在信息安全領(lǐng)域，病毒與反病毒始終是最活躍的兩支力量，而一年一度的病毒回顧可謂是安全界的年度大餐，使我們能夠在須臾之間便可將一年的病毒現(xiàn)狀與流行趨勢盡收眼底，為下一年的信息安全建設(shè)做一個參考。
“關(guān)注行業(yè)、檢查自己”，永遠是企業(yè)進行信息安全建設(shè)的原則。

◆ 2004，病毒漫舞
◆ 蠕蟲遍布整個網(wǎng)絡(luò)
◆ 木馬劫掠真實財產(chǎn)
◆ 腳本病毒甘做幕后幫兇
◆ 2004年毒界“風(fēng)云”榜
◆ 與毒過招
◆ 防毒路上，還欠缺什么？

2004，病毒漫舞
■ 安天實驗室 張曉兵
2004年，病毒依然保持著高速發(fā)展的勢頭，有關(guān)資料顯示，2004年全年產(chǎn)生的病毒種類已經(jīng)達到了25000種，大大超過了2003年20000種的病毒產(chǎn)生數(shù)量，這其中大部分為沒有感染能力的蠕蟲、木馬類病毒，而像CIH這種可感染的病毒則是少之又少。
2004年的病毒與反病毒的風(fēng)云際會到底呈現(xiàn)出哪些特點呢？

2004病毒特點

網(wǎng)絡(luò)病毒仍是主流
不可否認，互聯(lián)網(wǎng)依舊以超出想象的速度迅速膨脹著，與此同時，無線網(wǎng)、電視網(wǎng)也都得到了長足的發(fā)展，IPv6產(chǎn)生了,3G走近了。當(dāng)這些協(xié)議正式推行時，網(wǎng)絡(luò)的規(guī)模和概念都將進行革命性的改變，讓我們無從猜測，但有一點是可以確定的，就是在網(wǎng)絡(luò)時代，網(wǎng)絡(luò)病毒已經(jīng)成為病毒家族里的超強音。
網(wǎng)絡(luò)病毒是一個廣泛的概念，它是指通過網(wǎng)頁、郵件、即時通信、P2P等網(wǎng)絡(luò)手段進行傳播的蠕蟲、木馬、黑客程序等病毒的總稱。無論從數(shù)量上還是發(fā)作情況上來看，網(wǎng)絡(luò)病毒都是2004年最大的“贏家”。去年初的“SCO炸彈(Worm.Novarg/Worm.MYDoom)”大家是否還記憶猶新？該病毒通過郵件瘋狂傳播，其速度不亞于當(dāng)年的“求職信”病毒，而去年中的“惡鷹（Worm.Bagle）”與“網(wǎng)絡(luò)天空（Worm.NetSky）”病毒作者之間互相攻擊、競相推出病毒新變種的現(xiàn)象，也成為2004年信息安全領(lǐng)域一道難得一見的“風(fēng)景”。
這些病毒的泛濫，說明了網(wǎng)絡(luò)病毒繼2003年以來，繼續(xù)保持著主流病毒的形象，繼續(xù)威脅著上網(wǎng)用戶的安全。

漏洞病毒風(fēng)光無限
無獨有偶，漏洞病毒繼2003年“大出風(fēng)頭”以后，2004年依然是“風(fēng)光無限”。2003年8月份沖擊波病毒的爆發(fā)，相信大多數(shù)電腦用戶已經(jīng)領(lǐng)略到了這類病毒的威力，而2004年五一期間爆發(fā)的“震蕩波(Worm.Sasser)”病毒，更使人們不得不再一次重溫漏洞病毒帶來的噩夢。
漏洞病毒其實是蠕蟲病毒家族的一種，由于它本身利用了操作系統(tǒng)的漏洞進行傳播，因此也被稱為漏洞病毒，這類病毒的特點就是“來勢洶洶，去也匆匆”。操作系統(tǒng)一旦出現(xiàn)重大漏洞，就等于所有的電腦用戶都為病毒打開了一扇毫無防備的大門，讓病毒可以來去自由。另一方面，重大的操作系統(tǒng)漏洞往往是核心程序出現(xiàn)了問題，病毒一旦利用這些漏洞進行攻擊的話，就會使用戶電腦的操作系統(tǒng)崩潰，從而出現(xiàn)各種怪異現(xiàn)象。因此，只要是漏洞病毒爆發(fā)，一定是天下皆驚的。然而，這類病毒由于利用的是漏洞，只要將漏洞堵住，病毒就會立刻失效，當(dāng)用戶及時下載了微軟補丁和使用了反病毒廠商免費提供的病毒專殺工具后，它們就會成為過眼云煙，在短時間內(nèi)消散的。

即時通信、網(wǎng)游病毒全面開花
2004年還有一點也頗引起人注目，那就是即時通信工具大戰(zhàn)和網(wǎng)游大戰(zhàn)了。在QQ成為即時通信的王者，MSN Messenger成為第二之后，立刻引發(fā)了即時通信工具的大戰(zhàn)，這種現(xiàn)象使得即時通信立刻成為繼郵件之后的又一大平臺，從而滋生了大量的即時通信病毒。
可別小看這些年紀輕輕的病毒，它們可是經(jīng)過了好幾代的變異了，從最初只偷盜聊天記錄，到后來偷盜用戶賬號和密碼，再到2004年在即時通信工具里發(fā)送病毒網(wǎng)址來誘惑用戶中毒，這類病毒的能力也越來越強。而新興的MSN Messenger即時通信工具也陸續(xù)出現(xiàn)了類似“MSN射手”、MSN騙子（Worm.MSN.funny）這樣的病毒。種種情況表明，病毒編寫者開始全面介入這一新興平臺，以后這類病毒將會越來越多。

病毒的商業(yè)化趨勢明顯
2004年，繼震蕩波之后，比較惹眼的病毒恐怕要算是“網(wǎng)銀大盜”系列病毒和“快樂耳朵”病毒了，如果您了解了這類病毒的特性，就會覺得那些網(wǎng)游病毒只是小兒科了。
這類病毒不再拐彎抹角，而是直接盯上了赤裸裸的金錢，就像是一個間諜，會隱藏在用戶的電腦中，當(dāng)發(fā)現(xiàn)用戶登錄網(wǎng)上銀行時，便把用戶名和密碼記錄下來，發(fā)送到指定的郵件，病毒作者只要定時查看郵箱，便能收集大量的用戶網(wǎng)上銀行的信息，很輕松就可以登錄到網(wǎng)上銀行進行現(xiàn)金轉(zhuǎn)賬。雖然網(wǎng)上銀行為每個用戶提供的可轉(zhuǎn)賬的資金有限，但是這類病毒一旦泛濫，積少成多，也是一筆很可觀的資金，如果這類病毒的編寫成風(fēng)，將會極大地阻礙網(wǎng)上銀行這類新生事物的發(fā)展。
而在2004年11月下旬出現(xiàn)的“股票竊密者（TrojanSpy.Stock）”則更甚，專門針對數(shù)家國內(nèi)證券公司的網(wǎng)絡(luò)交易系統(tǒng)編寫。如果用戶中毒，病毒會竊取用戶的股票網(wǎng)絡(luò)交易賬號和密碼，從而可以惡意買賣用戶的股票，造成用戶的資金損失。從這些事例中可以看到，病毒的商業(yè)化趨勢已經(jīng)越來越明顯。

圖1 “快樂耳朵”誘惑用戶中招的網(wǎng)站畫面

手機病毒在成長中發(fā)展
當(dāng)人們還在爭論手機中到底有沒有病毒的時候，手機病毒已經(jīng)悄然降臨，成為2004年病毒領(lǐng)域又一道“風(fēng)景”。
在第一例手機病毒“洪流”沉寂了兩年后，手機病毒從2004年6月開始發(fā)起了第二次攻擊浪潮。
很明顯，這次手機病毒都不約而同地盯上了智能手機。2004年年中時出現(xiàn)了“卡波爾（Worm.Symbian.Cabir.a）”、“灰塵（WinCE4.Dust）”、“布蘭多（Backdoor.Wince.Brador.a）”等多種智能手機病毒，年終時又出現(xiàn)了可以通過控制PC來向手機發(fā)送垃圾信息的“Delf-HA”病毒、影響Symbian手機操作系統(tǒng)的“頭蓋骨（Skull）”病毒等。
與此同時，Sun公司手機版Java軟件的兩個漏洞被發(fā)現(xiàn)，藍牙設(shè)備的三個重大漏洞也被發(fā)現(xiàn)，還有人制作出了能破壞藍牙設(shè)備的藍牙槍。

反病毒技術(shù)的2004

雖然隨著反病毒技術(shù)的發(fā)展，病毒已經(jīng)成為可以控制的變量，但病毒與反病毒之間的戰(zhàn)斗永遠也不會結(jié)束，它們之間是水漲船高的關(guān)系，隨著病毒的變異，反病毒公司依然要長時間走著技術(shù)革新的道路。

驅(qū)動級編程技術(shù)得到發(fā)展
每年反病毒公司都會在年終推出新版的殺毒軟件，這些殺毒軟件里使用的新技術(shù)就成了反病毒技術(shù)革新的證據(jù)。
驅(qū)動級編程技術(shù)是2004年KV2005使用的技術(shù)，它采用驅(qū)動編程的思想，將反病毒引擎從應(yīng)用層移到了核心層.這樣做的好處是使病毒的查殺速度更快，對病毒監(jiān)控得更徹底。但也會產(chǎn)生不好的影響，就是編程難度增加，如果不經(jīng)過大量的測試，會給操作系統(tǒng)帶來不穩(wěn)定的隱患。不過，無論怎樣，這種技術(shù)的產(chǎn)生與應(yīng)用都是反病毒技術(shù)上的一個進步，因為只有同操作系統(tǒng)結(jié)合得越緊密，對病毒的防護才會越有效。

單機網(wǎng)絡(luò)化的趨勢開始明顯
隨著技術(shù)的發(fā)展和下移，許多原來網(wǎng)絡(luò)版里使用的技術(shù)開始更多地在單機版的殺毒軟件中體現(xiàn)，成為2004年反病毒技術(shù)上的又一個亮點。
瑞星殺毒軟件2005版就是一個典型的例子，其網(wǎng)絡(luò)黑名單技術(shù)使得單機用戶能夠在局域網(wǎng)環(huán)境下很好地防御像FUNLOVE、尼姆達這樣通過網(wǎng)絡(luò)傳播的病毒，其漏洞監(jiān)控技術(shù)也為單機用戶在局域網(wǎng)中的使用建立起一道防線。

病毒監(jiān)控技術(shù)更加完善
病毒監(jiān)控技術(shù)自產(chǎn)生之時起就得到了反病毒公司的大力推崇，經(jīng)過幾年的發(fā)展，成為反病毒的一支重要力量。如果說病毒查殺技術(shù)是“亡羊補牢”的話，那么病毒監(jiān)控技術(shù)就是“未雨綢繆”，對用戶來說是更加有用的一種技術(shù)，于是病毒監(jiān)控技術(shù)的完善便成了2004年反病毒技術(shù)的又一話題。
縱觀新近推出的新版殺毒軟件，給用戶留下深刻印象的恐怕要算監(jiān)控系統(tǒng)了。江民推出了七大監(jiān)控系統(tǒng)，瑞星則推出了八大監(jiān)控系統(tǒng)，雖然監(jiān)控系統(tǒng)越多，會對資源占用越多，但是對于機器配置較好的用戶來說，使電腦更安全才是根本。
2005展望：網(wǎng)絡(luò)爭奪戰(zhàn)

漏洞病毒依然會是毒魁
就目前的Windows操作系統(tǒng)來說，幾千萬行的代碼、上百萬軟件工程師共同進行編碼，想沒有漏洞是不太可能的事情。我們也不得不承認，漏洞病毒依然會是極其厲害的一類病毒。
就像每年操作系統(tǒng)都會出現(xiàn)重大的漏洞一樣，2005年也會出現(xiàn)類似蠕蟲王、沖擊波、震蕩波這樣極具殺傷力的漏洞病毒。這類病毒不會很多，可能只有一兩個，但是卻能毫不費勁地造成社會問題。因此，及時關(guān)注病毒和漏洞信息應(yīng)該成為每一個電腦用戶的習(xí)慣，這樣才有可能在漏洞病毒面前不再顯得那么脆弱。

瀏覽器劫持會向縱深發(fā)展
瀏覽器劫持現(xiàn)象在2004年初步形成氣候，將會在2005年進行發(fā)力。它是指一些惡意程序通過控制瀏覽器的形式來左右用戶的電腦，使用戶上網(wǎng)時出現(xiàn)各種問題，這其中就包括曾經(jīng)名噪一時的腳本病毒和最近新出現(xiàn)的廣告插件（ADWare）、色情插件（PornoWare）之類的惡意程序。
ADWare程序在非法侵入用戶電腦后，會占用用戶大量的網(wǎng)絡(luò)帶寬，使上網(wǎng)速度變慢，而PornoWare則會非法修改用戶的長途撥號或網(wǎng)絡(luò)銀行設(shè)置，使用戶莫名其妙地產(chǎn)生巨額支出。由于這類惡意程序隱藏得很深，用戶一般很難發(fā)覺，比傳統(tǒng)的病毒更具威脅性。

網(wǎng)絡(luò)釣魚將引發(fā)新的社會問題
最近兩年一個新興的網(wǎng)絡(luò)問題是垃圾郵件的問題，而2004年及以后，另一個新的熱點將會是“網(wǎng)絡(luò)釣魚”。網(wǎng)絡(luò)釣魚是2004年才出現(xiàn)的新事物，與網(wǎng)銀大盜之類的病毒偷盜行為不同，它采用的是“舍不得孩子套不著狼”的戰(zhàn)術(shù)，利用真實的病毒網(wǎng)址來詐騙用戶上當(dāng)，從而盜取用戶的網(wǎng)絡(luò)銀行或信用卡的密碼，從而盜取大量現(xiàn)金。

圖2 “網(wǎng)絡(luò)釣魚”界面

隨著網(wǎng)絡(luò)的發(fā)展，這類問題將在2005年進一步擴大，成為新的社會問題。對于這類問題的解決已經(jīng)不是單純的用戶如何防御的問題了，已經(jīng)上升到了網(wǎng)絡(luò)監(jiān)管的層次。如果能對網(wǎng)絡(luò)進行規(guī)范化管理，會使我們上網(wǎng)的環(huán)境更純潔些。
不管怎么說，熱熱鬧鬧的2004年即將過去，回首這一年，病毒依然是我們心中抹不掉的痛，遙望2005年，我們只能說，希望病毒再少些。
一月毒星
MyDoom（Worm.Novarg/Worm.MyDoom）
閃光點：最有領(lǐng)導(dǎo)潛力的病毒
一月的病毒明星要算是MyDoom了，也叫SCO炸彈。它會通過郵件瘋狂傳播，傳播速度不亞于當(dāng)年的“求職信”病毒，運行時會發(fā)送標題為：“Error”、“Mail Transaction Failed”、等內(nèi)容，附件后綴為“bat、cmd、exe、pif、scr、zip”的病毒郵件。這家伙自產(chǎn)生以來，不斷地出現(xiàn)新變種，二月份出現(xiàn)了兩個重要變種C和D。截止到年底，共出現(xiàn)了50多個病毒變種，單看它聯(lián)合所有被感染的電腦對SCO網(wǎng)站發(fā)起的攻擊，就知道它有多大的領(lǐng)導(dǎo)能力了。

二月毒星
貝革熱(Worm.Bagle/Worm.BBeagle)
閃光點：最瘋狂的病毒
二月份是貝革熱（也稱惡鷹）病毒的世界，它也利用電子郵件傳播，傳播力極強。該病毒有幾個特點：第一是會自我升級，每隔一斷時間登錄一個網(wǎng)址，自動下載新版本；第二是會自殺，它會檢測系統(tǒng)時間，如果是2004年2月25日則自動退出系統(tǒng)并停止傳播。據(jù)猜測，這樣做的目的是想測試一下病毒傳播的情況，以便改進。該病毒自產(chǎn)生以來，也是變種繁多，目前已經(jīng)有了將近100個變種。該病毒的特點是傳播瘋狂、做法瘋狂，而且還瘋狂地產(chǎn)生下一代。

三月毒星
網(wǎng)絡(luò)天空 (Worm.NetSky）
閃光點：最虛偽的病毒
雖然網(wǎng)絡(luò)天空病毒在二月份就已經(jīng)產(chǎn)生，但它在三月才開始真正泛濫。同前兩個月的病毒明星一樣，它也是一個通過郵件進行瘋狂傳播的蠕蟲病毒。值得一提的是，該病毒曾在其第11個變種的病毒體里留下“該病毒將是我的最后一個版本”的話，著實讓用戶松了一口氣。而事實上，這只是一句美麗的謊言，之后，它又推出了多個變種，至今病毒變種已經(jīng)達了40多個。
四月毒星
QQ播客(Trojan.QQMSG.Boker.d)
閃光點：最煽情的病毒
該病毒屬于QQ尾巴類病毒，會利用QQ發(fā)送例如“……釣魚島是中國的領(lǐng)土!!!臺灣是中國不可分割的一部分!!!請將此消息發(fā)給您QQ上的好友!”等消息，消息后面是一個網(wǎng)址。雖然病毒發(fā)的消息很煽情，但是大家千萬不要相信，因為這消息后面跟隨的是病毒的網(wǎng)址，用戶只要一點擊，就會中毒，從而再次感染線上的其他好友。該病毒自誕生那天起也產(chǎn)生了80個病毒變種。

五月毒星
震蕩波（Worm.Sasser）
閃光點：傳播范圍最廣的病毒
五月可謂名符其實的病毒月，爆發(fā)了堪稱2004年毒王的震蕩波病毒。該病毒利用LSASS漏洞進行傳播，只要沒有打過該補丁的操作系統(tǒng)都會受到該病毒的攻擊，其感染范圍和破壞程序都超過了2003年的沖擊波病毒。雖然它只產(chǎn)生了7個變種，但是足以讓人們記住。而且，五月甚至還有一個好心的病毒作者編寫了“震蕩波殺手”工具，只可惜它在清除電腦中的震蕩波病毒的同時，讓用戶的系統(tǒng)改受該“殺手”的繼續(xù)攻擊。

六月毒星
卡波爾（Worm.Symbian.Cabir.a）
閃光點：最時尚的病毒
雖然它還是一個概念型的病毒，但卻標志著智能手機病毒開始正式登上病毒的舞臺。病毒運行會感染采用Symbian操作系統(tǒng)的諾基亞型手機，并能通過手機的藍牙功能進行傳播感染。這是全球首個完全在智能手機上運行并感染的蠕蟲病毒。該病毒最早出現(xiàn)在歐洲，發(fā)作時會在手機上顯示“CARIBE－VZ/29A”字樣，并且在Symbian操作系統(tǒng)的系統(tǒng)目錄下釋放多個病毒體，但并沒有對系統(tǒng)產(chǎn)生破壞動作。即使如此，用戶也得小心了，因為很可能會出現(xiàn)更多的有破壞性的病毒。
七月毒星
拉茲（Trojan.Win32.Lasta）
閃光點：最“安全”的病毒
七月的拉茲病毒是數(shù)據(jù)保護行業(yè)的一個恥辱。它利用了某系統(tǒng)保護和還原軟件的漏洞，當(dāng)用戶使用這類保護軟件進行系統(tǒng)恢復(fù)時，并不能將該病毒恢復(fù)掉，而下次用戶以為系統(tǒng)是干凈的要再次保護時，該病毒就會被做為正常的程序進行保護。這樣一來，該病毒就相當(dāng)于多了一個保護膜，更加難以清除了。而事實上，它曾經(jīng)使數(shù)千個電腦用戶中毒，可謂“人小鬼大”。該病毒至今只產(chǎn)生了11個病毒樣本。

八月毒星
布若達（Backdoor.Bardor.A）
閃光點：最有“前途”的病毒
布若達是全球第一個可以讓攻擊者遠程控制被感染手機或智能設(shè)備的病毒。它會感染采用ARM處理器、Windows CE操作系統(tǒng)的智能手機，在被感染設(shè)備中開設(shè)后門。利用它，攻擊者不但可以偷竊中毒手機里的電話號碼和電子郵件，還可以對其進行遠程控制，運行多種危險指令。該病毒依然是一個概念型的病毒，只能由攻擊者通過電子郵件或其他手段誘騙用戶下載并運行。但根據(jù)國外媒體報道，該病毒出現(xiàn)后，已經(jīng)開始有人利用電子郵件銷售這個病毒的客戶端，賣病毒的人聲稱，任何人都可以購買該病毒用來控制別人的手機。如果這種情況泛濫的話，將是智能手機用戶的又一場災(zāi)難。

九月毒星
快樂耳朵（Trojan.Happyear）
閃光點：最無恥的病毒
快樂耳朵并不會使人快樂，因為它的出現(xiàn)，九月成了網(wǎng)上銀行的噩夢。它首先會通過郵件進行傳播，會發(fā)作大量標題為“快來看看我的偷拍作品”的郵件，聲稱自己是一個酒店的經(jīng)理，偷拍了大量的社會丑惡現(xiàn)象，然后放在一個網(wǎng)站中。如果用戶要看的話，需要下載一個插件。隨信件還有一個鏈接地址，如果用戶感興趣點擊了該地址的話，就會鏈接到發(fā)信人所說的那個偷伯網(wǎng)站，并且確定會提示用戶下載播放插件，但此時您下載的并不是什么插件，而是病毒。不過，這些都不算什么，病毒真正的目的是盜竊用戶網(wǎng)上銀行的密碼。它運行時會時刻監(jiān)視用戶的動作，如果用戶這時登錄某銀行的網(wǎng)上銀行系統(tǒng)時，就會被偷走用戶名和密碼。
十月毒星
MSN騙子（Worm.MSN.funny）
閃光點：最可氣的病毒
該病毒可以通過QQ和MSN傳播，病毒運行時會向線上好友發(fā)送“Funny.exe”的文件，用戶點擊后就會中毒。中毒后，病毒會屏蔽937個主流網(wǎng)站，使用戶無法訪問，更有甚者，還有可能會造成Windows 98系統(tǒng)崩潰，讓那些愛上網(wǎng)的人因無法上網(wǎng)而氣憤之極。該病毒的出現(xiàn)表明了即時通訊平臺作為繼郵件之后又一個主流通訊平臺，也同樣成了病毒的溫床。

十一月毒星
股票竊密者（TrojanSpy.Stock）
閃光點：最富有的病毒
它是專門針對數(shù)家國內(nèi)證券公司的網(wǎng)絡(luò)交易系統(tǒng)編寫的木馬病毒，與偷盜網(wǎng)上銀行密碼的“快樂耳朵”相比，它可謂是大巫見小巫了。用戶中毒之后，病毒會竊取用戶的股票網(wǎng)絡(luò)交易賬號和密碼，從而可以惡意買賣用戶的股票，造成用戶的資金損失，因此，該病毒成了2004年名符其實最富有的病毒。而且，隨著網(wǎng)絡(luò)的發(fā)展，這種直接偷盜金錢的病毒將會越來越多。

十二月毒星
圣誕騙子（Worm.Zafi.d）
閃光點：最“博學(xué)”的病毒
就在圣誕節(jié)快要到來時，利用圣誕節(jié)進行傳播的病毒也出現(xiàn)了。盡管這種手法并不新奇，但在節(jié)前的一段時間里，對于廣大網(wǎng)民來說，仍然是很難防范的。“圣誕騙子”其實是2004年6月出現(xiàn)的網(wǎng)銀大盜病毒的一個變種，會以發(fā)賀卡的名義欺騙用戶上當(dāng)。病毒侵入用戶電腦后，會開設(shè)后門，使黑客們可以遠程控制這些中毒電腦。而且，它還是一個“博學(xué)”的病毒，自帶了15種歐洲語言，當(dāng)向不同國家的用戶發(fā)送攜帶病毒郵件時，會采用相應(yīng)國家的語言，從而大大增強自己的欺騙性。

蠕蟲遍布整個網(wǎng)絡(luò)
■ 上海 馬木留克
2004年依然是一個蠕蟲泛濫的年代，從年初的MyDoom、NetSky，到利用Windows本地安全驗證子系統(tǒng)服務(wù)（LSASS）問題的Sasser，一年中互聯(lián)網(wǎng)的大部分帶寬中都充斥著蠕蟲發(fā)送的垃圾信息，造成的損失是非常驚人的。

傳播走老路

整體來看，2004年出現(xiàn)的蠕蟲中的大部分利用和傳播的方式都是以前的套路：利用系統(tǒng)漏洞或者使用誘騙手段。蠕蟲的編寫者很少通過蠕蟲來證明他的技術(shù)高明，所以，并沒有看到像當(dāng)年MSSQL蠕蟲那樣“簡潔而優(yōu)美”的代碼，相反給人的感覺是某些情況下，病毒編寫者似乎是早已編好了蠕蟲的各個部分，只是等待著出現(xiàn)“好用”的漏洞作為傳播的途徑而已。
以Sasser（震蕩波）為例，它的傳播途徑是微軟安全公告04011中描述的Windows本地安全驗證子系統(tǒng)服務(wù)的一個遠程溢出漏洞。在該漏洞的遠程利用程序公布后不久，這個蠕蟲的第一個版本便開始在網(wǎng)上肆虐。與MSSQL蠕蟲不一樣，它不是一個“常駐內(nèi)存”的蠕蟲，而是一個文件性質(zhì)的蠕蟲。對漏洞的利用僅僅是得到一個Shell，然后在這個Shell上進行操作，從攻擊端下載蠕蟲程序的副本，在新感染的機器上執(zhí)行，以便傳播。Sasser蠕蟲與2003年流行的Blaster（沖擊波）傳播的方式和行為非常類似，不同的是一個是通過tftp方式傳播蠕蟲副本，而另一個通過自帶的ftp方式來傳播。較之2003年，Sasser及其他利用相同漏洞進行傳播的蠕蟲破壞力沒有Blaster強，原因除了用戶的安全意識提高和部分地區(qū)對端口的限制以外，漏洞本身的局限性也是一個重要的因素。
具體分析過LSASS問題的朋友都知道，這個漏洞是一個典型的棧溢出問題，盡管有兩次機會可以獲得控制權(quán)，但編碼的限制使得攻擊者無法找到一個對所有版本都通用的返回地址（最好的情況也就是能夠針對幾個不同語言的所有Windows 2000/XP或者是針對不同語言下某幾個特定的SP版本），使得利用該漏洞的蠕蟲的傳播成功率大打折扣，這也是很多受害者在其影響下，僅僅是看到了一個倒計時的關(guān)閉系統(tǒng)對話框，而沒有成為蠕蟲的另一個傳播源的原因。
除了利用系統(tǒng)本身缺陷傳播的蠕蟲以外，常規(guī)的通過郵件或者其他途徑傳播的蠕蟲也非常多，例如NetSky/Bagle的各種變形版本、MSN/QQ尾巴等。前者通過添加蠕蟲副本至郵件附件中，不斷發(fā)送并誘使收件人打開并執(zhí)行來傳播；后者則是通過一些在線聊天工具的文件傳送功能，通過傳送蠕蟲的副本和誘使對方執(zhí)行來進行傳播。這一類蠕蟲利用的不是具體的某一個漏洞，而是利用人們的好奇心和信任來達到傳播的目的。較之利用漏洞的蠕蟲而言，這一類的蠕蟲對平臺或版本不那么敏感，影響的范圍相應(yīng)也要廣很多，但是由于傳播的環(huán)節(jié)中需要人為參與（比如點擊執(zhí)行），所以傳播的速度不如利用漏洞進行主動攻擊的蠕蟲快。
弱口令和其他的漏洞也是蠕蟲傳播的一個途徑，不過蠕蟲通常不會單獨針對弱口令或某個不太常見的漏洞進行攻擊，而是結(jié)合了許多種傳播途徑進行傳播，例如AgoBot（高波）。從感染的情況來看，這一類蠕蟲的泛濫程度不遜于前面兩大類蠕蟲，像弱口令這樣由于用戶本身造成的問題，相比打幾個補丁而言要難解決得多，因而也很難杜絕此類蠕蟲的大量傳播。

個人用戶是攻擊重點

2004年，蠕蟲的主要攻擊對象還是個人用戶，因為人的因素始終是安全中非常薄弱的一環(huán)。利用社會工程學(xué)進行傳播的蠕蟲要獲得控制權(quán)，必須有人為的參與在里面——至少需要收件人瀏覽一下郵件或者打開運行附件中的惡意文件。盡管遭受了Mellisa、Sircam的襲擊以后，人們還是會一如既往地輕信，也使得每年都有換湯不換藥的蠕蟲出現(xiàn)。現(xiàn)在流行的郵件、IRC、MSN、QQ等都有相關(guān)的針對個人用戶的惡意蠕蟲，蠕蟲的制造者也是瞄準了個人用戶這一大塊，流行什么軟件就針對什么制造蠕蟲，只要在技術(shù)上沒有困難，相信還會有很多新的蠕蟲會源源不斷地出現(xiàn)。
相對個人用戶而言，專門針對服務(wù)器的蠕蟲似乎還沒有這么厲害，比起前些年CodeRed橫行的時期，2004年服務(wù)器遭受的打擊要小得多。這一類蠕蟲的一個重要特點是要依賴于系統(tǒng)漏洞，比如之前的IDQ、Webdavx之類。2004年，雖然安全公告中依然有只針對服務(wù)器版本的漏洞報告，但是并沒有與之相關(guān)的exp公布，而蠕蟲制造者也沒有能力自己編寫這一部分，所以利用新漏洞專門針對服務(wù)器的蠕蟲幾乎沒有。還有一點，在微軟每公布一個重要的服務(wù)器漏洞之后，幾乎都有對應(yīng)的蠕蟲，這客觀上促使了網(wǎng)管們及時去打補丁修正bug。蠕蟲制造者也很清楚這一點，也許是出于傳播面積的考慮，很少有蠕蟲會利用以前的漏洞，頂多是整合到傳播模塊中來，只是把它用作多種傳播手段中的一項。
明天的蠕蟲

密切關(guān)注漏洞
目前，蠕蟲有一個非常明顯的趨勢，那就是每一個重大的安全漏洞都對應(yīng)一個（種）危險的蠕蟲，比較明顯的例子就是Blaster和Sasser。在一個危險的漏洞出現(xiàn)后，從公布細節(jié)到大范圍地打上補丁，中間往往間隔非常長的一段時間。這期間，可能有某些人出于特殊的理由公布了這個漏洞的利用方法甚至是代碼，客觀上促成了蠕蟲的產(chǎn)生。因為蠕蟲制造者等待的可能就是這樣一個傳播的手段，倘若該漏洞的影響范圍很廣，那這個蠕蟲可能傳播的范圍就越廣，這正是蠕蟲制造者所希望的。利用代碼公布以后，只需要一些很簡單的手段就可以制造出一個蠕蟲來，從技術(shù)角度而言，Sasser乃至之前的Blaster，不過是把漏洞利用的手工方式變成自動方式而已，其行為就像一個攻擊者在用很高的速度來入侵其他機器，并沒有很高的編程技巧。蠕蟲泛濫后，大部分的機器都打上了補丁，傳播速度也就降下來了，所以雖然來勢兇猛，去得也很快。
有些危險的安全漏洞并沒有造成蠕蟲的泛濫，很多情況下是由于技術(shù)的原因，譬如GDI+的問題（微軟安全公告04028），這是一個堆溢出的問題，小范圍內(nèi)有蠕蟲傳播，但由于通用性的原因，并沒有大面積的影響。可以想象的是，如果蠕蟲制造者的水平有所提高，那么這一類的漏洞以后也會非常兇猛，因為就技術(shù)的角度而言，堆溢出的問題能夠被做得比普通的棧溢出更為通用，對應(yīng)蠕蟲的傳播范圍也會很大。

與后門相結(jié)合
蠕蟲的另外一個趨勢是與后門相結(jié)合。很多蠕蟲在傳播中獲得了系統(tǒng)的控制權(quán)后會留下一個后門供可能的攻擊者進出，這也表明蠕蟲制造者已經(jīng)由以前僅僅為了出名或是技術(shù)原因而編寫蠕蟲，轉(zhuǎn)變?yōu)閹в衅渌厥饽康亩帉懭湎x。
通過人這一個薄弱環(huán)節(jié)傳播的蠕蟲每年都有，以前是，今后肯定也會有。利用郵件等方式，攻擊性不是那么強，甚至有些被動傳播的意味，然而人卻們往往受不了看似來自熟悉地址的信件或是類似porn、free等字眼而打開附件，如果不能在短時間內(nèi)提高個人用戶的素質(zhì)和警覺性，以后很多年內(nèi)還會有一部分蠕蟲通過郵件等類似社會工程的方式傳播。而這種郵件除非是獲得了確定的樣本，否則在大范圍泛濫之前，目前技術(shù)下的殺毒或是反蠕蟲軟件是沒有辦法完全預(yù)防的。

未來切入點
拋開道德等其他方面，單純從技術(shù)角度來分析這一系列泛濫得極其厲害的蠕蟲的話，可以看到它們在技術(shù)上沒有什么突破，也沒有什么創(chuàng)新點可言。比起2003年“補漏洞”的蠕蟲或者更早的宏病毒，2004年的蠕蟲無論在創(chuàng)意、技術(shù)甚至程序員的功底上都有很大的差距。蠕蟲似乎發(fā)展到了和互聯(lián)網(wǎng)當(dāng)初“快魚吃慢魚”類似的地步——不在于寫的東西有多么的“好”，只要能夠在極短的時間內(nèi)完成，就會造成更大范圍的影響，這一點在Sasser的出現(xiàn)上表現(xiàn)得非常明顯。
值得一提的是，對于GDI+的漏洞，盡管相對應(yīng)的蠕蟲傳播面積比較窄，但也是蠕蟲編寫者對通過堆溢出方式來獲得控制權(quán)，進而進一步傳播的一種嘗試。在棧溢出漏洞報告步伐逐漸減慢的情況下，一些不太好利用的系統(tǒng)漏洞可能會一躍成為蠕蟲制造者青睞的新傳播手段。而且，隨著技術(shù)的發(fā)展，看似不好利用的漏洞很有可能會出現(xiàn)更加通用的利用方法，在傳播范圍和速度上不見得比以前利用通用性較好漏洞來傳播的蠕蟲差。
從早期的Morris蠕蟲到現(xiàn)在，基本上能夠想到的傳播方式蠕蟲都做到了。如果說早期的蠕蟲制造者僅僅是炫耀技術(shù)的話，現(xiàn)在的蠕蟲制造者恐怕更多的是發(fā)泄不滿或者是為了出名吧。就當(dāng)前的技術(shù)看來，蠕蟲基本上把所有入侵的手段都自動化了（基于Web的入侵方式除外）。
以前出現(xiàn)IIS的Unicode以及二次解碼問題的時候，有蠕蟲利用過，不過后來也沒有進一步的發(fā)展，主要的原因想必還是技術(shù)的制約，因為通常情況下通過Web方式得到的控制權(quán)限比較低，而且獲得權(quán)限的方式比較復(fù)雜，單純通過自動化的手段還不太容易實現(xiàn)。
2004年以來，看起來極有可能做成蠕蟲的是dvBBS等一系列.asp程序上傳的問題，可能因為影響范圍和程序設(shè)計的難度，并沒有相應(yīng)的蠕蟲出現(xiàn)。將來，也可能出現(xiàn)利用廣義上的注入漏洞來傳播的蠕蟲，存在這一類問題的程序很多也很廣，完全可以成為蠕蟲制造者的下一個目標。
我們可以簡單分析一下，尋找目標主機可以通過搜索引擎（比如google），這一點不存在困難；如果獲得執(zhí)行的權(quán)限，傳播文件也有很多方式（比如ftp或者是vbs等腳本來下載文件或者其他），這一點上也不存在困難；惟一的難點就在獲得控制權(quán)限，而獲得控制權(quán)限中比較麻煩的是注入點的選擇與確定，蠕蟲制造者也需要結(jié)合啟發(fā)式的搜索或者干脆窮舉來攻擊并傳播。一旦這方面的技術(shù)難題得以解決，也許我們就能看到一種全新的蠕蟲出現(xiàn)，這也是短時間內(nèi)我們極有可能看到的“新突破”。其他的CGI問題，由于范圍或通用性的原因，不太可能被蠕蟲制造者利用，腳本的解析器出現(xiàn)重大安全漏洞除外。
結(jié)合系統(tǒng)漏洞的蠕蟲，在可以預(yù)見的未來估計也會發(fā)生比較大的變化。除了前面說的堆溢出等不太容易利用的漏洞可能會被用作傳播手段以外，也許還會出現(xiàn)一些通過內(nèi)核溢出來傳播的蠕蟲，這在技術(shù)層面上已經(jīng)沒有任何問題，關(guān)鍵就要看是否有相應(yīng)的漏洞以及利用程序被公布。
除了傳播的手段以外，蠕蟲的隱蔽性也許會成為蠕蟲制造者下一個關(guān)注的部分，各種rootkit技術(shù)可能會被用在蠕蟲自身的隱藏上面，不久的將來我們或許會迎來查殺更加困難的蠕蟲。
當(dāng)然，如果所有用戶都有很好的安全意識，蠕蟲編寫者肯定不愿意花費太多精力去寫一個沒用的程序，蠕蟲也無法如此肆虐。只是，距離蠕蟲消失的那一天，恐怕還有相當(dāng)長的一段路要走。

木馬劫掠真實財產(chǎn)
■ 北京 八杯水
2004年出現(xiàn)的木馬從技術(shù)上以及目的性來看，都比前幾年有很大變化。為了大家能對特洛伊木馬有一個整體的認識，我們先從2004年以前的木馬談起。

2004年以前：遠程監(jiān)控為主體

在2004年以前，提起特洛伊木馬，人們首先會想到的是“冰河”、“BO”、“YAI”以及“Sub7”等，它們均屬于遠程監(jiān)控類軟件。要想發(fā)揮作用，木馬的服務(wù)器端程序和客戶端程序必須同時存在，而且，木馬本身不具備繁殖性和自動感染的功能,所以大多情況下都需要誘騙受害機器的使用者自己運行木馬程序，木馬開始在偽裝上下文章。
這一時期出現(xiàn)的木馬程序在傳播上大多可以分為三類：
◆通過電子郵件直接發(fā)送。郵件主題具有一定的誘惑性，誘惑用戶自己點擊執(zhí)行附件中的木馬程序服務(wù)器端。
◆通過下載網(wǎng)站捆綁在正常的程序中。這段時期，網(wǎng)上出現(xiàn)了大量的exe捆綁工具（EXEBinder），這種工具可以把一個木馬程序和一個正常的軟件捆綁在一起。
◆利用操作系統(tǒng)漏洞直接下載運行。
除了這三大類之外，2004年以前還出現(xiàn)了可以感染exe文件的木馬程序，比如YAI（You and I）和冰河的一個變種。這類木馬由于在技術(shù)上存在一定限制，數(shù)量很少，但卻改變了木馬不具備傳染特性的概念。
這一時期也出現(xiàn)了具有特定功能的木馬，比如一些QQ盜號木馬。它們的功能不是遠程監(jiān)控，而是隱藏在受害的計算機中伺機記錄QQ密碼，并將它發(fā)送到釋放木馬者指定的信箱。
總的來說，2004年以前的木馬主要目的還是遠程監(jiān)控，已經(jīng)具備了一些狡猾的偽裝手段和基本的隱藏技巧。

2004年：功能細化，
具備反安全軟件特性

功能進一步細化
2004年的木馬在功能上發(fā)生了很大的變化，真正的遠程監(jiān)控木馬只占很小的比例，木馬的功能開始細化。2004年流行的木馬按功能可以分為五大類：網(wǎng)游木馬、廣告木馬、即時通信木馬、網(wǎng)絡(luò)銀行木馬及后門程序。
隨著近幾年網(wǎng)絡(luò)游戲業(yè)的迅速發(fā)展，網(wǎng)上虛擬裝備、財產(chǎn)成為黑客們獵取的對象，網(wǎng)絡(luò)游戲盜號木馬大量涌現(xiàn)。這類木馬一旦感染用戶的計算機，就會自動記錄用戶網(wǎng)絡(luò)游戲的賬號和密碼并發(fā)送給木馬使用者，木馬使用者通過出賣盜取的虛擬裝備、人物賬號謀取利益。由于偷盜網(wǎng)絡(luò)游戲賬號具有很大的誘惑性，您甚至可以在網(wǎng)上買到定制的網(wǎng)游木馬。
2004年9月初，國內(nèi)發(fā)現(xiàn)了一例專門竊取網(wǎng)絡(luò)銀行賬號的木馬“網(wǎng)銀大盜”，也稱“快樂耳朵”。它是專門針對某銀行網(wǎng)上業(yè)務(wù)個人版編寫的，可以取得該行網(wǎng)絡(luò)銀行專業(yè)版的數(shù)字證書、密碼和賬號，能夠在網(wǎng)上實現(xiàn)完整的盜竊資金過程，對用戶的危害極大。11月26日，眾多反病毒公司又截獲了針對數(shù)家國內(nèi)證券公司的網(wǎng)絡(luò)交易系統(tǒng)編寫的可以竊取用戶的股票網(wǎng)絡(luò)交易賬號和密碼的“股票竊密者”木馬（又名“股票盜賊”、“證券大盜”）。
網(wǎng)游木馬和網(wǎng)絡(luò)銀行木馬的出現(xiàn)揭示了木馬的發(fā)展趨勢：現(xiàn)階段的木馬越來越向著直接獲取經(jīng)濟利益的方向發(fā)展。病毒作者編寫即時通信木馬和廣告木馬同樣也是受到利益的趨勢。即時通信木馬以“QQ狩獵者”（也叫“QQ尾巴”）木馬為代表。感染這類木馬后，QQ會自動發(fā)送諸如“http://xmc.******.net快去看看,您感興趣的消息”之類的消息。當(dāng)其他用戶登錄消息中的網(wǎng)站，他的計算機就有可能感染這個病毒，也會自動發(fā)送這類消息。通常，這些網(wǎng)站上還包含有廣告木馬，感染這類木馬的計算機的IE首頁會被鎖定為含有病毒的網(wǎng)站而無法修改，并且還會定期彈出廣告窗口。即時通信木馬和廣告木馬的目的就是為了提高網(wǎng)站的訪問量，但頻繁發(fā)送消息和彈出廣告已經(jīng)嚴重干擾了用戶正常的上網(wǎng)和辦公。

技術(shù)復(fù)雜性大幅提升
2004年木馬在功能上發(fā)生變化的同時，其技術(shù)也變得越來越復(fù)雜化，開始具有更高的隱蔽性和對抗安全軟件的能力。
（一）傳播渠道的變化
從傳播方式看，2004年的木馬主要通過兩大渠道傳播。
一是即使通信軟件與含有惡意代碼的網(wǎng)站相配合，那些頻頻更新、變種數(shù)以百計的“QQ尾巴”木馬、2004年10月份大肆傳播的Worm.MSN.Funny（又稱“MSN騙子”）病毒都是利用即時通信軟件自動發(fā)送廣告消息傳播的典型木馬，2004年發(fā)現(xiàn)的幾個偷盜“傳奇”網(wǎng)絡(luò)游戲賬號的“武漢男生”木馬變種也是利用這種方式傳播的。
二是通過蠕蟲病毒釋放，這是國外一些病毒作者的慣用手法，許多國外的病毒在成功感染計算機后都會在受害的計算機上留有后門程序。這種方法目前也已經(jīng)逐漸被國內(nèi)的病毒作者所采用。
（二）隱藏手段的變化
從隱藏手段看，2004年的木馬采用的隨系統(tǒng)自啟動項的名稱更具欺騙性，啟動方式也更加復(fù)雜。
目前的木馬大多采用和系統(tǒng)文件相近的文件名進行偽裝，比如采用rund11.exe（用數(shù)字1偽裝成字母l）、Svch0st.exe（用數(shù)字0偽裝字母o）作為生成文件的名字。更有一些木馬干脆采用和系統(tǒng)文件相同的名字，但所在位置與正常文件不同，這樣用戶就很難注意到它的存在了，甚至連專業(yè)的反病毒專家也弄不清微軟自己的一些文件究竟應(yīng)該放在Windows的目錄還是Windows下面的系統(tǒng)目錄中。
由于木馬采用了和正常文件近似或相同的文件名，用戶經(jīng)常會對這類文件麻痹大意，就讓木馬有了可乘之機。
（三）啟動方式的變化
在啟動方式方面，2004年的木馬采用了更多的先進技術(shù)。許多自動修改IE首頁、反復(fù)在搜索頁和收藏夾中添加惡意網(wǎng)站地址以及瀏覽正常網(wǎng)站時自動彈出惡意網(wǎng)站廣告的木馬都以IE的插件形式隨IE的啟動自動運行。這種方式被稱為IE瀏覽器捆綁或瀏覽器劫持。
（四）文件格式的變化
在文件格式方面，許多木馬制作成DLL或OCX文件，使用Rundll32.exe運行。這樣做的好處有二，其一是可以使木馬的啟動方式變得隱蔽，不易被發(fā)現(xiàn)；其二是目前殺毒軟件對DLL文件的內(nèi)存查殺能力不強，正常模式下往往難于清除這類木馬，使之可以更好地執(zhí)行。
（五）反安全軟件特性
2004年的木馬普遍帶有反安全軟件的特性，多數(shù)木馬都會查找內(nèi)存中殺毒軟件和個人防火墻軟件的進程，并結(jié)束這些進程，使之失效。
實際上，結(jié)束安全軟件進程并不是一個新的技術(shù)，但這兩年該技術(shù)被普遍采用，2004年出現(xiàn)的許多木馬都具備這個功能。同時，木馬還利用其他手段躲避安全軟件的查殺，比如用DLL格式文件運行來躲避內(nèi)存殺毒、自動檢測、卸載或刪除反病毒軟件等。
總的來說，2004年的木馬不再像早些時候那樣，為了追求功能全面而臃腫復(fù)雜，開始針對用戶真實財產(chǎn)，功能單一但非常有效。

未來：務(wù)實為主

從2004年的木馬發(fā)展就可以看出，目前的木馬越來越“務(wù)實”，以直接獲取真實財產(chǎn)的偷盜類木馬大大增多。
通過對過去幾年的木馬發(fā)展趨勢可以判斷出未來木馬的發(fā)展趨勢。

具備病毒特征的木馬大量涌現(xiàn)
現(xiàn)在的木馬可以說是“為達目的不擇手段”，傳統(tǒng)的“木馬是裝作有用程序的一類惡意程序，不主動進行感染和傳播”的定義已經(jīng)變得片面，類似MSN騙子病毒就同時具備木馬和病毒的雙重特性。
為了能夠迅速地將木馬種植在盡可能多的計算機上，未來的木馬將大量采用計算機病毒技術(shù)，也就是說木馬本身就是蠕蟲病毒，反過來講蠕蟲病毒也具有木馬的功能特征，木馬和病毒之間將沒有明顯的區(qū)分界限。

利用操作系統(tǒng)漏洞的木馬逐漸增多
不光只有病毒會利用操作系統(tǒng)的漏洞，越來越多的木馬也開始利用這些漏洞進行傳播，尤其是一些IE瀏覽器的漏洞，允許木馬在未經(jīng)用戶許可的情況下自動下載并運行。
早些時候的iframe漏洞、2004年弄得人心惶惶的JPEG溢出漏洞以及年底出現(xiàn)的網(wǎng)頁元素處理溢出漏洞都屬于這種情況。同時，由于寬帶在中國的普及，利用遠程攻擊漏洞進行傳播的木馬也會出現(xiàn)。

對抗反病毒軟件和個人防火墻軟件的技術(shù)升級
在對抗殺毒軟件方面，未來的木馬不會簡單地只結(jié)束殺毒軟件的進程或者卸載殺毒軟件，因為這種做法實際上已經(jīng)暴露了自身，有經(jīng)驗的用戶馬上會察覺到系統(tǒng)的異常。
新的木馬可能會針對殺毒軟件的弱點進行編寫，比如刪除殺毒軟件的病毒特征庫，使有些殺毒軟件加載病毒庫不成功并不會進行告警。這樣，殺毒軟件看似正常運行，實際已經(jīng)無法對木馬、病毒進行查殺，變成木馬的“幫兇”。
同時，為了躲避殺毒軟件的追殺，未來還可能會出現(xiàn)能夠變形的木馬。舉個簡單的例子（只是一個概念，可行性有待研究）：木馬可能內(nèi)置源代碼和編譯器，每次隨機地對源代碼進行自動改寫并釋放，然后用內(nèi)置的編譯器重新編譯。對殺毒軟件來說，每次重新編譯的木馬都是一個新的變種，對它們的查殺將會變得十分困難。
在對抗個人防火墻軟件方面，目前已經(jīng)有一些概念性的軟件出現(xiàn)，F(xiàn)ireHole就是其中一個（http://keir.net/firehole.html）。它的原理是創(chuàng)建一個DLL文件，并將這個文件放置在一個被防火墻信任的程序中，比如IE瀏覽器，那么這個DLL文件對網(wǎng)絡(luò)的訪問便不會被防火墻攔截。即使有一些謹慎的用戶設(shè)置了他們的防火墻，使瀏覽器只能在指定的TCP80端口連接，但這個惟一開放的端口也足以保證該DLL文件進行通信。

木馬功能智能化
傳統(tǒng)的木馬通常只通過捕獲用戶鍵盤操作來竊取用戶的密碼，目前不少軟件（如騰訊QQ）采用通過軟鍵盤輸入賬號、密碼的方式來防止這類偷盜情況的發(fā)生。未來的木馬會自動檢測用戶是否開啟軟鍵盤，通過Hook技術(shù)捕獲用戶的鼠標操作，并根據(jù)鼠標點擊順序截圖并發(fā)送到黑客的郵箱中。

腳本病毒甘做幕后幫兇
■ 北京 曉兵
腳本病毒想必大家都不會陌生，“美麗莎”、“快樂時光”、“萬花谷”都是惡性腳本病毒的代表。腳本病毒的出現(xiàn)使得病毒編寫的門檻大大降低了，稍具電腦知識的用戶經(jīng)過簡單的學(xué)習(xí)就可以輕松編寫出這種病毒來，其破壞性卻絲毫不比傳統(tǒng)病毒差。
隨著技術(shù)的發(fā)展，腳本病毒也像其他病毒一樣不斷地產(chǎn)生著新種類。

曾經(jīng)的輝煌

雖然腳本病毒出現(xiàn)的時候并不算短，但是人們真正聽到“腳本病毒”這個稱呼還是最近幾年的事，因為最早的腳本病毒只有一種情況，就是利用微軟Office系統(tǒng)提供的宏功能進行編制的病毒，也稱宏病毒。后來，隨著JS、VBS這樣真正的腳本編程語言的出現(xiàn)，腳本病毒這個名稱才被正式提出來。雖然宏病毒隨著Office 2000的宏安全機制的出現(xiàn)而走向沒落，但是它在腳本病毒的歷史上卻統(tǒng)治了相當(dāng)長的一段時間。
在腳本病毒的發(fā)展中期，歡樂時光病毒可謂是一座里程碑，它開創(chuàng)了感染式網(wǎng)頁病毒的先河，并在一夜之間傳遍整個世界，該病毒是腳本病毒發(fā)展的重要產(chǎn)物。在它之前雖然也有一些網(wǎng)頁腳本病毒出現(xiàn)，但是都未成氣候，讓大多數(shù)人認為腳本語言的編程能力有限，對網(wǎng)頁病毒的破壞性都還持懷疑態(tài)度，也就在這時候，歡樂時光病毒出現(xiàn)了。它采用VBS腳本語言進行編寫，隱藏在網(wǎng)頁中，當(dāng)用戶中了該病毒之后，病毒便會將用戶系統(tǒng)中所有的網(wǎng)頁文件都感染上病毒代碼，該病毒不但可以在傳染的過程改變大小，而且還能將自己作為信件的模板文件發(fā)送出去，還會刪除系統(tǒng)中的所有可執(zhí)行程序，使整個系統(tǒng)崩潰。可以說，歡樂時光病毒將腳本網(wǎng)頁病毒推入了一個新時代，從此，編寫這類腳本病毒的人越來越多。
此后，經(jīng)過短短一年的發(fā)展，腳本病毒又出現(xiàn)了兩種新的形式，一種是利用系統(tǒng)文件夾可配置屬性的RedLof病毒，另一種就是通過修改注冊表來破壞用戶系統(tǒng)的萬花谷、網(wǎng)頁炸彈、極限女孩等病毒。由于這類病毒的泛濫，各大反病毒公司都推出了自己的注冊表修復(fù)工具，也正是隨著這些工具的產(chǎn)生，使得曾經(jīng)輝煌一時的腳本病毒逐漸走向沒落。

退居幕后

現(xiàn)在，腳本病毒又出現(xiàn)了一種新的形態(tài)，就是成為木馬病毒的幫兇。
編寫病毒離不開編程語言，而編程語言的一個基本原則是，編程語言越高級，編程就越簡便，但是能實現(xiàn)的底層功能也就越有限，因為語言被層層封裝，已經(jīng)失去了靈活性。腳本語言是封裝級別極高的語言，它本身的破壞是比較有限的，因此從2003年開始，腳本病毒開始退居幕后，甘心做起了木馬病毒的幫兇，像2004年的“快樂耳朵”病毒就是一例。
這類病毒首先會給用戶發(fā)送一些帶有誘惑性標題的郵件，當(dāng)您感興趣并鏈接那個網(wǎng)址時，就已經(jīng)落入了病毒的圈套。該網(wǎng)址的首頁就是一個腳本病毒，他們一般會利用系統(tǒng)的網(wǎng)頁漏洞偷偷地給用戶系統(tǒng)安裝一個木馬，或者告訴用戶缺少一個插件，希望用戶點擊下載，其實這個插件就是一個木馬病毒。當(dāng)木馬病毒溜到用戶系統(tǒng)后就開始完成開后門、偷密碼等“地下”工作，給用戶帶來很大的安全隱患。
從這里我們看到，在這個講究合作的年代，腳本病毒也開始與傳統(tǒng)的木馬進行合作，這種合作很可能是病毒作者同時使用兩種編程語言編寫，然后再進行組合，也可能是兩個病毒小組之間協(xié)作完成的。

假到真時真亦假

網(wǎng)絡(luò)是一部永遠向前發(fā)展的永動機，而隨著網(wǎng)絡(luò)環(huán)境的變化，腳本病毒也一定會發(fā)生某些改變，它的明天是怎樣的呢？
首先，一個邏輯上的發(fā)展趨勢就是腳本病毒會越來越趨向于被動傳播這樣一種方式，就像上面分析的那樣，腳本病毒的編寫方便和功能上的先天不足，導(dǎo)致它在未來這個防毒體系已經(jīng)比較完善的世界中只能扮演一個幫兇的角色，將會出現(xiàn)更多利用腳本病毒傳播木馬程序這種模式的病毒。
其次，將會出現(xiàn)越來越多的網(wǎng)絡(luò)詐騙性質(zhì)的腳本病毒。這類病毒會給用戶發(fā)送一些含有偽造內(nèi)容的郵件，比如說用戶的網(wǎng)上銀行賬戶和密碼已經(jīng)過期之類的信息，當(dāng)用戶信以為真點擊給出的鏈接時，則會出現(xiàn)與真的網(wǎng)上銀行一樣的虛假網(wǎng)頁，該網(wǎng)頁會提示用戶輸入自己的用戶賬號和密碼，其實用戶的資料這時已經(jīng)被發(fā)送到了另一個郵箱，病毒作者只要定時收集這些信息，便能輕松竊取到用戶的網(wǎng)上銀行的資金。在未來，這種以詐騙為目的腳本病毒將會越來越多。
當(dāng)然，當(dāng)一些新的應(yīng)用產(chǎn)生后，必然會有新的病毒隨之而來。正所謂“魔高一尺，道高一丈”，無論未來病毒如何發(fā)展，總會有解決它的方法。

2004年毒界“風(fēng)云”榜
據(jù)統(tǒng)計，美國企業(yè)2003年因計算機病毒導(dǎo)致的損失約一百三十億美元。加州的市場研究公司預(yù)估，2004年的損失金額將更高，可能接近一百七十五億美元。如果從全球來看，2004年病毒所帶來的損失該是多么龐大的一組數(shù)據(jù)啊！
誰有如此能力，誰在2004年里的毒海里掀起巨浪？請看2004年的毒界“風(fēng)云”榜。
2004年毒界“風(fēng)云”榜
獎項 獲獎?wù)?得獎理由 得獎感言
最“佳”男主角 NetSky網(wǎng)絡(luò)天空病毒 歷久不衰 子孫(變種)滿堂，分身有術(shù)。
最“佳”女主角 Social Engineering社交工程 魅力無法擋 垂涎欲滴，鼠標忍不住想咬一口。
最“佳”新人 18歲的德國青年Sven Jaschan 全球矚目 震蕩波病毒作者，最好的18歲生日禮物。
最“佳”動作設(shè)計 Bot遙控程序 從不說“不” 黑客坐以待“幣”，傀儡計算機坐以待斃。
最“佳”視覺設(shè)計 Phishing網(wǎng)絡(luò)釣魚 維妙維肖 釣大戶，創(chuàng)“錢”程。
最“佳”置入式行銷 Spyware間諜軟件 神出鬼沒 找我臥底就對了。
最“佳”劇情片 MyDoom、Bagle和NetSky之間的口水戰(zhàn) 自編自導(dǎo) 隔空照樣打得火熱。
最“佳”替身演員 手機垃圾短信 一字千金 離間親友，反目成仇，夠霹靂。
最“佳”美術(shù)設(shè)計 JPEG圖片 金玉其表 將這個榮耀與漏洞計算機分享。
最“佳”男主角：NetSky網(wǎng)絡(luò)天空病毒

得獎理由：歷久不衰
NetSky不同于它的死對頭Bagle那樣不斷衍生出變種病毒，在傳說中的作者德國18歲少年被捕入獄后，自4月28日Worm_NetSky.AB之后，就沒有產(chǎn)生新的變種。但這并沒有削弱該病毒的影響力，幾乎每個月的十大病毒排行榜中，NetSky都名列前茅。
主要劣跡：
自2004年2月現(xiàn)身以來，NetSky變種家族每個月都進入趨勢科技實時病毒監(jiān)控中心的十大病毒排行榜，其中有八個月奪得毒王“寶座”，是2004年度長跑冠軍。
得獎感言：
子孫(變種)滿堂，分身有術(shù)。

最“佳”女主角：社交工程

得獎理由：魅力無法擋
黑客作案得逞的關(guān)鍵往往脫離不了“性、貪婪與恐懼”的主題，所以，社交工程（Social Engineering）這種操控計算機使用者間接破壞計算機的手法在病毒攻擊行動中開始擔(dān)任重要角色。而且，只要有一個人抗拒不了本身的好奇心而打開了帶毒郵件，病毒就可能在所在的網(wǎng)絡(luò)上大行肆虐。
主要劣跡：
◆著名的市調(diào)分析機構(gòu)Gartner在11月公開研究報告中表示：未來10年內(nèi)可能躲過IT監(jiān)控、攻破計算機網(wǎng)絡(luò)的最大風(fēng)險就是“社交工程（Social Engineering）”。
◆1到3月，MyDoom行騙天下。2004年第一季度感染冠軍MyDoom采用仿冒退件通知、信件無法正常被開啟、自動開啟應(yīng)用程序以及假裝是txt純文字文件的ICON等手法，創(chuàng)下高感染率。
◆9月，MSN一日之內(nèi)滿地開花。MSN“花木馬”病毒僅是惡作劇：“請放一朵玫瑰在MSN名字之前，為死于俄羅斯恐怖行動中的孩童哀悼”的信息，9月9日就像連鎖信一般地通過MSN實時通訊滿地綻放。翌日卻有人指稱其中含有病毒，大家又通過MSN要互相通知把“花”連根拔除。還好事后證實是虛驚一場，但若真有其事，這就是成功地運用社交工程的一大典型呢！
◆11月，阿拉法特死亡之謎。阿拉法特于2004年11月11日在法國巴黎附近的貝爾西軍醫(yī)院逝世，他的真正死因引起多方揣測。很快，出現(xiàn)了一個以“Latest News about Arafat！（阿拉法特的最新消息！）”為信件主題的病毒“Worm_Golten.A”。該病毒在內(nèi)文里敘述“Hello guys！Latest news about Arafat！Unimaginable！”，并分別附上兩個.emp圖片延伸格式附件，其中Apafat_1.emf文件名附件內(nèi)果真含有阿拉法特葬禮圖片，這是病毒利用障眼法，讓受害者沒有防備心地開啟第二個附件，一旦使用者開啟Apafat_2.emf附件，病毒就會利用Windows XP的Metafile漏洞鉆入系統(tǒng)。
得獎感言：
垂涎欲滴，讓鼠標忍不住想咬一口。
最“佳”新人：18歲德國青年Sven Jaschan

得獎理由：全球矚目
據(jù)德國Stern雜志的訪問內(nèi)容，18歲的Sven J.是從2004年1月才開始寫計算機病毒。Sven坦承，撰寫了29種網(wǎng)絡(luò)天空NetSky病毒的版本和三個震蕩波Sasser版本。
主要劣跡：
5月，讓全球動彈不得。澳大利亞鐵路，上萬旅客滯留站臺；德國銀行被迫改用手寫完成各種業(yè)務(wù)；英國海岸警備局的計算機無法運轉(zhuǎn)，工作人員不得不用紙條來記錄事故；芬蘭某銀行關(guān)閉120家分行達數(shù)個小時；德爾塔航空公司約40個航班無法準時起飛。
得獎感言：
最好的18歲生日禮物。（注：Sven Jaschan 在18歲生日當(dāng)天把該程序放網(wǎng)絡(luò)上）

最“佳”動作設(shè)計：Bot遙控程序

得獎理由：從不說“不”
Bot是黑客暗中出租計算機攻擊他人并牟利的新武器，一個口令，傀儡計算機齊動員，動作整齊。
主要劣跡：
◆7月，Bot成為新興詐騙行業(yè)。來自英國的報導(dǎo)指出，有一個由青少年人組成的新興行業(yè)正盛行：“出租可由遠程惡意程序任意擺布的計算機”，這些受控制的計算機稱之為“傀儡（Zombie）”計算機。數(shù)目小自10臺大到3萬臺。
◆ 9月，挪威被迫關(guān)閉IRC。挪威ISP“Telenor”因為察覺IRC（Internet Relay Chat）已成為1萬多臺個人計算機組成的攻擊網(wǎng)絡(luò)的指令中心，因此關(guān)閉了IRC服務(wù)器。
◆ 10月，四萬美金花錢消災(zāi)。網(wǎng)絡(luò)安全機構(gòu)SANS表示，傀儡計算機已被黑客當(dāng)作用來勒索的工具，尤其是線上賭博網(wǎng)站，若要避免服務(wù)器因DoS而癱瘓，代價是付給黑客4萬美金。
◆ 11月，生意談不成，癱瘓對方網(wǎng)站。美國司法單位起訴一位公司負責(zé)人，該涉嫌人因為生意沒做成，涉嫌雇用網(wǎng)絡(luò)黑客利用Bot程序癱瘓另一家公司的網(wǎng)站。被害者至少損失了二十萬美元。
得獎感言：
傀儡計算機坐以待斃，黑客坐以待“幣”。

最“佳”視覺設(shè)計: Phishing網(wǎng)絡(luò)釣魚

得獎理由：惟妙惟肖
仿冒金融機構(gòu)官方頁面相似度近100％，靠得再近，也看不出來哪里不對勁。詐取受騙者銀行賬號、私人密碼，得逞率極高。
主要劣跡：
◆IDC在2004年10月發(fā)布的《2004年亞太地區(qū)的安全威脅》（不含日本）的報告指出，網(wǎng)絡(luò)欺詐行為“網(wǎng)絡(luò)釣魚”（Phishing），已經(jīng)對亞太地區(qū)從事電子商務(wù)的企業(yè)造成嚴重的安全威脅，成為成長速度極快的非暴力犯罪行為之一，知名金融機構(gòu)是其鎖定目標。
◆美國 ParentyConsulting主席Thomas Parenty在2004年5月香港舉辦的“信息安全博覽會”表示：逮捕“Phisher”的成功率只有七百分之一 。
◆ 9月，假橘子真詐騙。一個中國網(wǎng)站以“gamannia”的名字作為網(wǎng)域名稱，并放上游戲橘子的Logo企圖瞞天過海。該假網(wǎng)站謊稱配合政府打擊詐騙，要求玩家輸入資料進行核對，借機盜取游戲序號。事實上，游戲橘子的網(wǎng)域名是“gamania”，冒牌網(wǎng)站則在字母中間多了1個“n”。
◆ 10月，網(wǎng)絡(luò)釣魚進入第二代，不再完全依賴電子郵件。早期的網(wǎng)絡(luò)釣魚信件以英文為主，而且文法錯誤百出，使用者只要不點選信中的鏈接，就不會上鉤。不過，目前網(wǎng)絡(luò)釣魚的辨識度愈來愈低了，甚至不用電子郵件當(dāng)釣餌，可以說是第二代的網(wǎng)絡(luò)釣魚。比如，Troj_Bancos.cp這個特洛伊木馬會監(jiān)控Internet Explorer的瀏覽行為，以獲得記錄受害者的IE上網(wǎng)行為，一旦窗口標題符合設(shè)定的銀行字符串，就會制造幾可亂真的登錄網(wǎng)頁，要求輸入個人密碼等敏感資料。這些資料匯整于特定文件夾后，將利用電子郵件自動發(fā)送給黑客。而且，每一筆資料被寄出后，會自動刪除，來去不留痕跡。
◆ 11月，到天堂釣魚。一封冒稱“天堂II營運團隊”的詐騙信件以“關(guān)于您的賬號涉嫌盜號”為電子郵件標題，聲稱收件者的游戲序號已被盜用，為了保護被盜玩家的利益，要求輸入相關(guān)賬號信息，否則三日內(nèi)將永久停用該賬號。
◆ 11月，利用Google等著大魚上鉤。當(dāng)網(wǎng)絡(luò)購物者利用Google搜索他們要購買的商品時，會被引導(dǎo)到某網(wǎng)站，并指示用戶點擊產(chǎn)品圖片。一旦點擊后，并不會看到廣告上的產(chǎn)品，而是指向了一個自動解壓縮的.zip文件，并自動安裝特洛伊木馬，以竊取個人金融資料。
得獎感言：
釣大戶，創(chuàng)“錢”程。

最“佳”置入式行銷：Spyware間諜軟件

得獎理由：神出鬼沒
宛若網(wǎng)絡(luò)偵探社，Spyware間諜軟件起初是利用用戶安裝軟件時潛入用戶的系統(tǒng)，并利用多半用戶未仔細閱讀同意書的習(xí)慣，規(guī)避責(zé)任。后來進展到與垃圾郵件共同犯案，比如鼠標點選垃圾郵件的“remove it”時，間諜軟件即進駐計算機。
主要劣跡：
◆根據(jù)National Cyber Security Alliance調(diào)查報告指出，91％的PC遭受間諜軟件入侵，但1/3受訪者認為遭受網(wǎng)絡(luò)攻擊的機會，比中樂透彩或被雷打到機率低。美國國家網(wǎng)絡(luò)安全聯(lián)盟和美國在線公司10月25日聯(lián)合發(fā)布另一項雷同調(diào)查報告亦指出，在某個用戶運行緩慢的計算機上，居然有1000多個“間諜軟件”。難怪有廠商推出情人間諜軟件，監(jiān)看情人與網(wǎng)友的交談。
◆ 6月，WebMoney鎖定50家銀行。WebMoney專門竊取個人網(wǎng)絡(luò)銀行的相關(guān)信息，在使用者訪問近50家銀行網(wǎng)站時，測錄鍵盤竊取密碼，并把得手的信息回傳到某個黑客網(wǎng)站。
◆ 7月，Tenget.A帶您去Shopping。Tenget.A這個間諜軟件化身為網(wǎng)址工具列（browser helper），或者是隨著E-mail的網(wǎng)址鏈接而來，一旦執(zhí)行就會修改IE設(shè)定，當(dāng)受害者在瀏覽器上端網(wǎng)址列輸入auto.search.msn.com