趋势科技全球防毒研发暨技术支持中心 -- trendlabs 公布 2006 年安全威胁预测 ：密码窃贼与 bot 傀儡虫等灰色软件将取代文件感染型病毒，并以各种隐匿行踪技巧，避免被侦测，从而拉长监听窃取机密资料的时间。这种窃取资料的攻击趋势也向手机发展了， 2005 年 11 月第一个尝试窃取手机信息的安全威胁 symbos_pbsteal.a ，会将所有窃取的联络人信息传送到距离范围内的其它所有移动装置。另外， trendlabs 统计发现 2005 年藏身在网页的间谍程序 / 广告程序与后门、 rootkit 或具 bot 功能等灰色程序，以更隐密的方式安装在不知情的计算机里。 2005 年此类灰色程序占前 15 大安全威胁中的 65 ％ 。而在所有的入侵方式中，以扫描网络共享资料夹占 37 ％，得逞机率最高。其次为安全弱点攻击（ 19 ％），而 im 、 irc 和 p2p 通讯有关的安全威胁居第三（ 16% ）。

　　2005 年病毒的创新伎俩

　　木马生命周期延长，以充裕时间窃取信息

　　新一代 “ 间谍式网络钓鱼 ” ，监控网络传输，开启真网页，登录数据传输第三者

　　黑客渗透计算机，安装行销程序，换取佣金

　　恶意程序隐身策略：封装程序、 rootkit 、双组件攻击

　　bot 开放原始码，模块化使其加速进行安全弱点攻击

　　趋势科技预测 2006 年的安全威胁包含

　　整合后的 bot 殭 尸军团火力将更强大

　　< 掩护行踪更难侦测 > 以封装程序 、 rootkit 隐匿行踪的方法将会增加

　　< 间谍式网络钓鱼更易上钩 > 不引诱造访假网站，传输机密资料不留痕迹

　　< 恶意程序广告化 > 广告程序、间谍软件以量计价，黑客向 “ 钱 ” 看

　　im 、 irc 和 p2p 通讯有关安全威胁持续成长

　　2005 年可说是「灰色程序充斥的一年」，通报次数将近 1100 万次，在前十五大安全威胁排行榜中就占了 65% 的比例 –– 其中包括某些类型的间谍程序、广告程序、后门程序、 rootkit 或 bot 程序。

　　安全威胁型态的分布比例：

　　27% 为特洛依木马程序

　　25% 为病毒或蠕虫

　　18% 为广告程序

　　11% 为间谍程序

　　10% 为 bot 傀儡程序

　　3% 为 script 指令文件病毒

　　0.60% 为 rootkit 惡 意程式工具包

　　0.60% 为 office 宏病毒

　　入侵网络共享资料夹，得逞机率最高

　　上图提供了 2005 年恶意程序最常使用的散播技巧的综览，这些资料是以趋势科技全年所收集到的 9,000 种较值得注意的新型恶意程序为依据。根据趋势科技的分析，反复搜寻网络共享资料夹以植入恶意程序依然是最成功的方法，在所有案例中占了将近 37% 的比例。针对安全弱点进行攻击是成功率第二高的手法，在所有案例中占了 19% 的比例。在其它的散播媒介中，利用大量发信程序代码，网络聊天室 (irc) 、以及预设共享资料夹进行散播的方式分别都占了大约 10% 的比例。利用实时传讯程序 (im) 作为感染媒介只占了 4% 的比例，而其它所有方法，像是典型的文件感染及利用 p2p 网络资源共享等等，在所有攻击媒介中分别都只占了大约 2% 的比例，但若将 im 、 irc 和 p2p 等通讯有关的安全威胁归为同类，则居第三（ 16% ）。

　　im 蠕虫成长幅度达 100 ％

　　过去三年来，趋势科技 trendlabs 研究人员不断警告使用者应注意偶发性、但日益频繁的另类感染媒介的运用。 2005 年趋势科技 trendlabs 目睹了 kelvir 、 fatso 与 bropia 等蠕虫在这年的第一季发动另一波攻势，每一只蠕虫都能有效地散播给中毒计算机所有的 msn messenger 联络人。利用冒充他人传送信息的手法，以及 im 使用者年龄层普遍较低的情形，警觉性不高的 im 使用者往往会很惊讶地发现他们信任的联络人竟然会传送病毒给他们。这些转变迫使 microsoft 推出更新版本的程序，强化文件传输过滤功能以防止客户端机器发生严重的病毒爆发情况。

　　上图显示的是实时传讯程序被用于散播病毒的发展情形，资料是以使用这种技巧的新型恶意程序数量为依据 * 。十二月的成长幅度超过一百倍。

　　手机威胁，开始窃取联络人信息

　　2005 年 11 月，趋势科技收到了一个手机恶意程序的样本，这个恶意程序会收集所有联络人信息，并且将它们传送到距离范围内的其它所有移动装置。趋势科技将这个恶意程序命名为 symbos_pbsteal.a 。事实上，这个恶意程序是第一个尝试窃取手机信息的安全威胁。

　　窃取手机通讯簿的恶意程序及恶意程序植入程序是否会受到恶意程序作者的青睐，目前尚无法得知。然而，这决不会是最后一次。因此，趋势科技 trendlabs 务必要提高警觉，保障新兴科技的安全 – 尤其是具备高带宽联机功能的移动装置，像是 wifi 、 edge/gprs 、 3g /umts ，甚至是未来更高级的 wimax 。

　　2005 年病毒新伎俩

　　1. 木马生命周期延长，以充裕时间窃取信息

　　动机的转变使得安全威胁活动产生结构性变化。新的恶意程序大多都是以金钱利益为诱因。趋势科技 trendlabs 发现针对特定目标的攻击愈来愈多，这些攻击会锁定特定企业与他们的使用者，或是彼此具有共通之处的某个特定族群。精心设计的特洛依木马程序会透过邮件散播给这些目标，希望警觉性不高的使用者会落入圈套中。采用这种有别于大规模蠕虫感染的慢速散播方法，即可大幅增加了恶意程序维持长时间不被侦测到的机会。这种策略能让特洛依木马在被侦测并移除之前，收集到更多机密信息。

　　2. 新一代 “ 间谍式网络钓鱼 ” ，监控网络传输，开启真网页，登录数据传输第三者

　　2005 年趋势科技目睹了一种全新的攻击手法称之为「间谍式网络钓鱼」。举例来说，有一种攻击手法结合了网络钓鱼圈套与网站嫁接攻击，并且锁定线上银行、金融机构、以及其它必须使用密码的网站作为对象。进行间谍程序网络钓鱼攻击时，作者会利用电子邮件中夹带一个特洛依木马程序，或是一个可下载特洛依木马程序的连结。一旦恶意程序下载并执行之后，无论是通过手动的方式或是利用安全弱点，恶意程序就会监控网络传输的信息，侦测使用者是否通过网络存取特定网页。一旦侦测到这种情况时，它就会将所有登入信息或机密资料传回给黑客。目前已有不同的变种锁定特定组织或相关的网络公司，但它们的目的都一样。大量散发的电子邮件内容可能与目标公司有关，或者它也可能会运用其它型态的社交工程圈套，类似传统病毒所使用的技巧。

　　3. 黑客渗透计算机，安装行销程序，换取佣金

　　2005 年有一个相当突出的趋势就是混合型安全威胁的实际运用。攻击者以金钱利益为出发点，他们的活动并未局限于窃取银行与电子商务网站的登入信息而已。许多黑客还会在中毒计算机中植入间谍程序、广告程序、以及其它灰色程序。如果黑客再加入来自第三方的间谍程序与广告程序，他们就能从事行销活动，每安装一个单位就能获得一笔佣金。因此只要遭到黑客渗透的使用者愈多，他们赚的钱就愈多。多重特洛依木马程序攻击是通过一个下载程序 / 植入程序来展开它的行动，这个程序存在的目的只是为了将更多文件植入系统中，最后再安装其它多种不同的特洛依木马程序、广告程序或间谍程序。这种方式在今天并非十分罕见，而且与之前讨论过的趋势转变有直接的关联。

　　4. 恶意程序隐身策略：封装程序、 rootkit 、双组件攻击

　　上述每一种技巧都具有一个共通点 – 只要维持不被侦测到的时间愈长，成功的可能性就愈高。窃取信息这种活动如果只能进行一天，它的有效性就会受到限制。它们进行监听的时间愈长，取得宝贵信息的可能性就愈高。这种躲避侦测的需求，使得骇客分别以 封装程序、 rootkit 、 双组件攻击 等策略，为恶意行径穿上隐身斗蓬。

　　封装程序

　　恶意程序作者仿效早在 2003 年就曾出现过的作法，使用不同的封装程序来掩饰二进制程序的内部结构。封装程序能将执行文件压缩成较小的文件，此外它们还能让不是使用程序代码仿真或行为模式分析的传统扫瞄程序对执行文件产生不同的侦测结果。运用这种功能作为掩护技巧就能延长程序的存活时间，因为防毒厂商必须取得许多样本才能正确侦测出恶意程序的变种。黑客现在会分数次以电子邮件散播同一个恶意的特洛依木马程序，但每一次都使用不同的封装程序，或者同时使用多种不同封装程序来压缩。蠕虫作者利用这种策略来散播不断变化的蠕虫文件，并且使用数十种不同的封装程序来作掩护。在恶意程序作者与安全产品厂商的猫捉老鼠游戏中，这种复杂性能拖延侦测时间，也因此让四个 worm_mytob 变种能够在五月引发黄色警报。另一个值得注意的案例则是与 2005 年最后一季发现的 sober 变种有关。根据趋势科技的侦测结果，光是在十月造成了病毒爆发的 sober.ac 这个变种，就出现多达 64 种不同的封装样本。十一月 sober.ag 也利用这种技巧达到近似的成功效果。

　　rootkit

　　黑客纷纷开始寻找其它方法以隐匿他们的行踪，而且已经找到其中最有效的一种方法： rootkit 。接近 2005 年底时， rootkit 被当成协助掩饰恶意程序与灰色程序活动的终极武器。 rootkit 会修改操作系统行为模式，以隐藏某些处理程序、文件、资料夹、以及登录机码。这种做法能赋予恶意程序无与伦比的强大威力，同时又能让它变得更为复杂，所以更难以侦测及清除。由于 rootkit 都是公开提供 – 许多都采用开放原始码标准 – 任何人即使没有制造 rootkit 所需的技术能力，也都能运用这种工具，因为所有准备工作事先都已经完成了。随着 rootkit 愈来愈受恶意程序作者欢迎，内容安全厂商必须强化它们的工具才能侦测到这些装置。据趋势科技的观察， rootkit 遭 bot 傀儡程序与 特洛依木马搭配使用的情形愈来愈频繁，尤其是第三季就有超过 150,000 台计算机被发现遭到感染。

　　双组件攻击

　　2005 年总共有 56 种不同的恶意程序运用利用 url 连结或简单的下载程序技巧，过去几年来，安全产品厂商一直建议过滤并封锁特定文件类型，并且对附件文件进行验证，以避免发生病毒误判的情况，这是针对散发大量邮件的安全威胁最有效的防范方法。恶意程序作者于是采用 url 连结或下载程序设法突破这些安全防护措施，这种技巧的关键在于不必依赖电子邮件作为安全威胁的直接感染媒介，而是利用下载程序直接将恶意档案透过网络植入计算机。此外，这种技巧还能让恶意程序作者不断更新恶意程序，免去重新植入恶意程序的麻烦。根据趋势科技的追踪结果，而且趋势科技 trendlabs 预测这种技巧将会愈来愈普遍。

　　5. bot 开放原始码，模块化使其加速进行安全弱点攻击

　　去年还有一个重要的恶意程序趋势，愈来愈多的恶意程序模块被用于从事攻击活动。 bot 已经发展程能迅速散播的恶意程序，最主要的原因是因为它们已经采用开放原始码的开发方式，以模块化的模式来建构。任何一个歹徒都能下载这些 bot 的原始程序代码，选择要使用的模块，然后再创造出新的变种。恶意程序作者不断为 bot 蠕虫增加新的模块及增强功能，因此原本散播速度缓慢的 bot 攻击已经演变为一个新的类别：有史以来弹性最大的恶意程序。它们可能以电子邮件蠕虫、网络蠕虫、 p2p 蠕虫，或者身兼上述几种型态现身。由于弹性更大，今年它们已经证明了另外一件事：只要有任何新的安全弱点公布在网络上，它们就能立即加入这些安全弱点的攻击行动。 2000 年十月，在一个安全弱点公布的一年之后， nimda 蠕虫才针对这个安全弱点发动攻击； 2004 年， sasser 的现身已经将这个时间间隔缩短为 17 天；但是到了 2005 年， zotob 更令人惊讶，从安全弱点公布到蠕虫程序代码中加入成功的攻击行动，只需要短短 4 天的时间。

　　将 bot 功能运用于蠕虫攻击的作法一直未曾改变过。 bot 网络的拥有者利用这些网络来上传间谍程序 / 广告程序、窃取信息、建立垃圾邮件发送平台、以及对第三方发动服务阻断攻击。这些不法活动都会依据 bot 网络中的受害者人数多寡，提供相对比例的金钱利益给 bot 操控者。一旦 bot 网络达到相当大的规模，就能转手出售，或是划分一部份出租给其它恶棍从事不法活动：充当代为散发垃圾邮件、窃取私密信息、或上传间谍程序或广告程序给中毒机器的工具。

　　手机威胁，开始窃取联络人信息

　　2005 年 11 月，趋势科技收到了一个手机恶意程序的样本，这个恶意程序会收集所有联络人信息，并且将它们传送到距离范围内的其它所有移动装置。趋势科技将这个恶意程序命名为 symbos_pbsteal.a 。事实上，这个恶意程序是第一个尝试窃取手机信息的安全威胁。

　　窃取手机通讯簿的恶意程序及恶意程序植入程序是否会受到恶意程序作者的青睐，目前尚无法得知。然而，这决不会是最后一次。因此，趋势科技 trendlabs 务必要提高警觉，保障新兴科技的安全 – 尤其是具备高带宽联机功能的移动装置，像是 wifi 、 edge/gprs 、 3g /umts ，甚至是未来更高级的 wimax 。

　　2005 年病毒新伎俩

　　1. 木马生命周期延长，以充裕时间窃取信息

　　动机的转变使得安全威胁活动产生结构性变化。新的恶意程序大多都是以金钱利益为诱因。趋势科技 trendlabs 发现针对特定目标的攻击愈来愈多，这些攻击会锁定特定企业与他们的使用者，或是彼此具有共通之处的某个特定族群。精心设计的特洛依木马程序会透过邮件散播给这些目标，希望警觉性不高的使用者会落入圈套中。采用这种有别于大规模蠕虫感染的慢速散播方法，即可大幅增加了恶意程序维持长时间不被侦测到的机会。这种策略能让特洛依木马在被侦测并移除之前，收集到更多机密信息。

　　2. 新一代 “ 间谍式网络钓鱼 ” ，监控网络传输，开启真网页，登录数据传输第三者

　　2005 年趋势科技目睹了一种全新的攻击手法称之为「间谍式网络钓鱼」。举例来说，有一种攻击手法结合了网络钓鱼圈套与网站嫁接攻击，并且锁定线上银行、金融机构、以及其它必须使用密码的网站作为对象。进行间谍程序网络钓鱼攻击时，作者会利用电子邮件中夹带一个特洛依木马程序，或是一个可下载特洛依木马程序的连结。一旦恶意程序下载并执行之后，无论是通过手动的方式或是利用安全弱点，恶意程序就会监控网络传输的信息，侦测使用者是否通过网络存取特定网页。一旦侦测到这种情况时，它就会将所有登入信息或机密资料传回给黑客。目前已有不同的变种锁定特定组织或相关的网络公司，但它们的目的都一样。大量散发的电子邮件内容可能与目标公司有关，或者它也可能会运用其它型态的社交工程圈套，类似传统病毒所使用的技巧。

　　3. 黑客渗透计算机，安装行销程序，换取佣金

　　2005 年有一个相当突出的趋势就是混合型安全威胁的实际运用。攻击者以金钱利益为出发点，他们的活动并未局限于窃取银行与电子商务网站的登入信息而已。许多黑客还会在中毒计算机中植入间谍程序、广告程序、以及其它灰色程序。如果黑客再加入来自第三方的间谍程序与广告程序，他们就能从事行销活动，每安装一个单位就能获得一笔佣金。因此只要遭到黑客渗透的使用者愈多，他们赚的钱就愈多。多重特洛依木马程序攻击是通过一个下载程序 / 植入程序来展开它的行动，这个程序存在的目的只是为了将更多文件植入系统中，最后再安装其它多种不同的特洛依木马程序、广告程序或间谍程序。这种方式在今天并非十分罕见，而且与之前讨论过的趋势转变有直接的关联。

　　4. 恶意程序隐身策略：封装程序、 rootkit 、双组件攻击

　　上述每一种技巧都具有一个共通点 – 只要维持不被侦测到的时间愈长，成功的可能性就愈高。窃取信息这种活动如果只能进行一天，它的有效性就会受到限制。它们进行监听的时间愈长，取得宝贵信息的可能性就愈高。这种躲避侦测的需求，使得骇客分别以

　　封装程序

　　恶意程序作者仿效早在 2003 年就曾出现过的作法，使用不同的封装程序来掩饰二进制程序的内部结构。封装程序能将执行文件压缩成较小的文件，此外它们还能让不是使用程序代码仿真或行为模式分析的传统扫瞄程序对执行文件产生不同的侦测结果。运用这种功能作为掩护技巧就能延长程序的存活时间，因为防毒厂商必须取得许多样本才能正确侦测出恶意程序的变种。黑客现在会分数次以电子邮件散播同一个恶意的特洛依木马程序，但每一次都使用不同的封装程序，或者同时使用多种不同封装程序来压缩。蠕虫作者利用这种策略来散播不断变化的蠕虫文件，并且使用数十种不同的封装程序来作掩护。在恶意程序作者与安全产品厂商的猫捉老鼠游戏中，这种复杂性能拖延侦测时间，也因此让四个 worm_mytob 变种能够在五月引发黄色警报。另一个值得注意的案例则是与 2005 年最后一季发现的 sober 变种有关。根据趋势科技的侦测结果，光是在十月造成了病毒爆发的 sober.ac 这个变种，就出现多达 64 种不同的封装样本。十一月 sober.ag 也利用这种技巧达到近似的成功效果。

　　rootkit

　　黑客纷纷开始寻找其它方法以隐匿他们的行踪，而且已经找到其中最有效的一种方法： rootkit 。接近 2005 年底时， rootkit 被当成协助掩饰恶意程序与灰色程序活动的终极武器。 rootkit 会修改操作系统行为模式，以隐藏某些处理程序、文件、资料夹、以及登录机码。这种做法能赋予恶意程序无与伦比的强大威力，同时又能让它变得更为复杂，所以更难以侦测及清除。由于 rootkit 都是公开提供 – 许多都采用开放原始码标准 – 任何人即使没有制造 rootkit 所需的技术能力，也都能运用这种工具，因为所有准备工作事先都已经完成了。随着 rootkit 愈来愈受恶意程序作者欢迎，内容安全厂商必须强化它们的工具才能侦测到这些装置。据趋势科技的观察， rootkit 遭 bot 傀儡程序与 特洛依木马搭配使用的情形愈来愈频繁，尤其是第三季就有超过 150,000 台计算机被发现遭到感染。

　　双组件攻击

　　2005 年总共有 56 种不同的恶意程序运用利用 url 连结或简单的下载程序技巧，过去几年来，安全产品厂商一直建议过滤并封锁特定文件类型，并且对附件文件进行验证，以避免发生病毒误判的情况，这是针对散发大量邮件的安全威胁最有效的防范方法。恶意程序作者于是采用 url 连结或下载程序设法突破这些安全防护措施，这种技巧的关键在于不必依赖电子邮件作为安全威胁的直接感染媒介，而是利用下载程序直接将恶意档案透过网络植入计算机。此外，这种技巧还能让恶意程序作者不断更新恶意程序，免去重新植入恶意程序的麻烦。根据趋势科技的追踪结果，而且趋势科技 trendlabs 预测这种技巧将会愈来愈普遍。

　　5. bot 开放原始码，模块化使其加速进行安全弱点攻击

　　去年还有一个重要的恶意程序趋势，愈来愈多的恶意程序模块被用于从事攻击活动。 bot 已经发展程能迅速散播的恶意程序，最主要的原因是因为它们已经采用开放原始码的开发方式，以模块化的模式来建构。任何一个歹徒都能下载这些 bot 的原始程序代码，选择要使用的模块，然后再创造出新的变种。恶意程序作者不断为 bot 蠕虫增加新的模块及增强功能，因此原本散播速度缓慢的 bot 攻击已经演变为一个新的类别：有史以来弹性最大的恶意程序。它们可能以电子邮件蠕虫、网络蠕虫、 p2p 蠕虫，或者身兼上述几种型态现身。由于弹性更大，今年它们已经证明了另外一件事：只要有任何新的安全弱点公布在网络上，它们就能立即加入这些安全弱点的攻击行动。 2000 年十月，在一个安全弱点公布的一年之后， nimda 蠕虫才针对这个安全弱点发动攻击； 2004 年， sasser 的现身已经将这个时间间隔缩短为 17 天；但是到了 2005 年， zotob 更令人惊讶，从安全弱点公布到蠕虫程序代码中加入成功的攻击行动，只需要短短 4 天的时间。

　　将 bot 功能运用于蠕虫攻击的作法一直未曾改变过。 bot 网络的拥有者利用这些网络来上传间谍程序 / 广告程序、窃取信息、建立垃圾邮件发送平台、以及对第三方发动服务阻断攻击。这些不法活动都会依据 bot 网络中的受害者人数多寡，提供相对比例的金钱利益给 bot 操控者。一旦 bot 网络达到相当大的规模，就能转手出售，或是划分一部份出租给其它恶棍从事不法活动：充当代为散发垃圾邮件、窃取私密信息、或上传间谍程序或广告程序给中毒机器的工具。