【51CTO.com 綜合消息】信息技術(shù)解決方案提供商--卡巴斯基實驗室發(fā)表題為《卡巴斯基安全公告：2008惡意軟件發(fā)展情況》的報告，該報告由公司高級分析師撰寫。此報告面向的讀者包括IT安全領(lǐng)域的專家以及所有對惡意軟件程序感興趣的用戶。

據(jù)悉，通過卡巴斯基安全網(wǎng)絡(luò)所收集到的數(shù)據(jù)也是首次被用在這樣的年度報告中，并作為論述的依據(jù)。這項新技術(shù)不僅使卡巴斯基實驗室能夠獲得有關(guān)惡意軟件威脅的信息，還能實時跟蹤、監(jiān)控其演變過程，同時，在簽字或啟發(fā)式檢測尚未形成時，顯著加快了檢測新威脅的速度。

2007年，專家們強調(diào)“非營利性”的惡意軟件正在逐漸消失。2008年，真正意義的“獨家”惡意程序（主要指那些由一人或最多兩人創(chuàng)建和使用的程序）出現(xiàn)。今年檢測出的絕大多數(shù)木馬和病毒都是被開發(fā)出來以后用于出售給他人的。而與此銷售配套的相關(guān)“支持”服務(wù)也以一個相當驚人的規(guī)模出現(xiàn)，其中包括幫助避開反病毒產(chǎn)品的承諾。網(wǎng)絡(luò)犯罪開始表現(xiàn)出明確的分工，從創(chuàng)建、傳播和使用惡意程序，每個階段都由不同的人參與并完成。

從全球范圍來看，中國可謂是幾大惡意程序出產(chǎn)國中的絕對領(lǐng)先者。中國黑客不斷的創(chuàng)造各種各樣的木馬程序變種，而且還開始將其他國家創(chuàng)建的惡意程序本地化。中國黑客是2008年4月到10月間發(fā)生的兩次主要攻擊的幕后黑手，攻擊的目標都為網(wǎng)站。第一起攻擊發(fā)生在2008年4月到6月間，全球超過 200萬個網(wǎng)站遭到黑客攻擊。

隨著犯罪分子活動范圍在惡意軟件2.0的領(lǐng)域展開，俄羅斯病毒編寫者成為了該領(lǐng)域的先鋒者。從Rustock.c和Sinowal這兩個rootkit所構(gòu)成的重大威脅中讓我們能夠清楚的認識到這點，這些惡意軟件中所包含的科技成分也遠遠高出過去常見的的Zhelatin和Warezov蠕蟲等。

如同預(yù)期那樣，文檔病毒在2008年又開始死灰復(fù)燃。但與之前不同的是，新的病毒還增加了盜竊用戶數(shù)據(jù)以及通過移動存儲設(shè)備傳播的功能，通過后一種方式，該病毒可以在短時間內(nèi)感染全世界的大量計算機。

這種方法能夠使蠕蟲通過閃存驅(qū)動器繞過傳統(tǒng)保護（如電子郵件和文件服務(wù)器反病毒，以及防火墻）的企業(yè)網(wǎng)絡(luò)。而一旦工作站遭到侵入，這種蠕蟲便能夠?qū)⒆陨韽?fù)制到所有可以訪問的網(wǎng)絡(luò)資源，從而迅速蔓延到整個網(wǎng)絡(luò)。

在2008年，許多Zhelatin 變種（又稱風(fēng)暴蠕蟲）停止傳播。這種存在近兩年的病毒（第一批變種出現(xiàn)在2007年1月）引發(fā)了很多疑問。而頗具傳奇色彩的“風(fēng)暴僵尸網(wǎng)絡(luò)（Storm botnet）”，估計影響了超過200萬臺計算機，但最終沒有充分發(fā)揮其潛力。而之前預(yù)計的大量垃圾郵件和DDoS攻擊卻從未發(fā)生。其中的一個原因可能是RBN（俄羅斯商務(wù)網(wǎng)）的及時關(guān)閉，它曾經(jīng)是網(wǎng)絡(luò)犯罪提供主機業(yè)務(wù)的平臺。

這個網(wǎng)絡(luò)可能參與了幾乎所有網(wǎng)絡(luò)犯罪活動，而它是如何被卷入其中的正成為大家熱議的話題。據(jù)悉，這些活動導(dǎo)致RBN的未知業(yè)主將這種犯罪交易轉(zhuǎn)移到幾十個世界各地的分網(wǎng)站，并以秘密的方式開展他們的活動。直到去年秋天，打擊網(wǎng)絡(luò)犯罪活動的力度加大，Atrivo / Intercage 、 EstDomains和McColo在網(wǎng)絡(luò)公司、政府和反病毒軟件公司的合作下紛紛關(guān)閉。

而McColo的關(guān)閉促使互聯(lián)網(wǎng)中垃圾郵件的數(shù)量大幅下滑了50 ％以上。同時，大量依賴這類公司資源的僵尸網(wǎng)絡(luò)也停止了運作。盡管幾個星期后，垃圾郵件的數(shù)量又恢復(fù)到了之前的水平，但是這一事件應(yīng)被看作是在過去的幾年里最重要的反病毒勝利之一。

2008年對整個反病毒行業(yè)以及整個信息安全產(chǎn)業(yè)都產(chǎn)生了重大影響的安全事件主要為rootkit的傳播，以及針對在線游戲產(chǎn)生的惡意程序及僵尸網(wǎng)絡(luò)。

與前一年相比，2008年中rootkit的傳播成為了更嚴重的問題。卡巴斯基實驗室發(fā)表了三篇與這個問題相關(guān)的研究性文章，分別為：“Rustock及同類惡意代碼”，“ rootkit的演變”和“ Bootkit ： 2008年的挑戰(zhàn)”。

這些文章都敘述了rootkit是如何被用來進行復(fù)雜性攻擊的，這使得整個殺毒行業(yè)必須努力確定如何才能檢測和清除活動的rootkit。隨著社交網(wǎng)站越來越普及，并在一些國家（如東南亞，印度，中國，南美，土耳其，北非，和前蘇聯(lián)國家）十分受歡迎，并且還擁有大量的新客戶，因此通過這些社交網(wǎng)站發(fā)起的攻擊不再成為發(fā)生在虛擬世界的孤立事件，而是成為了日常生活中的一個事實。專家估計，通過社交網(wǎng)站傳播惡意代碼大約有10 ％的成功率，這大大高于通過電子郵件傳播的方式獲得的不到1 ％的成功率。

而社交網(wǎng)站不僅僅被利用來傳播新的惡意程序，還被用作數(shù)據(jù)的采集和各種各樣的新型詐騙，其中包括釣魚行為。最典型事件便是Koobface的流行;這種蠕蟲的首個變種于2008年7月被卡巴斯基實驗室檢測到，12月，這種蠕蟲不僅可以攻擊Facebook和MySpace的用戶，還能夠攻擊另一個受歡迎的社交網(wǎng)站Bebo的用戶。

2008年，竊取在線游戲密碼的惡意程序數(shù)量穩(wěn)步上升： 在這一年確認的新游戲木馬數(shù)量達到100397個，是2007年（ 32374 個）的3倍。盡管絕大多數(shù)的在線游戲禁止出售虛擬資產(chǎn)以換取真實貨幣，但是買家的數(shù)量卻在不斷增加。一般來說，買主毫不關(guān)心虛擬資產(chǎn)是否是其他玩家贏來的還是通過惡意代碼偷竊的。因此，這樣的條件對于病毒編寫者來說無疑是如虎添翼，因而導(dǎo)致虛擬資產(chǎn)的價格上升并增加了虛擬資產(chǎn)市場的不法交易。

僅僅在幾年前， '僵尸網(wǎng)絡(luò)'這個詞只是被反病毒公司人員使用，但在過去的一年里，僵尸網(wǎng)絡(luò)儼然已成為一個普通的術(shù)語。僵尸網(wǎng)絡(luò)已成為垃圾郵件、DDoS攻擊和新惡意程序傳播的最主要來源。應(yīng)當指出的是，僵尸網(wǎng)絡(luò)與本報告中強調(diào)的所有主題都有著直接的聯(lián)系：例如rootkit以及針對社交網(wǎng)站和網(wǎng)絡(luò)游戲的攻擊等。因為目前的技術(shù)重點都主要集中在這塊領(lǐng)域，這一點并不令我們感到驚訝。最重要的是， 2008年發(fā)生的事件表明，這些問題存在著巨大的潛在隱患，而且在不久的將來，他們將繼續(xù)發(fā)展和演化。

預(yù)測

顯而易見，當前存在的威脅在2009年是不會消失的，對在線游戲和社交網(wǎng)絡(luò)的攻擊也將繼續(xù)；惡意軟件技術(shù)將變得越來越復(fù)雜，僵尸網(wǎng)絡(luò)數(shù)量還會增加。同時，網(wǎng)絡(luò)犯罪作為一種商業(yè)交易和服務(wù)，也將得到進一步發(fā)展。

卡巴斯基實驗室專家對2009年相關(guān)趨勢的預(yù)測中還沒有給出嚴格的定義，但是對確認網(wǎng)絡(luò)威脅的發(fā)展將會起到重要的作用。

全球性病毒爆發(fā)

專家們曾經(jīng)公認全球性長時間病毒爆發(fā)的時代將在2008年結(jié)束。這段時期從2000年開始，在2003-2005年間達到高峰，其特點是大量的蠕蟲病毒在全球爆發(fā)。這種蠕蟲最初使用電子郵件來傳播，然后一直到發(fā)展末期，都是通過網(wǎng)絡(luò)傳播進行攻擊。 2007-2008年間則是木馬程序的時代，用來竊取機密數(shù)據(jù)的木馬程序大幅增長，主要目標是網(wǎng)上銀行和在線游戲賬戶。不過，這一趨勢在今年可能會扭轉(zhuǎn)，也可能會出現(xiàn)更嚴重的事件，就規(guī)模上來說，存在超過前幾年的潛力。Kido網(wǎng)絡(luò)蠕蟲的蔓延就是這種爆發(fā)的首個鮮例。

現(xiàn)代的網(wǎng)絡(luò)犯罪行當已經(jīng)進入了市場飽和階段，由于該市場上活躍的人數(shù)和團體過多，導(dǎo)致競爭加劇。盡管如此，在2009年，網(wǎng)絡(luò)罪犯仍然會越來越多。主要的原因是全球經(jīng)濟下滑，失業(yè)人數(shù)增加， IT工作機會減少，一些項目的關(guān)閉導(dǎo)致許多高熟練的程序員正在失去工作或是收入下降。而這部分人正是網(wǎng)絡(luò)犯罪分子積極招募的對象，同時，這種有吸引力的賺錢方式也引起了其他人的關(guān)注。由于這類人員所掌握的技術(shù)技能明顯高于大多數(shù)網(wǎng)絡(luò)犯罪分子，這勢必造成更加激烈的競爭。而在競爭激烈的網(wǎng)絡(luò)市場，想要生存下去，只有一種辦法，那就是以最快的速度感染盡可能多的計算機。為了達到這一目的，網(wǎng)絡(luò)犯罪分子將定期攻擊百萬以上的用戶計算機。

游戲木馬程序：活動跡象遞減

與大多數(shù)反病毒軟件公司的預(yù)測相反，卡巴斯基實驗室預(yù)計游戲木馬的活動將會減少。目前，游戲木馬的數(shù)量還在三位數(shù)以內(nèi)。而事實上，這些程序很容易被創(chuàng)建，由于存在大量的潛在受害者，以及其他因素，導(dǎo)致游戲市場的網(wǎng)絡(luò)犯罪趨于飽和。

由于網(wǎng)絡(luò)犯罪分子之間的競爭越來越激烈，依靠偷盜虛擬資產(chǎn)來獲取利潤的行為也相應(yīng)縮水。現(xiàn)在，反病毒公司能夠設(shè)法處理如潮水般涌來的游戲惡意程序，用戶也逐漸意識到安全的重要性，而游戲公司也已采取措施來制止非法行動，保護被盜的賬戶和虛擬資產(chǎn)。因此，一些新的網(wǎng)絡(luò)游戲惡意程序和創(chuàng)造他們的犯罪團伙數(shù)量將有所下降。

惡意程序2.5

惡意程序2.0已經(jīng)被一種全新概念的模式所取代：也就是大量僵尸網(wǎng)絡(luò)系統(tǒng)的散播。這種模式是由俄羅斯黑客創(chuàng)造，并通過Rustock.c實施，Sinowal bootkit和一些其他的惡意程序進一步證明了這種模式的有效性和可靠性。該模式特點在于：

該僵尸網(wǎng)絡(luò)沒有一個固定的指揮和控制中心--這也就是所謂的'遷移的僵尸網(wǎng)絡(luò)

在指令和控制中心以及與僵尸網(wǎng)絡(luò)中的設(shè)備通信之間使用強大的加密算法。

使用通用命令和控制中心來管理大量不同的僵尸網(wǎng)絡(luò)

這些技術(shù)是與僵尸網(wǎng)絡(luò)系統(tǒng)的創(chuàng)建和設(shè)備布置緊密聯(lián)系的，該系統(tǒng)可以搭載高負荷的大量數(shù)據(jù)運行（高負荷的架構(gòu)） 。創(chuàng)建犯罪需要的高抵抗力分布系統(tǒng)需要網(wǎng)絡(luò)犯罪集團之間的劇烈競爭。而那些能夠為自己創(chuàng)建系統(tǒng)的惡意用戶將決定未來威脅的整體級別，而能夠熟練操作惡意軟件2.5模式的專業(yè)人員將會取代那些只會編寫文本的小混混。

釣魚行為/網(wǎng)絡(luò)詐騙

網(wǎng)絡(luò)詐騙和釣魚行為將會在互聯(lián)網(wǎng)上加快發(fā)展的腳步。由此導(dǎo)致網(wǎng)絡(luò)犯罪的攻擊也會更加復(fù)雜和縝密。以下的兩種情況將會對網(wǎng)絡(luò)詐騙和釣魚行為攻擊的增加產(chǎn)生影響。

首先，在經(jīng)濟危機時期，當銀行面臨破產(chǎn)的時候，業(yè)主會面臨金額支出帶來的問題或者想要改變支出的方式，網(wǎng)絡(luò)詐騙分子只要能夠讓用戶相信假的信息，便會獲得相當多的機會。

其次，研發(fā)和傳播新的惡意程序需要更復(fù)雜的技術(shù)，這會迫使網(wǎng)絡(luò)犯罪分子尋求更簡單、便捷的方法來獲取利潤，而釣魚行為或許是最具有吸引力的方法。

向新平臺進軍

網(wǎng)絡(luò)犯罪之間愈演愈烈的競爭，以及盡可能感染更多計算機的動機會驅(qū)使威脅目標向那些之前沒有鎖定過的其他平臺進行轉(zhuǎn)移。這將影響到所有的非Windows的平臺，預(yù)計最先被影響到的會是Mac 操作系統(tǒng)和移動通訊平臺。

此前，入侵這些平臺的惡意程序絕大多數(shù)是為了證明自己的存在；然而現(xiàn)在，這些平臺的市場份額所能帶來的利益對于犯罪分子來說已經(jīng)有足夠的吸引力了。但目前與這些操作平臺關(guān)聯(lián)的安全事件還有很多沒有解決，用戶也還沒有對惡意程序的攻擊做好準備。