一年以前，微软宣布其网络犯罪调查部与业界及学术界专家合作，成功关闭Waledac垃圾邮件僵尸网络。这次合作被命名为“b49行动”。今天，我高兴的宣布，基于从“b49行动”中收获的知识和经验，微软成功的瓦解了规模更大结构更复杂的Rustock垃圾邮件僵尸网络。Rustock感染并控制了全球将近一百万台个人电脑，并且能每天发送几十上百亿封垃圾邮件，内容包括虚假抽奖信息，以及假冒的，甚至是危险的处方药物。

      这次代号为 “b107”的行动是微软第二个备受瞩目的打击僵尸网络的行动，其目的是帮助用户重新控制个人电脑以挽回僵尸网络所造成的损失。它是在微软网络犯罪调查部，微软恶意软件防护中心以及可信赖计算理念及战略部门的共同合作和努力下才得以成功（该合作被称为MARS火星计划，即微软网络安全应急计划）。跟关闭Waledac的原理一致，本次行动依托了法律和技术的方法来阻断僵尸网络和被感染的个人电脑之间的连接，从而阻止僵尸网络对个人电脑进行指挥和控制。经过微软网络犯罪调查部及合作伙伴一个月的调查，向美国华盛顿西区地方法院的成功辩护，以及联邦法院执行官对多个地点指挥和控制服务器的联合突击， Rustock在2011年3月16日被正式关闭。

      与我们成功关闭Waledac所采取的法律和技术方法一致，本次案件中，微软也起诉了Rustock的匿名操控者在垃圾邮件中侵犯微软商标权。然而，Rustock相比Waledac有更加复杂的结构，因为它利用硬编码的网际网络通讯协定而非域名和点对点指挥和控制服务器来控制僵尸网络。为了保证恶意代码不会迅速转移到新的网络基础结构，我们获得法院允许与联邦法院执行官合作在现场提取证据并且，在某些情况下，从互联网托管服务商获取被感染服务器用于分析。其中，我们截取了在美国7个城市运营的5个互联网托管服务商的服务器，它们分别位于堪萨斯城，斯克兰顿，丹佛，达拉斯，芝加哥，西雅图，和哥伦布市。通过与上游供应商的合作，我们成功阻断并禁用了控制僵尸网络的IP地址。目前，这个案件仍在进行当中，调查员正在审查我们所收集到的证据。

      恶意代码是多变的，这也是微软和合作伙伴一直积极开发创新且有效的关闭僵尸网络基础结构的策略的原因。这样，我们才能保证在僵尸网络处于关闭状态的同时帮助用户清除恶意软件。这是我们关闭Waledac和Rustock的共用策略。在将来，我们会采取更多类似的行动以关闭更多的僵尸网络，给用户带来更加安全的互联网环境。

同时，我们深知没有任何一家公司或一个组织能够单独完成这项重任。这需要业界、学术界、执法部门和各国政府的多方合作。在关闭Rustock的案件中，我们就与中国国家计算机网络应急技术处理协调中心 (CN CERT)合作，阻止了一些将来可能被Rustock用作指挥和控制服务器的域名的注册。

我们目前正在与全球的互联网服务商和网络安全应急机构合作以帮助用户清除恶意代码。如果没有公共机构和个人用户的多方合作，微软不可能成功的关闭僵尸网络。“合作是成功的关键”是微软在打击僵尸网络的过程中所获得的最宝贵的经验。

僵尸网络被认为是网络罪犯用于攻击网络的常用工具。它利用受感染的个人电脑发送垃圾邮件，向网站实施拒绝服务攻击，传播恶意代码，造成网络广告点击欺诈等等。Rustock正是这样一个网络。

虽然其运作状态长期以来并不稳定，Rustock一直被认为是全球最大的垃圾电子邮件源头，每天可发送高达三百亿封垃圾邮件。据微软网络犯罪调查部研究显示，一台受Rustock感染的电脑在45分钟内可发送7500封垃圾邮件，即每天24万封垃圾邮件。此外，由于大多数Rustock垃圾邮件在网上推销假冒的或者未经美国当局许可的药品，Rustock也给公众带来极大的健康危害。

僵尸网络攻击网络的流程图示

由于垃圾邮件滋生了假冒药品市场，辉瑞制药有限公司成为了本案的申诉人之一。辉瑞制药在声明中提供了证据，证明由于假冒药品通常在不安全的环境下生产，垃圾邮件中所推销的药品通常含有错误的活性成分和剂量，有时甚至含有给人体健康带来更大威胁的物质。假冒药品还通常被杀虫剂，铅基公路油漆和地板蜡等物质污染。

除了推销危险的甚至违法的产品，垃圾邮件更是对健康的互联网环境的极大威胁。虽然Rustock的主要功能是发送垃圾邮件，但是如此大规模的僵尸网络可以被用于任何种类的网络犯罪。僵尸网络非常强大，通常只需一个指令就可以转变为垃圾邮件程序和拒绝服务攻击程序。

据微软网络犯罪调查部研究显示，全球有将近一百万台被Rustock恶意软件感染的个人电脑。这些电脑受到操纵僵尸网络的个人或组织的远程控制，而且通常电脑用户并不知道其电脑已经被劫持。僵尸牧人通过多种方式恶意感染电脑，比如当用户浏览潜藏恶意代码的网站，点击恶意广告，或者打开中毒邮件的附件。僵尸牧人通常隐蔽的植入恶意代码，以至于用户通常不知道个人电脑已经被感染。

正如户主可以用坚固的锁和安全系统来保护自己的家，电脑用户可以通过及时升级杀毒软件和反恶意代码软件来保护自己的电脑。

最后，我们鼓励所有的电脑用户确保个人电脑安全。如果您觉得您的电脑已经感染Rustock或其他恶意代码，请到support.microsoft.com/botnets获取免费信息和资源清除该恶意代码或访问http://www.microsoft.com/china/athome/security/default.mspx 获取更多信息安全方面的帮助。

      有了您的支持和配合，以及业界，学术界，和执法部门持续不断的合作行动，比如“b107行动”，我们可以阻止网络罪犯利用僵尸网络犯罪，维护网络世界的平静。