡意軟件非常活躍。

　　斯特拉頓在一份提交給法庭的文件中表示：“我們給這臺計算機通電后，這臺沒有接受過我們任何指令的計算機開始向互聯網延伸，試圖聯系一臺我們不熟悉的計算機。”

　　斯特拉頓和他的同事還發現Nitol具有非常高的傳染性。他們將一個U盤插入計算機，該病毒馬上將自己復制到里面。當U盤插入到另外的機器上，Nitol很快就將自己復制到該計算機里。

　　根據法庭文件，微軟檢查了數千個Nitol的樣本，所有都和與3322.org這個域名有關的指揮和控制服務器相連接。

　　微軟在其訴訟中表示：“簡單說，3322.org是一個違法犯罪活動的主樞紐，犯罪分子時時刻刻都利用這個樞紐向全球無辜消費者的計算機傳播惡意軟件和指令。”

　　彭勇是3322.org的注冊所有人，他表示自己對于濫用域名“零容忍”并且已經與中國的執法部門合作。但是，他表示，自己有大量的用戶，使得偵查工作非常困難。

　　彭勇在微博的私信上表示：“我們的政策一貫是反對將我們的域名用于惡意用途。我們目前擁有285萬個域名，不可能不包括那些可能使用域名進行惡意用途的個人。”

　　但是博斯科維奇指出，彭勇過往忽視了由其他網絡安全公司提起的警告。根據計算機安全公司 Zscaler，3322.org這個域名占2009年全球惡意網絡交易的17%以上。在2008年，俄羅斯安全公司卡巴斯基報告稱，所有的惡意軟件中40%在一定程度上與3322.org有關聯。

　　美國地區法庭法官杰拉德·布魯斯·李(Gerald Bruce Lee)同意了微軟的請求，準許將受Nitol及其他惡意軟件感染的互聯網流量從3322.org轉移至一個名為sinkhole的特別網站。在那里，微軟可以提醒受感染的計算機用戶升級他們的反病毒病毒軟件，并清除Nitol。

　　根據微軟，自從這位法官發出命令以來，超過3700萬的惡意連接已經從3322.org斷開。