前不久，涉嫌介入蝴蝶（Mariposa）僵尸网络的网络嫌犯被捕，微软采取法律行动击溃Waledac僵尸网络的控制，这一系列事件显示出迎战僵尸网络犯罪的防御战取得了阶段性的成果。但SecureWorks公司的恶意软件研究主管兼僵尸网络专家Joe Stewar认为法律和司法方面的复杂问题依然存在。在2010年RSA大会的采访中，Stewart分析了现有的工具和资源是否能够在僵尸网络战中赢得胜利。他表示，在战争宣布胜利以前我们还需要做更多的工作。Stewart称，一旦某个僵尸网络被击溃，网络罪犯会迅速重新部署新的僵尸网络来散布恶意软件并截获数据。

　　请为我们谈谈僵尸网络的演变历程。它们是从什么时候开始迅速扩张的？是从SpamThru开始的吗？

　　Joe Stewart:僵尸网络由来已久，这要追溯到1990年代的因特网中继聊天（IRC），当时的人们希望在离开的情况下也能维持聊天状态，所以他们开始制造自动化的脚本（也就是后来的“僵尸”）来替人操作电脑。人们后来逐渐往里面添加新的功能以至于“僵尸”逐渐变得越来越厉害。有些人编写出的僵尸能够将别人挤出控制台，从那时起僵尸开始升级壮大进而统领了整个发展趋势，编写者的意图逐渐多样化（诸如：DDoS拒绝服务攻击）。从上个世纪末到2001年，用于更大型网络犯罪的僵尸逐渐出现。它从IRC社区中独立发展出来展开网银欺诈、垃圾邮件和DDoS攻击。

　　如何评估僵尸网络的强度？规模的大小是否起到决定作用？

　　Stewart：当我们谈到DDoS僵尸网络之类的攻击时，强度只是僵尸的一种特征，体现的是击溃某一网络需要多少能量。但并不是所有的僵尸网络都被设计来做这些事。在网银欺诈之类的僵尸网络中你是看不到多少流量的。我们总是试图掌握僵尸网络的总数。有多少人被感染了？他们使用了何种方式将PC机引入僵尸网络？这是我们密切关注的问题，也是对我们来说更为重要的衡量标准。

　　你们对Conficker采取的方式就是这样的，对吗？

　　Stewart:是的。对Conficker来说，掌握它发展的速度非常重要，这样我们能够在不同的层面上采取防御措施防止新的PC机连入这一僵尸网络。然而现在看来，加入了僵尸网络的数量要远远多过没有加入的，所以我们的任务还很艰巨。

　　有什么方式能够彻底关闭僵尸网络呢？我们知道McColo行动中断了某些僵尸网络。微软采取法律措施取缔了Waledac僵尸网络的控制。这类的行动是否会带来某些积极的效果呢？

　　Stewart:大家提高了安全意识，都在努力解决这一问题，这非常好。但是摧毁僵尸网络并不能够阻断僵尸网络背后的网络犯罪活动。很显然，他们是通过僵尸网络发起各种各样的攻击来攫取钱财，那么他们就不会仅仅因微软取缔了他们的僵尸网络而就此罢手。他们肯定会部署新的僵尸。他们能轻易地通过Web攻击将恶意软件散布出去，发送带病毒的恶意电邮。所以，他们能够很快地重建僵尸网络，恢复昔日的业务运作。我们需要融合ISP、行业专家以及法律手段，展开全面合作。总而言之，你必须阻止僵尸网络背后的主使者，而不仅仅是僵尸网络本身。

　　接下来让我们来谈谈极光行动（Operation Aurora）——针对Google和将近二十多家其它公司的攻击事件。你从代码的分析中有什么发现？

　　Stewart: Google能站出来承认这一事实很不可思议，因为我们在过去五年间经常看到这类活动。大多数遭到这一攻击的公司都不会对外声明。事情就怪在这儿。这种攻击存在已久，非常典型。它仅仅是种为特定的目的而编写的隐秘木马，并不高深。没有人注意到它是因为它没有很大范围的覆盖面。