近日，卡巴斯基實(shí)驗(yàn)室發(fā)表題為《卡巴斯基安全公告：2008惡意軟件發(fā)展情況》的報(bào)告，該報(bào)告由公司高級分析師撰寫。

據(jù)悉，通過卡巴斯基安全網(wǎng)絡(luò)所收集到的數(shù)據(jù)也是首次被用在這樣的年度報(bào)告中，并作為論述的依據(jù)。這項(xiàng)新技術(shù)不僅使卡巴斯基實(shí)驗(yàn)室能夠獲得有關(guān)惡意軟件威脅的信息，還能實(shí)時(shí)跟蹤、監(jiān)控其演變過程，同時(shí)，在簽字或啟發(fā)式檢測尚未形成時(shí)，顯著加快了檢測新威脅的速度。

2007年，專家們強(qiáng)調(diào)“非營利性”的惡意軟件正在逐漸消失。2008年，真正意義的“獨(dú)家”惡意程序（主要指那些由一人或最多兩人創(chuàng)建和使用的程序）出現(xiàn)。今年檢測出的絕大多數(shù)木馬和病毒都是被開發(fā)出來以后用于出售給他人的。

而與此銷售配套的相關(guān)“支持”服務(wù)也以一個(gè)相當(dāng)驚人的規(guī)模出現(xiàn)，其中包括幫助避開反病毒產(chǎn)品的承諾。網(wǎng)絡(luò)犯罪開始表現(xiàn)出明確的分工，從創(chuàng)建、傳播和使用惡意程序，每個(gè)階段都由不同的人參與并完成。

從全球范圍來看，中國可謂是幾大惡意程序出產(chǎn)國中的絕對領(lǐng)先者。中國黑客不斷的創(chuàng)造各種各樣的木馬程序變種，而且還開始將其他國家創(chuàng)建的惡意程序本地化。中國黑客是2008年4月到10月間發(fā)生的兩次主要攻擊的幕后黑手，攻擊的目標(biāo)都為網(wǎng)站。第一起攻擊發(fā)生在2008年4月到6月間，全球超過 200萬個(gè)網(wǎng)站遭到黑客攻擊。

隨著犯罪分子活動(dòng)范圍在惡意軟件2.0的領(lǐng)域展開，俄羅斯病毒編寫者成為了該領(lǐng)域的先鋒者。從Rustock.c和Sinowal這兩個(gè)rootkit所構(gòu)成的重大威脅中讓我們能夠清楚的認(rèn)識到這點(diǎn) ，這些惡意軟件中所包含的科技成分也遠(yuǎn)遠(yuǎn)高出過去常見的的Zhelatin和Warezov蠕蟲等。

如同預(yù)期那樣，文檔病毒在2008年又開始死灰復(fù)燃。但與之前不同的是，新的病毒還增加了盜竊用戶數(shù)據(jù)以及通過移動(dòng)存儲(chǔ)設(shè)備傳播的功能，通過后一種方式，該病毒可以在短時(shí)間內(nèi)感染全世界的大量計(jì)算機(jī)。

這種方法能夠使蠕蟲通過閃存驅(qū)動(dòng)器繞過傳統(tǒng)保護(hù)（如電子郵件和文件服務(wù)器反病毒，以及防火墻）的企業(yè)網(wǎng)絡(luò)。而一旦工作站遭到侵入，這種蠕蟲便能夠?qū)⒆陨韽?fù)制到所有可以訪問的網(wǎng)絡(luò)資源，從而迅速蔓延到整個(gè)網(wǎng)絡(luò)。

在2008年，許多Zhelatin 變種（又稱風(fēng)暴蠕蟲）停止傳播。這種存在近兩年的病毒（第一批變種出現(xiàn)在2007年1月）引發(fā)了很多疑問。而頗具傳奇色彩的“風(fēng)暴僵尸網(wǎng)絡(luò)（Storm botnet）”，估計(jì)影響了超過200萬臺(tái)計(jì)算機(jī)，但最終沒有充分發(fā)揮其潛力。而之前預(yù)計(jì)的大量垃圾郵件和DDoS攻擊卻從未發(fā)生。

其中的一個(gè)原因可能是RBN（俄羅斯商務(wù)網(wǎng)）的及時(shí)關(guān)閉，它曾經(jīng)是網(wǎng)絡(luò)犯罪提供主機(jī)業(yè)務(wù)的平臺(tái)。這個(gè)網(wǎng)絡(luò)可能參與了幾乎所有網(wǎng)絡(luò)犯罪活動(dòng)，而它是如何被卷入其中的正成為大家熱議的話題。據(jù)悉，這些活動(dòng)導(dǎo)致RBN的未知業(yè)主將這種犯罪交易轉(zhuǎn)移到幾十個(gè)世界各地的分網(wǎng)站，并以秘密的方式開展他們的活動(dòng)。

直到去年秋天，打擊網(wǎng)絡(luò)犯罪活動(dòng)的力度加大，Atrivo / Intercage 、 EstDomains和McColo在網(wǎng)絡(luò)公司、政府和反病毒軟件公司的合作下紛紛關(guān)閉。而McColo的關(guān)閉促使互聯(lián)網(wǎng)中垃圾郵件的數(shù)量大幅下滑了50 ％以上。同時(shí)，大量依賴這類公司資源的僵尸網(wǎng)絡(luò)也停止了運(yùn)作。盡管幾個(gè)星期后，垃圾郵件的數(shù)量又恢復(fù)到了之前的水平，但是這一事件應(yīng)被看作是在過去的幾年里最重要的反病毒勝利之一。

2008年對整個(gè)反病毒行業(yè)以及整個(gè)信息安全產(chǎn)業(yè)都產(chǎn)生了重大影響的安全事件主要為rootkit的傳播，以及針對在線游戲產(chǎn)生的惡意程序及僵尸網(wǎng)絡(luò)。

與前一年相比，2008年中rootkit的傳播成為了更嚴(yán)重的問題?？ò退够鶎?shí)驗(yàn)室發(fā)表了三篇與這個(gè)問題相關(guān)的研究性文章，分別為：“Rustock及同類惡意代碼”，“ rootkit的演變”和“ Bootkit ： 2008年的挑戰(zhàn)”。這些文章都敘述了rootkit是如何被用來進(jìn)行復(fù)雜性攻擊的，這使得整個(gè)殺毒行業(yè)必須努力確定如何才能檢測和清除活動(dòng)的rootkit。

隨著社交網(wǎng)站越來越普及，并在一些國家（如東南亞，印度，中國，南美，土耳其，北非，和前蘇聯(lián)國家）十分受歡迎，并且還擁有大量的新客戶，因此通過這些社交網(wǎng)站發(fā)起的攻擊不再成為發(fā)生在虛擬世界的孤立事件，而是成為了日常生活中的一個(gè)事實(shí)。

專家估計(jì)，通過社交網(wǎng)站傳播惡意代碼大約有10 ％的成功率，這大大高于通過電子郵件傳播的方式獲得的不到1 ％的成功率。

而社交網(wǎng)站不僅僅被利用來傳播新的惡意程序，還被用作數(shù)據(jù)的采集和各種各樣的新型詐騙，其中包括釣魚行為。最典型事件便是Koobface的流行;這種蠕蟲的首個(gè)變種于2008年7月被卡巴斯基實(shí)驗(yàn)室檢測到，12月，這種蠕蟲不僅可以攻擊Facebook和MySpace的用戶，還能夠攻擊另一個(gè)受歡迎的社交網(wǎng)站Bebo的用戶。

2008年，竊取在線游戲密碼的惡意程序數(shù)量穩(wěn)步上升： 在這一年確認(rèn)的新游戲木馬數(shù)量達(dá)到100397個(gè)，是2007年（ 32374 個(gè)）的3倍。

盡管絕大多數(shù)的在線游戲禁止出售虛擬資產(chǎn)以換取真實(shí)貨幣，但是買家的數(shù)量卻在不斷增加。一般來說，買主毫不關(guān)心虛擬資產(chǎn)是否是其他玩家贏來的還是通過惡意代碼偷竊的。因此，這樣的條件對于病毒編寫者來說無疑是如虎添翼，因而導(dǎo)致虛擬資產(chǎn)的價(jià)格上升并增加了虛擬資產(chǎn)市場的不法交易。

僅僅在幾年前， '僵尸網(wǎng)絡(luò)'這個(gè)詞只是被反病毒公司人員使用，但在過去的一年里，僵尸網(wǎng)絡(luò)儼然已成為一個(gè)普通的術(shù)語。僵尸網(wǎng)絡(luò)已成為垃圾郵件、DDoS攻擊和新惡意程序傳播的最主要來源。應(yīng)當(dāng)指出的是，僵尸網(wǎng)絡(luò)與本報(bào)告中強(qiáng)調(diào)的所有主題都有著直接的聯(lián)系：例如rootkit以及針對社交網(wǎng)站和網(wǎng)絡(luò)游戲的攻擊等。

因?yàn)槟壳暗募夹g(shù)重點(diǎn)都主要集中在這塊領(lǐng)域，這一點(diǎn)并不令我們感到驚訝。最重要的是， 2008年發(fā)生的事件表明，這些問題存在著巨大的潛在隱患，而且在不久的將來，他們將繼續(xù)發(fā)展和演化。

關(guān)于此報(bào)告每章細(xì)節(jié)總概括如上。#p#

預(yù)測

顯而易見，當(dāng)前存在的威脅在2009年是不會(huì)消失的，對在線游戲和社交網(wǎng)絡(luò)的攻擊也將繼續(xù)；惡意軟件技術(shù)將變得越來越復(fù)雜，僵尸網(wǎng)絡(luò)數(shù)量還會(huì)增加。同時(shí)，網(wǎng)絡(luò)犯罪作為一種商業(yè)交易和服務(wù)，也將得到進(jìn)一步發(fā)展。

卡巴斯基實(shí)驗(yàn)室專家對2009年相關(guān)趨勢的預(yù)測中還沒有給出嚴(yán)格的定義，但是對確認(rèn)網(wǎng)絡(luò)威脅的發(fā)展將會(huì)起到重要的作用。

全球性病毒爆發(fā)

專家們曾經(jīng)公認(rèn)全球性長時(shí)間病毒爆發(fā)的時(shí)代將在2008年結(jié)束。這段時(shí)期從2000年開始，在2003-2005年間達(dá)到高峰，其特點(diǎn)是大量的蠕蟲病毒在全球爆發(fā)。這種蠕蟲最初使用電子郵件來傳播，然后一直到發(fā)展末期，都是通過網(wǎng)絡(luò)傳播進(jìn)行攻擊。

2007-2008年間則是木馬程序的時(shí)代，用來竊取機(jī)密數(shù)據(jù)的木馬程序大幅增長，主要目標(biāo)是網(wǎng)上銀行和在線游戲賬戶。不過，這一趨勢在今年可能會(huì)扭轉(zhuǎn)，也可能會(huì)出現(xiàn)更嚴(yán)重的事件，就規(guī)模上來說，存在超過前幾年的潛力。Kido網(wǎng)絡(luò)蠕蟲的蔓延就是這種爆發(fā)的首個(gè)鮮例。

現(xiàn)代的網(wǎng)絡(luò)犯罪行當(dāng)已經(jīng)進(jìn)入了市場飽和階段，由于該市場上活躍的人數(shù)和團(tuán)體過多，導(dǎo)致競爭加劇。盡管如此，在2009年，網(wǎng)絡(luò)罪犯仍然會(huì)越來越多。主要的原因是全球經(jīng)濟(jì)下滑，失業(yè)人數(shù)增加， IT工作機(jī)會(huì)減少，一些項(xiàng)目的關(guān)閉導(dǎo)致許多高熟練的程序員正在失去工作或是收入下降。

而這部分人正是網(wǎng)絡(luò)犯罪分子積極招募的對象，同時(shí)，這種有吸引力的賺錢方式也引起了其他人的關(guān)注。由于這類人員所掌握的技術(shù)技能明顯高于大多數(shù)網(wǎng)絡(luò)犯罪分子，這勢必造成更加激烈的競爭。而在競爭激烈的網(wǎng)絡(luò)市場，想要生存下去，只有一種辦法，那就是以最快的速度感染盡可能多的計(jì)算機(jī)。為了達(dá)到這一目的，網(wǎng)絡(luò)犯罪分子將定期攻擊百萬以上的用戶計(jì)算機(jī)。

游戲木馬程序：活動(dòng)跡象遞減

與大多數(shù)反病毒軟件公司的預(yù)測相反，卡巴斯基實(shí)驗(yàn)室預(yù)計(jì)游戲木馬的活動(dòng)將會(huì)減少。目前，游戲木馬的數(shù)量還在三位數(shù)以內(nèi)。而事實(shí)上，這些程序很容易被創(chuàng)建，由于存在大量的潛在受害者，以及其他因素，導(dǎo)致游戲市場的網(wǎng)絡(luò)犯罪趨于飽和。

由于網(wǎng)絡(luò)犯罪分子之間的競爭越來越激烈，依靠偷盜虛擬資產(chǎn)來獲取利潤的行為也相應(yīng)縮水。現(xiàn)在，反病毒公司能夠設(shè)法處理如潮水般涌來的游戲惡意程序，用戶也逐漸意識到安全的重要性，而游戲公司也已采取措施來制止非法行動(dòng)，保護(hù)被盜的賬戶和虛擬資產(chǎn)。因此，一些新的網(wǎng)絡(luò)游戲惡意程序和創(chuàng)造他們的犯罪團(tuán)伙數(shù)量將有所下降。

惡意程序2.5

惡意程序2.0已經(jīng)被一種全新概念的模式所取代：也就是大量僵尸網(wǎng)絡(luò)系統(tǒng)的散播。這種模式是由俄羅斯黑客創(chuàng)造，并通過Rustock.c實(shí)施，Sinowal bootkit和一些其他的惡意程序進(jìn)一步證明了這種模式的有效性和可靠性。該模式特點(diǎn)在于：

該僵尸網(wǎng)絡(luò)沒有一個(gè)固定的指揮和控制中心——這也就是所謂的'遷移的僵尸網(wǎng)絡(luò)'

在指令和控制中心以及與僵尸網(wǎng)絡(luò)中的設(shè)備通信之間使用強(qiáng)大的加密算法。

使用通用命令和控制中心來管理大量不同的僵尸網(wǎng)絡(luò)

這些技術(shù)是與僵尸網(wǎng)絡(luò)系統(tǒng)的創(chuàng)建和設(shè)備布置緊密聯(lián)系的，該系統(tǒng)可以搭載高負(fù)荷的大量數(shù)據(jù)運(yùn)行（高負(fù)荷的架構(gòu)） 。創(chuàng)建犯罪需要的高抵抗力分布系統(tǒng)需要網(wǎng)絡(luò)犯罪集團(tuán)之間的劇烈競爭。而那些能夠?yàn)樽约簞?chuàng)建系統(tǒng)的惡意用戶將決定未來威脅的整體級別，而能夠熟練操作惡意軟件2.5模式的專業(yè)人員將會(huì)取代那些只會(huì)編寫文本的小混混。

釣魚行為/網(wǎng)絡(luò)詐騙

網(wǎng)絡(luò)詐騙和釣魚行為將會(huì)在互聯(lián)網(wǎng)上加快發(fā)展的腳步。由此導(dǎo)致網(wǎng)絡(luò)犯罪的攻擊也會(huì)更加復(fù)雜和縝密。以下的兩種情況將會(huì)對網(wǎng)絡(luò)詐騙和釣魚行為攻擊的增加產(chǎn)生影響。

首先，在經(jīng)濟(jì)危機(jī)時(shí)期，當(dāng)銀行面臨破產(chǎn)的時(shí)候，業(yè)主會(huì)面臨金額支出帶來的問題或者想要改變支出的方式，網(wǎng)絡(luò)詐騙分子只要能夠讓用戶相信假的信息，便會(huì)獲得相當(dāng)多的機(jī)會(huì)。其次，研發(fā)和傳播新的惡意程序需要更復(fù)雜的技術(shù)，這會(huì)迫使網(wǎng)絡(luò)犯罪分子尋求更簡單、便捷的方法來獲取利潤，而釣魚行為或許是最具有吸引力的方法。

向新平臺(tái)進(jìn)軍

網(wǎng)絡(luò)犯罪之間愈演愈烈的競爭，以及盡可能感染更多計(jì)算機(jī)的動(dòng)機(jī)會(huì)驅(qū)使威脅目標(biāo)向那些之前沒有鎖定過的其他平臺(tái)進(jìn)行轉(zhuǎn)移。這將影響到所有的非Windows的平臺(tái)，預(yù)計(jì)最先被影響到的會(huì)是Mac 操作系統(tǒng)和移動(dòng)通訊平臺(tái)。

此前，入侵這些平臺(tái)的惡意程序絕大多數(shù)是為了證明自己的存在；然而現(xiàn)在，這些平臺(tái)的市場份額所能帶來的利益對于犯罪分子來說已經(jīng)有足夠的吸引力了。但目前與這些操作平臺(tái)關(guān)聯(lián)的安全事件還有很多沒有解決，用戶也還沒有對惡意程序的攻擊做好準(zhǔn)備。

【編輯推薦】

1. 卡巴斯基稱爭第一沒必要 今年擬開8家分公司
2. 為降低安全維護(hù)成本 卡巴斯基軟件推三年版產(chǎn)品
3. 卡巴斯基特色的“國際化”與“本土化”