密碼賊與BOT蟲(chóng)等灰色軟件將取代文件型病毒

行蹤更隱密、滲透更持久、攻擊更多元

趨勢(shì)科技全球防毒研發(fā)暨技術(shù)支持中心--TrendLabs公布2006年安全威脅預(yù)測(cè)：密碼竊賊與 BOT 傀儡蟲(chóng)等灰色軟件將取代文件感染型病毒，并以各種隱匿行蹤技巧，避免被偵測(cè)，從而拉長(zhǎng)監(jiān)聽(tīng)竊取機(jī)密資料的時(shí)間。這種竊取資料的攻擊趨勢(shì)也向手機(jī)發(fā)展了，2005 年11月第一個(gè)嘗試竊取手機(jī)信息的安全威脅SYMBOS_PBSTEAL.A，會(huì)將所有竊取的聯(lián)絡(luò)人信息傳送到距離范圍內(nèi)的其它所有移動(dòng)裝置。另外，TrendLabs統(tǒng)計(jì)發(fā)現(xiàn)2005年藏身在網(wǎng)頁(yè)的間諜程序/廣告程序與后門(mén)、Rootkit 或具BOT 功能等灰色程序，以更隱密的方式安裝在不知情的計(jì)算機(jī)里。2005年此類(lèi)灰色程序占前15大安全威脅中的65％ 。而在所有的入侵方式中，以掃描網(wǎng)絡(luò)共享資料夾占37％，得逞機(jī)率最高。其次為安全弱點(diǎn)攻擊（19％），而IM 、IRC 和 P2P 通訊有關(guān)的安全威脅居第三（16%）。

2005 年病毒的創(chuàng)新伎倆，包含：

1.木馬生命周期延長(zhǎng)，以充裕時(shí)間竊取信息

2.新一代“間諜式網(wǎng)絡(luò)釣魚(yú)”，監(jiān)控網(wǎng)絡(luò)傳輸，開(kāi)啟真網(wǎng)頁(yè)，登錄數(shù)據(jù)傳輸?shù)谌?/p>

3.黑客滲透計(jì)算機(jī)，安裝行銷(xiāo)程序，換取傭金

4.惡意程序隱身策略：封裝程序、Rootkit、雙組件攻擊

5.BOT 開(kāi)放原始碼，模塊化使其加速進(jìn)行安全弱點(diǎn)攻擊

趨勢(shì)科技預(yù)測(cè)2006 年的安全威脅包含：

1.整合后的BOT 殭尸軍團(tuán)火力將更強(qiáng)大

2.<掩護(hù)行蹤更難偵測(cè)> 以封裝程序 、Rootkit隱匿行蹤的方法將會(huì)增加

3.<間諜式網(wǎng)絡(luò)釣魚(yú)更易上鉤>不引誘造訪假網(wǎng)站，傳輸機(jī)密資料不留痕跡

4.<惡意程序廣告化>廣告程序、間諜軟件以量計(jì)價(jià)，黑客向“錢(qián)”看

IM 、IRC 和 P2P 通訊有關(guān)安全威脅持續(xù)成長(zhǎng)　

2005年新的灰色程序增加了一倍，安裝更為隱密。

灰色程序包括廣告程序、后門(mén)程序、下載程序、以及植入程序。2005 年灰色程序出現(xiàn)極大的轉(zhuǎn)變，新的廣告程序變種變種改為采用更隱匿的方式將灰色程序安裝在受害者的計(jì)算機(jī)上。整體上而言，2005 年新型態(tài)的廣告程序依然維持穩(wěn)定成長(zhǎng)的趨勢(shì)，但是新的后門(mén)程序、下載程序、植入程序、以及其它特洛依木馬間諜程序數(shù)量都增加了一倍。

2005 年可說(shuō)是「灰色程序充斥的一年」，通報(bào)次數(shù)將近 1100萬(wàn)次，在前十五大安全威脅排行榜中就占了 65% 的比例 –– 其中包括某些類(lèi)型的間諜程序、廣告程序、后門(mén)程序、Rootkit 或 BOT 程序。

安全威脅型態(tài)的分布比例：

1.27% 為特洛依木馬程序

2.25% 為病毒或蠕蟲(chóng)

3.18% 為廣告程序

4.11% 為間諜程序

5.10% 為 BOT 傀儡程序

6.3% 為Script指令文件病毒

7.0.60% 為 Rootkit惡意程式工具包

8.0.60% 為 Office 宏病毒

惡意程序入侵手法排行：

1.搜尋網(wǎng)絡(luò)共享資料夾（37%）

2.安全弱點(diǎn)攻擊（ 19% ）

3.大量發(fā)信程序、網(wǎng)絡(luò)聊天室 (IRC)、預(yù)設(shè)共享資料夾（各占10%）

4.實(shí)時(shí)傳訊程序 (IM)（ 4% ）

5.文件感染、 P2P 網(wǎng)絡(luò)資源共享（各占 2%）

上圖提供了 2005 年惡意程序最常使用的散播技巧的綜覽，這些資料是以趨勢(shì)科技全年所收集到的9，000 種較值得注意的新型惡意程序?yàn)橐罁?jù)。根據(jù)趨勢(shì)科技的分析，反復(fù)搜尋網(wǎng)絡(luò)共享資料夾以植入惡意程序依然是最成功的方法，在所有案例中占了將近 37% 的比例。針對(duì)安全弱點(diǎn)進(jìn)行攻擊是成功率第二高的手法，在所有案例中占了 19% 的比例。在其它的散播媒介中，利用大量發(fā)信程序代碼，網(wǎng)絡(luò)聊天室 (IRC)、以及預(yù)設(shè)共享資料夾進(jìn)行散播的方式分別都占了大約 10% 的比例。利用實(shí)時(shí)傳訊程序 (IM) 作為感染媒介只占了 4% 的比例，而其它所有方法，像是典型的文件感染及利用 P2P 網(wǎng)絡(luò)資源共享等等，在所有攻擊媒介中分別都只占了大約 2% 的比例，但若將IM 、IRC 和 P2P 等通訊有關(guān)的安全威脅歸為同類(lèi)，則居第三（16%）。

IM 蠕蟲(chóng)成長(zhǎng)幅度達(dá)100％

過(guò)去三年來(lái)，趨勢(shì)科技 TrendLabs研究人員不斷警告使用者應(yīng)注意偶發(fā)性、但日益頻繁的另類(lèi)感染媒介的運(yùn)用。2005 年趨勢(shì)科技 TrendLabs目睹了 KELVIR、FATSO 與 BROPIA 等蠕蟲(chóng)在這年的第一季發(fā)動(dòng)另一波攻勢(shì)，每一只蠕蟲(chóng)都能有效地散播給中毒計(jì)算機(jī)所有的 MSN Messenger 聯(lián)絡(luò)人。利用冒充他人傳送信息的手法，以及 IM 使用者年齡層普遍較低的情形，警覺(jué)性不高的 IM 使用者往往會(huì)很驚訝地發(fā)現(xiàn)他們信任的聯(lián)絡(luò)人竟然會(huì)傳送病毒給他們。這些轉(zhuǎn)變迫使 Microsoft 推出更新版本的程序，強(qiáng)化文件傳輸過(guò)濾功能以防止客戶端機(jī)器發(fā)生嚴(yán)重的病毒爆發(fā)情況。　

上圖顯示的是實(shí)時(shí)傳訊程序被用于散播病毒的發(fā)展情形，資料是以使用這種技巧的新型惡意程序數(shù)量為依據(jù)*。十二月的成長(zhǎng)幅度超過(guò)一百倍。

手機(jī)威脅，開(kāi)始竊取聯(lián)絡(luò)人信息

2005 年11月，趨勢(shì)科技收到了一個(gè)手機(jī)惡意程序的樣本，這個(gè)惡意程序會(huì)收集所有聯(lián)絡(luò)人信息，并且將它們傳送到距離范圍內(nèi)的其它所有移動(dòng)裝置。趨勢(shì)科技將這個(gè)惡意程序命名為 SYMBOS_PBSTEAL.A。事實(shí)上，這個(gè)惡意程序是第一個(gè)嘗試竊取手機(jī)信息的安全威脅。

竊取手機(jī)通訊簿的惡意程序及惡意程序植入程序是否會(huì)受到惡意程序作者的青睞，目前尚無(wú)法得知。然而，這決不會(huì)是最后一次。因此，趨勢(shì)科技 TrendLabs務(wù)必要提高警覺(jué)，保障新興科技的安全 – 尤其是具備高帶寬聯(lián)機(jī)功能的移動(dòng)裝置，像是 WiFi、EDGE/GPRS、3G/UMTS，甚至是未來(lái)更高級(jí)的 WiMax。

2005 年病毒新伎倆

1. 木馬生命周期延長(zhǎng)，以充裕時(shí)間竊取信息

動(dòng)機(jī)的轉(zhuǎn)變使得安全威脅活動(dòng)產(chǎn)生結(jié)構(gòu)性變化。新的惡意程序大多都是以金錢(qián)利益為誘因。趨勢(shì)科技 TrendLabs發(fā)現(xiàn)針對(duì)特定目標(biāo)的攻擊愈來(lái)愈多，這些攻擊會(huì)鎖定特定企業(yè)與他們的使用者，或是彼此具有共通之處的某個(gè)特定族群。精心設(shè)計(jì)的特洛依木馬程序會(huì)透過(guò)郵件散播給這些目標(biāo)，希望警覺(jué)性不高的使用者會(huì)落入圈套中。采用這種有別于大規(guī)模蠕蟲(chóng)感染的慢速散播方法，即可大幅增加了惡意程序維持長(zhǎng)時(shí)間不被偵測(cè)到的機(jī)會(huì)。這種策略能讓特洛依木馬在被偵測(cè)并移除之前，收集到更多機(jī)密信息。

2. 新一代“間諜式網(wǎng)絡(luò)釣魚(yú)”，監(jiān)控網(wǎng)絡(luò)傳輸，開(kāi)啟真網(wǎng)頁(yè)，登錄數(shù)據(jù)傳輸?shù)谌?/p>

2005年趨勢(shì)科技目睹了一種全新的攻擊手法稱(chēng)之為「間諜式網(wǎng)絡(luò)釣魚(yú)」。舉例來(lái)說(shuō)，有一種攻擊手法結(jié)合了網(wǎng)絡(luò)釣魚(yú)圈套與網(wǎng)站嫁接攻擊，并且鎖定線上銀行、金融機(jī)構(gòu)、以及其它必須使用密碼的網(wǎng)站作為對(duì)象。進(jìn)行間諜程序網(wǎng)絡(luò)釣魚(yú)攻擊時(shí)，作者會(huì)利用電子郵件中夾帶一個(gè)特洛依木馬程序，或是一個(gè)可下載特洛依木馬程序的連結(jié)。一旦惡意程序下載并執(zhí)行之后，無(wú)論是通過(guò)手動(dòng)的方式或是利用安全弱點(diǎn)，惡意程序就會(huì)監(jiān)控網(wǎng)絡(luò)傳輸?shù)男畔ⅲ瑐蓽y(cè)使用者是否通過(guò)網(wǎng)絡(luò)存取特定網(wǎng)頁(yè)。一旦偵測(cè)到這種情況時(shí)，它就會(huì)將所有登入信息或機(jī)密資料傳回給黑客。目前已有不同的變種鎖定特定組織或相關(guān)的網(wǎng)絡(luò)公司，但它們的目的都一樣。大量散發(fā)的電子郵件內(nèi)容可能與目標(biāo)公司有關(guān)，或者它也可能會(huì)運(yùn)用其它型態(tài)的社交工程圈套，類(lèi)似傳統(tǒng)病毒所使用的技巧。

3. 黑客滲透計(jì)算機(jī)，安裝行銷(xiāo)程序，換取傭金

2005 年有一個(gè)相當(dāng)突出的趨勢(shì)就是混合型安全威脅的實(shí)際運(yùn)用。攻擊者以金錢(qián)利益為出發(fā)點(diǎn)，他們的活動(dòng)并未局限于竊取銀行與電子商務(wù)網(wǎng)站的登入信息而已。許多黑客還會(huì)在中毒計(jì)算機(jī)中植入間諜程序、廣告程序、以及其它灰色程序。如果黑客再加入來(lái)自第三方的間諜程序與廣告程序，他們就能從事行銷(xiāo)活動(dòng)，每安裝一個(gè)單位就能獲得一筆傭金。因此只要遭到黑客滲透的使用者愈多，他們賺的錢(qián)就愈多。多重特洛依木馬程序攻擊是通過(guò)一個(gè)下載程序/植入程序來(lái)展開(kāi)它的行動(dòng)，這個(gè)程序存在的目的只是為了將更多文件植入系統(tǒng)中，最后再安裝其它多種不同的特洛依木馬程序、廣告程序或間諜程序。這種方式在今天并非十分罕見(jiàn)，而且與之前討論過(guò)的趨勢(shì)轉(zhuǎn)變有直接的關(guān)聯(lián)。

4. 惡意程序隱身策略：封裝程序、Rootkit、雙組件攻擊

上述每一種技巧都具有一個(gè)共通點(diǎn) – 只要維持不被偵測(cè)到的時(shí)間愈長(zhǎng)，成功的可能性就愈高。竊取信息這種活動(dòng)如果只能進(jìn)行一天，它的有效性就會(huì)受到限制。它們進(jìn)行監(jiān)聽(tīng)的時(shí)間愈長(zhǎng)，取得寶貴信息的可能性就愈高。這種躲避偵測(cè)的需求，使得駭客分別以封裝程序、Rootkit、雙組件攻擊等策略，為惡意行徑穿上隱身斗蓬。

封裝程序

惡意程序作者仿效早在 2003 年就曾出現(xiàn)過(guò)的作法，使用不同的封裝程序來(lái)掩飾二進(jìn)制程序的內(nèi)部結(jié)構(gòu)。封裝程序能將執(zhí)行文件壓縮成較小的文件，此外它們還能讓不是使用程序代碼仿真或行為模式分析的傳統(tǒng)掃瞄程序?qū)?zhí)行文件產(chǎn)生不同的偵測(cè)結(jié)果。運(yùn)用這種功能作為掩護(hù)技巧就能延長(zhǎng)程序的存活時(shí)間，因?yàn)榉蓝緩S商必須取得許多樣本才能正確偵測(cè)出惡意程序的變種。黑客現(xiàn)在會(huì)分?jǐn)?shù)次以電子郵件散播同一個(gè)惡意的特洛依木馬程序，但每一次都使用不同的封裝程序，或者同時(shí)使用多種不同封裝程序來(lái)壓縮。蠕蟲(chóng)作者利用這種策略來(lái)散播不斷變化的蠕蟲(chóng)文件，并且使用數(shù)十種不同的封裝程序來(lái)作掩護(hù)。在惡意程序作者與安全產(chǎn)品廠商的貓捉老鼠游戲中，這種復(fù)雜性能拖延偵測(cè)時(shí)間，也因此讓四個(gè) WORM_MYTOB 變種能夠在五月引發(fā)黃色警報(bào)。另一個(gè)值得注意的案例則是與2005年最后一季發(fā)現(xiàn)的 SOBER 變種有關(guān)。根據(jù)趨勢(shì)科技的偵測(cè)結(jié)果，光是在十月造成了病毒爆發(fā)的 SOBER.AC 這個(gè)變種，就出現(xiàn)多達(dá) 64 種不同的封裝樣本。十一月 SOBER.AG 也利用這種技巧達(dá)到近似的成功效果。

Rootkit

黑客紛紛開(kāi)始尋找其它方法以隱匿他們的行蹤，而且已經(jīng)找到其中最有效的一種方法：Rootkit。接近 2005 年底時(shí)，Rootkit 被當(dāng)成協(xié)助掩飾惡意程序與灰色程序活動(dòng)的終極武器。Rootkit 會(huì)修改操作系統(tǒng)行為模式，以隱藏某些處理程序、文件、資料夾、以及登錄機(jī)碼。這種做法能賦予惡意程序無(wú)與倫比的強(qiáng)大威力，同時(shí)又能讓它變得更為復(fù)雜，所以更難以偵測(cè)及清除。由于 Rootkit 都是公開(kāi)提供 – 許多都采用開(kāi)放原始碼標(biāo)準(zhǔn) – 任何人即使沒(méi)有制造 Rootkit 所需的技術(shù)能力，也都能運(yùn)用這種工具，因?yàn)樗袦?zhǔn)備工作事先都已經(jīng)完成了。隨著 Rootkit 愈來(lái)愈受惡意程序作者歡迎，內(nèi)容安全廠商必須強(qiáng)化它們的工具才能偵測(cè)到這些裝置。據(jù)趨勢(shì)科技的觀察，Rootkit 遭 BOT 傀儡程序與 特洛依木馬搭配使用的情形愈來(lái)愈頻繁，尤其是第三季就有超過(guò) 150，000 臺(tái)計(jì)算機(jī)被發(fā)現(xiàn)遭到感染。

雙組件攻擊

2005 年總共有 56 種不同的惡意程序運(yùn)用利用 URL 連結(jié)或簡(jiǎn)單的下載程序技巧，過(guò)去幾年來(lái)，安全產(chǎn)品廠商一直建議過(guò)濾并封鎖特定文件類(lèi)型，并且對(duì)附件文件進(jìn)行驗(yàn)證，以避免發(fā)生病毒誤判的情況，這是針對(duì)散發(fā)大量郵件的安全威脅最有效的防范方法。惡意程序作者于是采用URL 連結(jié)或下載程序設(shè)法突破這些安全防護(hù)措施，這種技巧的關(guān)鍵在于不必依賴(lài)電子郵件作為安全威脅的直接感染媒介，而是利用下載程序直接將惡意檔案透過(guò)網(wǎng)絡(luò)植入計(jì)算機(jī)。此外，這種技巧還能讓惡意程序作者不斷更新惡意程序，免去重新植入惡意程序的麻煩。根據(jù)趨勢(shì)科技的追蹤結(jié)果，而且趨勢(shì)科技 TrendLabs預(yù)測(cè)這種技巧將會(huì)愈來(lái)愈普遍。

5. BOT 開(kāi)放原始碼，模塊化使其加速進(jìn)行安全弱點(diǎn)攻擊

去年還有一個(gè)重要的惡意程序趨勢(shì)，愈來(lái)愈多的惡意程序模塊被用于從事攻擊活動(dòng)。BOT 已經(jīng)發(fā)展程能迅速散播的惡意程序，最主要的原因是因?yàn)樗鼈円呀?jīng)采用開(kāi)放原始碼的開(kāi)發(fā)方式，以模塊化的模式來(lái)建構(gòu)。任何一個(gè)歹徒都能下載這些 BOT 的原始程序代碼，選擇要使用的模塊，然后再創(chuàng)造出新的變種。惡意程序作者不斷為 BOT 蠕蟲(chóng)增加新的模塊及增強(qiáng)功能，因此原本散播速度緩慢的 BOT 攻擊已經(jīng)演變?yōu)橐粋€(gè)新的類(lèi)別：有史以來(lái)彈性最大的惡意程序。它們可能以電子郵件蠕蟲(chóng)、網(wǎng)絡(luò)蠕蟲(chóng)、P2P 蠕蟲(chóng)，或者身兼上述幾種型態(tài)現(xiàn)身。由于彈性更大，今年它們已經(jīng)證明了另外一件事：只要有任何新的安全弱點(diǎn)公布在網(wǎng)絡(luò)上，它們就能立即加入這些安全弱點(diǎn)的攻擊行動(dòng)。2000 年十月，在一個(gè)安全弱點(diǎn)公布的一年之后，NIMDA 蠕蟲(chóng)才針對(duì)這個(gè)安全弱點(diǎn)發(fā)動(dòng)攻擊；2004 年，SASSER 的現(xiàn)身已經(jīng)將這個(gè)時(shí)間間隔縮短為 17 天；但是到了 2005 年，ZOTOB 更令人驚訝，從安全弱點(diǎn)公布到蠕蟲(chóng)程序代碼中加入成功的攻擊行動(dòng)，只需要短短 4 天的時(shí)間。

將 BOT 功能運(yùn)用于蠕蟲(chóng)攻擊的作法一直未曾改變過(guò)。BOT 網(wǎng)絡(luò)的擁有者利用這些網(wǎng)絡(luò)來(lái)上傳間諜程序/廣告程序、竊取信息、建立垃圾郵件發(fā)送平臺(tái)、以及對(duì)第三方發(fā)動(dòng)服務(wù)阻斷攻擊。這些不法活動(dòng)都會(huì)依據(jù) BOT 網(wǎng)絡(luò)中的受害者人數(shù)多寡，提供相對(duì)比例的金錢(qián)利益給 BOT 操控者。一旦 BOT 網(wǎng)絡(luò)達(dá)到相當(dāng)大的規(guī)模，就能轉(zhuǎn)手出售，或是劃分一部份出租給其它惡棍從事不法活動(dòng)：充當(dāng)代為散發(fā)垃圾郵件、竊取私密信息、或上傳間諜程序或廣告程序給中毒機(jī)器的工具。

2006 年趨勢(shì)預(yù)測(cè)

有鑒于當(dāng)前的安全威脅概況，趨勢(shì)科技 TrendLabs預(yù)期過(guò)去一年內(nèi)出現(xiàn)的許多趨勢(shì)將會(huì)持續(xù)延續(xù)下去：

-整合后的BOT 殭尸軍團(tuán)火力將更強(qiáng)大：自 2002 年起B(yǎng)OT 傀儡蟲(chóng)的數(shù)量已呈等比級(jí)數(shù)成長(zhǎng)，它們變得愈來(lái)愈復(fù)雜，也愈來(lái)愈危險(xiǎn)，而且已證明一旦有任何網(wǎng)絡(luò)安全弱點(diǎn)被發(fā)現(xiàn)，隨即就可能遭它們利用。去年警察與調(diào)查單位揭發(fā)的 BOT 網(wǎng)絡(luò)涵蓋全球超過(guò) 20萬(wàn)個(gè)受害者。BOT 已經(jīng)迅速演變成最令人畏懼的安全威脅之一，而且它的破壞威力可能沒(méi)有任何安全威脅可與之匹敵。現(xiàn)在 BOT 蠕蟲(chóng)就像是所有惡意程序的瑞士刀，因?yàn)樗鼈兙邆渖l(fā)大量電子郵件的能力、網(wǎng)絡(luò)安全弱點(diǎn)攻擊能力、可搭配 Rootkit 使用等等， 因此偵測(cè)數(shù)量不斷向上攀升。各個(gè)主要的 BOT 家族分別擁有數(shù)千個(gè)留有記錄的不同變種。由于 Rootkit 的運(yùn)用，以及安全弱點(diǎn)從被發(fā)現(xiàn)到實(shí)際運(yùn)用于攻擊之間的時(shí)間縮短，BOT 傀儡蟲(chóng)形成的殭尸網(wǎng)絡(luò)，將會(huì)發(fā)展出更多強(qiáng)大的功能。黑客使用 BOT 殭尸網(wǎng)絡(luò)能為它們的創(chuàng)造者帶來(lái)極大的非法利益，趨勢(shì)科技 TrendLabs預(yù)期今年偵測(cè)到的新變種數(shù)量將會(huì)增加。當(dāng)所有仍未被偵測(cè)到的舊 BOT 都被功能更強(qiáng)、或相互競(jìng)爭(zhēng)的變種取代后，安裝在系統(tǒng)中的惡意程序?qū)?huì)慢慢整合。

-<掩護(hù)行蹤更難偵測(cè)> 以封裝程序 、Rootkit隱匿行蹤的方法將會(huì)增加：為壓縮執(zhí)行文件而開(kāi)發(fā)出的二進(jìn)制封裝程序能讓執(zhí)行文件更容易散播。雖然這種做法最初是針對(duì)合法安裝的文件而開(kāi)發(fā)的，但是因?yàn)榉庋b程序能修改文件內(nèi)部結(jié)構(gòu)，所以惡意程序作者能利用這種技巧來(lái)謀取自身的利益。這已經(jīng)不是新的技巧，在去年的蠕蟲(chóng)大戰(zhàn)中就是相當(dāng)常見(jiàn)的策略，而且自 2002 年起有七次警報(bào)中都出現(xiàn)了這種技巧。趨勢(shì)科技 TrendLabs 預(yù)測(cè)利用封裝程序壓縮惡意程序及加密，散播不斷變化的蠕蟲(chóng)文件，并躲避掃描程序偵測(cè)的技法將會(huì)持續(xù)增加。

趨勢(shì)科技 TrendLabs預(yù)測(cè) Rootkit 與其它隱匿行蹤的技術(shù)將會(huì)有所成長(zhǎng)。Rootkit 技巧愈來(lái)愈受歡迎，短期之內(nèi)這種情形將會(huì)持續(xù)下去。當(dāng) Microsoft 今年推出最新的 Windows 操作系統(tǒng)時(shí)以為因應(yīng)時(shí)，但是黑客并不會(huì)放棄利用目前最多人使用的 Windows 版本而設(shè)計(jì) Rootkit。

此外，趨勢(shì)科技 TrendLabs還預(yù)測(cè)針對(duì)特定目標(biāo)的攻擊將會(huì)有小幅成長(zhǎng)，因?yàn)檫@種攻擊手法能讓黑客直接接收信息，并且維持長(zhǎng)時(shí)間不被偵測(cè)到。因?yàn)樗轻槍?duì)機(jī)密信息而來(lái)，與以往只強(qiáng)調(diào)攻擊的一般性破壞行為有極大差異。

-<間諜式網(wǎng)絡(luò)釣魚(yú)更易上鉤>不引誘造訪假網(wǎng)站，傳輸機(jī)密資料不流痕跡：他們可能有問(wèn)題發(fā)生傳統(tǒng)網(wǎng)絡(luò)釣魚(yú) URL 的存活時(shí)間大約只有 48-52 個(gè)小時(shí)。TrendLabs解釋說(shuō)，這是因?yàn)榘W(wǎng)絡(luò)釣魚(yú) URL 的電子郵件大約可在外流傳 48 到 52 個(gè)小時(shí)，然后就會(huì)被提報(bào)為惡意電子郵件。網(wǎng)絡(luò)釣客會(huì)不斷關(guān)閉陷阱并轉(zhuǎn)換另一個(gè)供應(yīng)者，以免被盯上。不過(guò)以監(jiān)控?cái)?shù)據(jù)傳輸取代偽裝頁(yè)面的“間諜式網(wǎng)絡(luò)釣魚(yú)”將延長(zhǎng)網(wǎng)絡(luò)釣魚(yú)的生命周期。無(wú)論是哪一種方式，后果都比傳統(tǒng)網(wǎng)絡(luò)釣魚(yú)更加危險(xiǎn)，因?yàn)樗褂玫牟⒉皇且T使用者造訪偽造網(wǎng)站的策略。而且從技術(shù)面來(lái)看，它比網(wǎng)站嫁接攻擊更容易執(zhí)行，因此就算是所謂的“script-kiddie”(抄襲他人原始碼的青少年黑客) 也可能成功進(jìn)行攻擊。當(dāng)使用者要登入銀行網(wǎng)頁(yè)時(shí)，間諜程序網(wǎng)絡(luò)釣魚(yú)會(huì)開(kāi)啟真實(shí)的網(wǎng)頁(yè)。使用者輸入個(gè)人信息之后，就會(huì)立刻進(jìn)入他們所要前往的網(wǎng)站，而不會(huì)有任何中斷，因此根本沒(méi)有不尋常的征兆可警告他們可能有問(wèn)題發(fā)生。唯一的差別是使用者的信息同時(shí)也會(huì)被轉(zhuǎn)送給第三方，而這個(gè)第三方就能利用這些信息來(lái)進(jìn)行不法活動(dòng)。

-<惡意程序廣告化>廣告程序、間諜軟件以量計(jì)價(jià)，黑客向“錢(qián)”看：長(zhǎng)久以來(lái)，安裝廣告程序一直都是相當(dāng)常見(jiàn)的做法。廣告活動(dòng)每年都能帶來(lái)巨額收入。許多廣告軟件商都很樂(lè)意出錢(qián)投資，讓他們的廣告產(chǎn)品盡可能安裝在更多的個(gè)人計(jì)算機(jī)上。雖然許多國(guó)家的政府都試圖規(guī)范或禁止這種做法，但是在他們采取行動(dòng)之后，廣告程序卻有愈來(lái)愈猖狂的趨勢(shì)。現(xiàn)在，甚至連惡意程序作者都選擇在他們的作品當(dāng)中加入廣告程序，設(shè)法增加他們的收入。趨勢(shì)科技預(yù)測(cè)，這種行為模式及可能維持目前持續(xù)成長(zhǎng)的趨勢(shì)。

-< IM 等信息傳輸協(xié)議將成為穿越防火墻> IM 、IRC 和 P2P 通訊有關(guān)安全威脅持續(xù)成長(zhǎng):2005年與 IM 、IRC 和 P2P 通訊有關(guān)的安全威脅在整體安全威脅散播媒介中占了 16%， IM 蠕蟲(chóng)成長(zhǎng)幅度在2005年12月更達(dá)100％。趨勢(shì)科技預(yù)測(cè)此類(lèi)信息傳遞協(xié)議將持續(xù)作為穿越防火墻的渠道，以及感染媒介。

2006 年防范惡意威脅之道

<企業(yè)組織>：

-部署 HTTP 掃描系統(tǒng)。許多現(xiàn)代的安全威脅都是通過(guò) Web 通訊協(xié)議來(lái)散播，趨勢(shì)科技 TrendLabs強(qiáng)烈建議采用 Web 病毒掃描系統(tǒng)，它的運(yùn)作方式就像多年前管理員開(kāi)始部署的電子郵件掃描系統(tǒng)一樣。在終端使用者收到任何中毒文件之前就偵測(cè)到并加以攔截，能讓企業(yè)的網(wǎng)絡(luò)基礎(chǔ)架構(gòu)擁有更多一層的保護(hù)。網(wǎng)絡(luò)層的間諜程序防護(hù)是附帶的利益，因?yàn)檫@些安全威脅只會(huì)利用 HTTP 進(jìn)入企業(yè)環(huán)境中。

-禁止非必要的通訊協(xié)議進(jìn)入企業(yè)網(wǎng)絡(luò)。其中最危險(xiǎn)的莫過(guò)于 IM 與 P2P 通訊協(xié)議，以及 IRC (線上交談)。這兩種通訊協(xié)議都是 BOT 進(jìn)行散播或與 BOT 操控者聯(lián)系時(shí)常用的利器，所以應(yīng)該禁止這些通訊協(xié)議通過(guò)企業(yè)防火墻。

-在網(wǎng)絡(luò)中部署安全弱點(diǎn)掃瞄軟件。隨時(shí)保持掃描軟件更新可讓任何網(wǎng)絡(luò)安全弱點(diǎn)的沖擊降至最低，同時(shí)降低被此類(lèi)蠕蟲(chóng)感染的風(fēng)險(xiǎn)。

-請(qǐng)勿將管理員權(quán)限指派給所有使用者。在所有權(quán)限中，最危險(xiǎn)的就是「加載和釋放外圍設(shè)備驅(qū)動(dòng)程序」。若要避免 Rootkit 的攻擊，這是最建議采取的措施 。通常 Rootkit 會(huì)以裝置驅(qū)動(dòng)程序的型態(tài)安裝，以便取得操作系統(tǒng)所有內(nèi)部組件的存取權(quán)限。重新規(guī)劃使用者安全原則，通過(guò)這種方式來(lái)限制使用者，這可能是保護(hù)網(wǎng)絡(luò)最有效的方法之一。如果取消使用者的管理員權(quán)限，還有一個(gè)附帶的利益：野心勃勃的惡意程序就無(wú)法終止系統(tǒng)中的防毒軟件處理程序。

-部署企業(yè)間諜程序防護(hù)掃瞄系統(tǒng)。當(dāng)間諜程序?qū)ζ髽I(yè)營(yíng)運(yùn)構(gòu)成相當(dāng)大的威脅時(shí)，管理員就必須部署特定軟件，以偵測(cè)并防堵這些間諜程序。

-教育使用者：網(wǎng)絡(luò)內(nèi)部必須嚴(yán)格執(zhí)行安全原則。不僅是軟件與防護(hù)系統(tǒng)能有效對(duì)抗惡意程序。多數(shù)情況下，使用者必須要采取某些行動(dòng)才會(huì)導(dǎo)致機(jī)器受到感染。無(wú)論是安裝間諜程序的網(wǎng)頁(yè)或夾帶病毒的電子郵件，使用者都應(yīng)該事先知道新型惡意程序攻擊使用者的方法。使用者的認(rèn)知才是維持網(wǎng)絡(luò)安全無(wú)虞的關(guān)鍵所在，而且管理員應(yīng)該定期舉辦一些教育活動(dòng)，讓使用者隨時(shí)獲得最新的信息，避免受到更新的惡意程序技術(shù)的侵襲。這一點(diǎn)對(duì)于較新的使用者十分重要，因?yàn)樗鼈兪菒阂獬绦蜃髡叩湫偷墓裟繕?biāo)。

<家庭使用者>：

-安裝新軟件前請(qǐng)三思：對(duì)于要求您安裝軟件的網(wǎng)頁(yè)必須提高警覺(jué)。請(qǐng)勿允許新軟件從您的瀏覽器中安裝，除非您百分之百信任此網(wǎng)頁(yè)與軟件供應(yīng)商。

-掃描所有從 Internet 下載的程序：使用較新的防毒軟件與間諜程序防護(hù)軟件掃描所有從 Internet 下載的程序。包括從 P2P 網(wǎng)絡(luò)、網(wǎng)站、或任何 FTP 服務(wù)器下載的程序，無(wú)論來(lái)源為何。

-不輕易開(kāi)啟郵件附件文件與連結(jié)：對(duì)于非預(yù)期且看似有異的電子郵件必須提高警覺(jué)，無(wú)論寄件人是誰(shuí)。絕對(duì)不要開(kāi)啟這些電子郵件所含的附件文件，也不要按下郵件中的鏈接。

-立即安裝更新程序：開(kāi)啟 Windows 操作系統(tǒng)的「自動(dòng)更新」功能，一旦有新的更新程序推出時(shí)，請(qǐng)立即安裝。

-保持防毒軟件常駐狀態(tài)：隨時(shí)開(kāi)啟防毒軟件實(shí)時(shí)掃描服務(wù)。定期監(jiān)控防毒軟件是否保持更新，以及服務(wù)是否已在執(zhí)行。