微软发布一次带外更新，针对其恶意软件清除工具（Malicious Software Removal Tool，MSRT），提供了检测Coreflood僵尸网络感染的能力，加强对Coreflood的清除。

　　本周发布的这个更新，帮助微软打击了新的感染，削弱了僵尸网络的再生能力和产生新变种的能力。该更新是在美国联邦调查局和司法部意外获得法院命令后发布的，命令指示在美国范围内没收命令控制服务器，直接终止受害者机器上的僵尸网络。

　　微软表示，最新的MSRT工具包含恶意软件的签名，可以检测到Afcore的变种（该变种由犯罪分子发布，时间同前一版MSRT发布的时间差不多）。主要集团项目经理Jeff Williams在微软恶意保护中心的博客中写道，前一版是4月12日更新的，在微软的常规不定周期内发布的。

　　“当需要清除活动支持或恶意软件潜在威胁很大时，我们可以，并会根据需要发布MSRT，”Williams写道，“这次的更新是需求需要，我们欢迎未来还有其他需求。”

　　Williams补充道，最新的版本还包含针对其他恶意软件家族的额外僵尸网络检测能力。此次更新还增加了针对微软Security Essentials和Forefront产品的恶意软件签名。

　　对企业网络而言，Coreflood僵尸网络是一个严重的威胁，因为网络犯罪分子们将它设计成针对拥有多台主机的网络。一旦感染，僵尸网络将像真空吸尘器一样，使用一个键盘记录器记录键击，吸干财务数据和敏感的公司信息，包括知识产权。

　　执法人员得到指令，让美国托管服务提供商关闭流氓Coreflood命令和控制服务。官方查封了5个命令和控制服务器以及29个僵尸网络使用的域名。

　　Coreflood一直是安全研究人员和执法机关棘手的问题，因为它可以迅速蔓延且在受害者的机器上不会被检测到。在过去的十年，该僵尸网络变得越来越强大，目前认为世界范围内有超过两百万的电脑被感染。

　　一旦机器被感染， Coreflood Afcore恶意软件会悄悄地自行安装，并在后台运行，从而窃取个人信息，包括帐户凭据和财务资料，并以此受感染机器为跳板攻击其他计算机。

　　一些安全研究人员和隐私激进分子质疑司法部和联邦调查局的行动，因为为了组织恶意软件，执法人员收集受害者机器的IP地址并干扰了他们的进程。电子前沿基金会（EEF）告诉Wired杂志，Coreflood的行为尚不“不确定”，也许会损坏机器。

　　英国的安全厂商Sophos技术负责人Paul Ducklin写道，EEF的关注是有效的，执法部门对Coreflood的行动似乎已经成功。在他公司Naked Security的博客中，Ducklin提出的数据显示，美国尝试链接Coreflood命令和控制服务器的PC数量急剧下降。

　　“也许听起来有些反对的意味，但除非你知道每台PC机上准确的僵尸网络变种，否则总有试图链接僵尸网络的潜在风险，”Ducklin写道，“对那些受感染的机器发送“停止”命令明显不如简单的将它们从服务器上关闭有效。”