惡意代碼傳播的趨勢

惡意代碼的傳播具有下面的趨勢：

（1）種類更模糊

惡意代碼的傳播不單純依賴軟件漏洞或者社會工程中的某一種，而可能是它們的混合。比如蠕蟲產(chǎn)生寄生的文件病毒，特洛伊程序，口令竊取程序，后門程序，進(jìn)一步模糊了蠕蟲、病毒和特洛伊的區(qū)別。

（2）混合傳播模式

“混合病毒威脅”和“收斂（convergent）威脅”的成為新的病毒術(shù)語，“紅色代碼”利用的是IIS的漏洞，Nimda實(shí)際上是1988年出現(xiàn)的Morris 蠕蟲的派生品種，它們的特點(diǎn)都是利用漏洞，病毒的模式從引導(dǎo)區(qū)方式發(fā)展為多種類病毒蠕蟲方式，所需要的時(shí)間并不是很長。 　

（3）多平臺

多平臺攻擊開始出現(xiàn)，有些惡意代碼對不兼容的平臺都能夠有作用。來自Windows的蠕蟲可以利用Apache的漏洞，而Linux蠕蟲會派生exe格式的特洛伊。

（4） 使用銷售技術(shù)

另外一個趨勢是更多的惡意代碼使用銷售技術(shù)，其目的不僅在于利用受害者的郵箱實(shí)現(xiàn)最大數(shù)量的轉(zhuǎn)發(fā)，更重要的是引起受害者的興趣，讓受害者進(jìn)一步對惡意文件進(jìn)行操作，并且使用網(wǎng)絡(luò)探測、電子郵件腳本嵌入和其它不使用附件的技術(shù)來達(dá)到自己的目的。

惡意軟件（malware）的制造者可能會將一些有名的攻擊方法與新的漏洞結(jié)合起來，制造出下一代的WM/Concept, 下一代的Code Red, 下一代的 Nimda。對于防病毒軟件的制造者，改變自己的方法去對付新的威脅則需要不少的時(shí)間。

（5）服務(wù)器和客戶機(jī)同樣遭受攻擊

對于惡意代碼來說服務(wù)器和客戶機(jī)的區(qū)別越來越模糊，客戶計(jì)算機(jī)和服務(wù)器如果運(yùn)行同樣的應(yīng)用程序，也將會同樣受到惡意代碼的攻擊。象IIS服務(wù)是一個操作系統(tǒng)缺省的服務(wù)，因此它的服務(wù)程序的缺陷是各個機(jī)器都共有的，Code Red的影響也就不限于服務(wù)器，還會影響到眾多的個人計(jì)算機(jī)。

（6）Windows操作系統(tǒng)遭受的攻擊最多

Windows操作系統(tǒng)更容易遭受惡意代碼的攻擊，它也是病毒攻擊最集中的平臺，病毒總是選擇配置不好的網(wǎng)絡(luò)共享和服務(wù)作為進(jìn)入點(diǎn)。其它溢出問題，包括字符串格式和堆溢出，仍然是濾過性病毒入侵的基礎(chǔ)。病毒和蠕蟲的攻擊點(diǎn)和附帶功能都是由作者來選擇的。

另外一類缺陷是允許任意或者不適當(dāng)?shù)膱?zhí)行代碼，　隨著scriptlet.typelib 和Eyedog漏洞在聊天室的傳播，JS/Kak利用IE/Outlook的漏洞，導(dǎo)致兩個ActiveX控件在信任級別執(zhí)行，但是它們?nèi)匀辉谟脩舨恢赖那闆r下，執(zhí)行非法代碼。最近的一些漏洞帖子報(bào)告說Windows Media Player可以用來旁路Outlook 2002的安全設(shè)置，執(zhí)行嵌入在HTML 郵件中的JavaScript 和 ActiveX代碼。這種消息肯定會引發(fā)黑客的攻擊熱情。利用漏洞旁路一般的過濾方法是惡意代碼采用的典型手法之一。

（7）惡意代碼類型變化

此外，另外一類惡意代碼是利用MIME邊界和uuencode頭的處理薄弱的缺陷，將惡意代碼化裝成安全數(shù)據(jù)類型，欺騙客戶軟件執(zhí)行不適當(dāng)?shù)拇a。

惡意代碼的幾個相關(guān)問題

（1）病毒防護(hù)沒有標(biāo)準(zhǔn)的方法，專家認(rèn)為比較安全的方式是每個星期更新一次病毒庫，但是特殊情況下，需要更加頻繁地更新。1999年Y2K 病毒庫需要每天更新，而2000年五月，為了對付LoveLetter病毒的變種，一天就要幾次更新病毒庫。需要指出的是，有時(shí)候這種頻繁的更新對于防護(hù)效果的提高很小。

（2）用戶對于Microsoft的操作系統(tǒng)和應(yīng)用程序抱怨很多，但是病毒防護(hù)工具本身的功能實(shí)在是應(yīng)該被最多抱怨的一個因素。

（3）啟發(fā)式的病毒搜索沒有被廣泛地使用，因?yàn)榍宄粋€病毒比調(diào)整啟發(fā)式軟件的花費(fèi)要小，而被比喻成“治療比疾病本身更糟糕”。

（4）企業(yè)在防火墻管理，電子郵件管理上都花費(fèi)了不小的精力，建議使用單獨(dú)的人員和工具完成這個任務(wù)。

（5） 惡意代碼攻擊方面的數(shù)據(jù)分析做得很不夠，盡管有些病毒掃描軟件有系統(tǒng)活動日志，但是由于文件大小限制，不能長期保存。同時(shí)對于惡意代碼感染程度的度量和分析做得也不夠，一般的企業(yè)都不能從戰(zhàn)術(shù)和戰(zhàn)略兩個層次清晰地描述自己公司的安全問題。

（6） 病毒掃描軟件只是通知用戶改變設(shè)置，而不是自動去修改設(shè)置。

（7） 病毒防護(hù)軟件本身就有安全缺陷，容易被攻擊者利用，只是由于害怕被攻擊，病毒軟件廠商不愿意談及。

（8）許多的軟件都是既可以用在安全管理，也可以用在安全突破上，問題在于意圖，比如漏洞掃描程序和嗅探程序就可以被攻擊者使用。

惡意代碼的傳播方式在迅速地演化，從引導(dǎo)區(qū)傳播，到某種類型文件傳播，到宏病毒傳播，到郵件傳播，到網(wǎng)絡(luò)傳播，發(fā)作和流行的時(shí)間越來越短。Form引導(dǎo)區(qū)病毒1989年出現(xiàn)，用了一年的時(shí)間流行起來，宏病毒 Concept Macro 1995年出現(xiàn)，用了三個月的時(shí)間流行， LoveLetter用了大約一天，而 Code Red用了大約90分鐘， Nimda 用了不到 30分鐘. 這些數(shù)字背后的規(guī)律是很顯然的：在惡意代碼演化的每個步驟，病毒和蠕蟲從發(fā)布到流行的時(shí)間都越來越短。

【編輯推薦】

1. 黑客攻擊和入侵的8槍——八大手段
2. RSA:黑客借＂極光漏洞＂獲取企業(yè)源代碼
3. 黑客大意 “主動”向微軟發(fā)送惡意代碼
4. 惡意代碼注入合法網(wǎng)站事件給Web用戶敲警鐘
5. Twitter再爆安全漏洞黑客可短信息中插惡意代碼
6. 清掃盲區(qū)：惡意代碼基礎(chǔ)解析