内容提要

本报告中提供的所有数据均是由 TrendLabs (趋势科技全球网络安全研究与支持组织，全天候、全年无休地提供客户最新网络安全威胁应变服务) 以及趋势科技的网络安全服务 (Network Security Services) 所收集。TrendLabs 拥有超过 800 位信息安全专家，15 个营运据点遍布全球，包括德国、日本、菲律宾以及美国等地。趋势科技的网络安全服务 (Network Security Services) 每天协助 3000 多个企业客户处理的垃圾邮件约为 15 亿封。趋势科技还会收集 IP 地址，且每天存储约 5 千万封垃圾邮件，供司法鉴定使用。
在回顾 2006 年出现的恶意程序威胁时，有两大趋势十分明显：

网络安全威胁的性质已从广泛散播转变为针对特定目标与区域，而且除了电子邮件与即时通讯网络安全威胁之外，Web 也已成为网络安全威胁的有力散播工具。趋势科技还观察到电子邮件与 Web 网络安全威胁结合，形成破坏性与感染性兼具的网络安全威胁，以及同时运用多种不同网络安全威胁，采取多种恶意程序联合行动的情形。

恶意程序创作者有一套不断扩充且技术先进的工具组合可供他们任意运用，其中包含了傀儡程序与傀儡网络、Rootkit、社交工程技巧、间谍程序与广告程序等等。他们受到金钱利益驱使的情况更甚于以往，而且创造出许多专门生产恶意程序、犯罪程序与间谍程序/广告程序的地下经济体。而其中有许多是位于东欧与亚洲。他们不再制作以删除文件及破坏大量计算机为目的的恶意程序，改以潜藏于计算机中，等候傀儡程序主控者下达命令采取各种行动，或在适当时机窃取个人信息的恶意程序取而代之。他们不断创造出行踪更隐匿的恶意程序，像是视频垃圾邮件-内含视频而非文字的垃圾邮件。

这份网络安全威胁综合报告与趋势预测将针对 2006 年所发生的网络安全威胁活动进行分析，并提供企业与客户相关建议，协助他们为 2007 年作好万全准备。

2006 年恶意程序趋势

信息所遭受的数字威胁未曾间断。自从趋势科技在 2005 年 12 月发布 2005 年综合报告与 2006 年趋势预测之后，平均每个月均可记录到 1400 万个网络安全威胁 (图 1 与图 2)。

图1

图2

2006 年：恶意程序相关威胁卷土重来

2006 年显示出恶意程序相关的安全威胁有大举卷土重来之势。除此之外，与犯罪程序有关的木马程序也是值得注意的重点威胁。在 2006 年，前二十大网络安全威胁 (图 3) 当中，有 80%与病毒及蠕虫有关。以下便是各种网络安全威胁的详细说明。

图3

WORM_NYXEM
2006 年最厉害的一波病毒攻势出现在一月，当时 WORM_NYXEM 变种 (一开始被侦测为 WORM_GREW) 变种来势汹汹，蔓延极广。这只蠕虫的程序中含有定时装置，它会在每个月的第三日展开行动，删除常见的 Microsoft Office 文件与压缩档。它还将自己复制到所有共享数据夹与磁盘驱动器，并删除 Microsoft Windows 登录中常见的防毒与安全防护产品自动启动项目。NYXEM 变种之所以能够持续成功散播，可归因于它所采用的社交工程技巧，它在电子邮件标题与内容中佯称提供成人影片与图片。虽然这种手法有点老套 (于 1999 年由 W97M_MELISSA 首创)，然而在过去六年内一直被重复使用，引发许多大规模的病毒疫情爆发。

趋势科技采用智能型启发式扫描技术，以加速辨认许多新型威胁，尤其是与犯罪程序有关的间谍程序与键盘测录程序，像是以银行与在线游戏账户为主要目标的犯罪程序等。使用者若已在网关上部署内容过滤机制，便可获得较完善的保护。

WORM_NETSTKY（网络天空）
虽然 WORM_NYXEM 变种数量较 WORM_NETSTKY 变种要多，但 NETSKY 家族感染数的总合却超过 NYXEM 家族达 50% 之多。此外，受损版本的 NETSKY 附件文件的通报数量占了该蠕虫家族所有相关感染案例的三分之一，这通常是附件文件在网关未被完整清除，或在不同电子邮件服务器之间传递时损毁而造成。

WORM_MOFEI.B
WORM_MOFEI.B 是一只典型的网络蠕虫，不具备电子邮件散播能力。这个蠕虫的变种会使用暴力方式破解账户及密码以登入系统，然后安装后门程序。MOFEI 能取得受感染系统的完整控制权，包括执行应用程序及修改数据等。此外相当有趣的是，MOFEI 会尝试建立与 Windows Terminal Services 有关的系统管理员层级账户；但它使用的是一般的 135 与 139 通讯端口，这些都是 Remote Commander 常用的通讯端口。

PE_FUNLOVE.4099
PE_FUNLOVE.4099 是在 1999 年 11 月被首次侦测到，这是 2006 年前二十大网络安全威胁中历史最悠久的文件感染型病毒。这个网络安全威胁还会采取和网络蠕虫一样的感染模式，因此具备更强大的散播能力，因为过去的经验已证明网络共享数据夹是最有效的网络安全威胁感染途径。PE_FUNLOVE.4099 还会植入病毒程序代码，并修改 NTLdr 与 NTOSKrnl.exe 等文件，借此躲过 Windows 对 NT 开机加载程序核心的文件完整性检查，以及对中毒 Windows 文件的完整性检查。因此，这个恶意程序利用虚拟核心模式 (pseudo-kernel-mode) 的 Rookit 功能，轻易就能突破 Windows 使用者的病毒防护措施，并且持续存活长达五年的时间。由于 FUNLOVE 的感染行径相当复杂，因此成为 WORM_BRAID 与 WORM_WINEVAR 利用的破坏工具，而且最近还被发现它会随着 WORM_BAGLE.H 变种一起行动，造成双重感染，因而衍生出一个名为 WORM_FUNBAG 的新病毒家族，在 2004 年 3 月被首次发现。

PE_PARITE.A
PE_PARITE.A 是名单上第二资深的安全威胁，在 2001 年首次发现，而且已证实它具有极为顽强的抵抗力，令当时许多网络安全解决方案都束手无策。它会将它的程序代码注入 Windows 的 Explorer.exe 档案上，借此介入此程序的所有操作。这是虚拟使用者模式 (pseudo-user-mode) Rootkit 的一个典型范例。介入 Explorer.exe 的操作之后，PARITE 不仅能预先取得处理程序的控制权，而且还能迅速感染其它执行档 (*.EXE) 与屏幕保护程序 (*.SCR)。

此外，WORM_BRONTOK 与 WORM_RONTOKBR 的变种也值得我们注意，它们会特别锁定使用印度尼西亚语的使用者。它们四处散播的邮件主旨与内容便可证实这一点。这个寄生的网络安全威胁会主动监视 Windows 登录，若使用者尝试将它移除或安装防毒与安全防护产品，它就会强制自动重新开机加以阻止。

弱点攻击占了在外散播的网络安全威胁 10% 的比例。由于弱点攻击具有难以抵挡的杀伤力，并且能与各种恶意程序及灰色软件结合，因此成为信息窃贼军火库中相当热门的工具。Microsoft Java 虚拟机器中的安全漏洞，利用 ActiveX 弱点分别与 MS00-0075 及 MS03-011有关；而不正确的 MIME 类型标题处理方式则是与 MS01-020 有关。虽然它的作用偏重于网页层面，但许多电子邮件应用程序都能传送及接收 HTML 格式的邮件，因此它能在邮件中内嵌弱点攻击程序代码，借此自动执行附件文件，完全不需要使用者介入。名列前二十大的网络安全威胁，有许多都会利用自动执行附件文件的安全弱点来进行散播，像是 PE_CHIR、VBS_REDLOF、WORM_NETSKY 以及 WORM_TRAXG 等等。