金钱利益仍是恶意程序作者最主要的动机

2006 年，绝大多数的恶意程序攻击几乎都是受到金融窃贼的驱使，他们所运用的手法包括窃取密码、键盘测录以及其它相关的活动等。趋势科技与业界其它分析师都将这类网络安全威胁归类为犯罪程序，是恶意程序类别中迅速成长的网络安全威胁 (图 4)。所有犯罪程序 (从窃取密码的 TSPY_BANCOS 到攻击 eBay 使用者的 TROJ_YABE) 在从事破坏活动时，不外乎采取三种典型的途径：窃取身分信息、勒索及/或从事商业间谍活动。一旦这些行动成功之后，犯罪程序就会运用各种方法动手窃取金钱，例如盗取金融账户密码、劫持档案进行勒索、或掠夺企业专属信息等等。

另外有两种恶意程序行径虽与犯罪程序并无直接关联，但却是窃取金融相关信息的恶意攻击者惯用的手法：组织社群与下载更多恶意组件。组织社群的恶意程序通常被称为傀儡虫或傀儡程序。傀儡程序的主要目标是让网络安全威胁尽可能散播到极大范围，同时又能让其创造者拥有集中控制的能力。将单一傀儡程序组织成网络 (或傀儡网络) 有助于提升傀儡程序的威力，并且能让创造者运用由数百或数千台计算机所形成的强大力量谋取财利。傀儡网络在 2006 年有显着的成长，其中最值得注意的就是 WORM_SDBOT 家族。

时下恶意程序无不唯利是图的本质，充分显示恶意攻击者已不再像以前一样单打独斗。现在，攻击行动往往是由能取得更庞大的共享资源的专业恶意程序设计师联手策划，这类集团组织致力于恶意程序的制造与散布，借此窃取个人与企业受害者的钱财。

图4

犯罪程序包括间谍程序与其它具备键盘测录功能的木马程序、黑客工具以及与网络钓鱼诈骗有关的垃圾邮件等。而新的混种综合体也应运而生，例如间谍程序网络钓鱼，这是一种目标式间谍程序攻击，它们下载特别设计的木马程序，从特定合法网站窃取，一旦启动之后便会将信息传送给恶意的第三方；以及语音网络钓鱼 (Vishing)，这是一种使用网络电话 (VoIP) 技术的目标式网络钓鱼攻击。由于信息窃贼的风险持续升高，以犯罪程序一词来指称上述活动，将能让计算机使用者确实了解他们所面临的威胁。

在所有犯罪程序相关威胁当中，仍以黑客工具为大宗。虽然攻击依旧是以这类老旧的渗透技巧为主力，但使用者决不能因此而掉以轻心；绝大多数的计算机系统依然未有效修补及设置防火墙以防范现存的威胁，主要是因为网络上新上线的计算机，以及使用者不熟悉安全问题所致。网络钓鱼、间谍程序以及间谍程序网络钓鱼所构成的威胁不容轻忽。尤其应对间谍程序网络钓鱼提高警觉，因为它采取双向并进的攻击策略 (请见上文)，使用者只要造访与它们挂勾的网址便可能遭受攻击。即使使用者怀疑某个网站有问题并立即离开，恶意程序也会留在他们的计算机上继续窃取信息。

Web 网络安全威胁在电子邮件网络安全威胁的掩护之下逐渐崛起

大多数恶意程序威胁都是透过电子邮件来散播。2006 年，攻击者结合了网络钓鱼邮件与恶意附件文件，创造出威力更强大的攻击媒介，趋势科技将此定义为间谍程序网络钓鱼。间谍程序网络钓鱼先利用垃圾邮件散播技巧来散发信息，然后在这些信息中使用社交工程圈套引诱使用者执行恶意附件文件。窃取身分信息依然是间谍程序网络钓鱼攻击的最终目标。

图5

除了电子邮件以外，盛行程度居次的恶意程序散播渠道就是 Web (图 5)。使用者常误以为恶意程序就是他们需要或期待的程序 (所以一定没问题)，这种心态经常遭攻击者利用。举例来说，在已开发国家，为提供影片共享与下载功能，因特网频宽均呈现爆炸性成长的趋势。为了观赏现有各种格式的影片档案，使用者需要译码工具 (数字数据串留编码及译码所需的小程序)，而这些译码工具通常可从影片共享网站下载。恶意程序作者便利用这一点，定期在公用网络上发布伪造的解码工具；有时他们甚至明目张胆地建立一个恶意程序网站提供假的译码工具。这就是 TROJ_ZLOB 家族所惯用的手法，将档案伪装成观赏影片所必须下载的程序。
恶意程序作者还会运用另一种相当有效的 Web 散播手法：在搜索引擎、讨论群组以及其它公开网站散布恶意链接。这些链接指向的下载网页内含的指令码均经过复杂的混淆处理，以躲避侦测。举例来说，FEEBS 蠕虫会在使用者造访内含这类指令码的下载网页时进行攻击，让这只蠕虫能下载到使用者的计算机中并进行感染。

每个月都有新的安全弱点会发布，而恶意程序创造者便依据这些漏洞，在他们的军火库中加入最新的网络散播功能。每当有可资利用的安全弱点被公开，他们便能获得更多欠缺保护的新受害者。自从 Blaster 蠕虫于 2003 年首度现身之后，恶意程序作者便开始利用网络弱点进行攻击，每当有新的安全弱点发布，便立即更新他们的链接库。傀儡虫向来都是套用新发布的弱点速度最快者。

趋势科技在2006 年观察到的新趋势显示，恶意程序也会利用客户端安全弱点进行攻击。这类网络安全威胁会利用弱点攻击程序进行运作，只要执行这些档案，便会在使用者的系统中植入恶意程序。这个新趋势是由 WMF 弱点攻击在一月初带头发起。这波攻击使用一个特别设计的 WMF 视频文件，只要使用者检视这个伪装的视频文件，Widows 视频转译影情的弱点就会允许恶意程序代码执行。然后，程序代码便会启动犯罪程序。之后有类似的弱点攻击陆续跟进，其中有许多都是利用相当热门的 Microsoft Office 软件包，以及音乐播放程序 Winamp 等客户端的安全弱点进行攻击。因为使用者通常都不会将这些弱点攻击档案视为网络安全威胁 (因此不加思索就直接开启)，所以社交工程组件在这些案例中扮演着极为重要的角色。

区域性与目标式攻击取代全球性病毒疫情爆发

据趋势科技在 2006 年的观察，当今大多数恶意程序 (唯独傀儡虫例外) 都缺乏能加速散播的有效方法。由此可见，有别于前几个世代的恶意程序，今日的网络安全威胁创作者刻意让他们的恶意程序维持在特定区域内。这对企业与消费者所面临的感染模式产生了重大影响。

举例来说，在 2004 年，恶意程序疫情爆发可能在七个大陆都引发严重灾情-迫使网络安全业者必须寻求立即的解决方案以清除及预防感染。2006 年，恶意程序转而锁定电子邮件地址清单，或浏览恶意网页的访客，而且可能只会感染某些特定的计算机。今日恶意程序在攻击行动成功之后，持续活动的时间也仅限于窃得使用者私人信息，以及他们的金钱为止。

目标式攻击也是依循相同的原则。这类网络安全威胁的目的是窃取特定公司的机密信息，它们会模仿内部电子邮件，并且针对特定组织内的特定人士下手。只要有一个使用者上当执行了附加的恶意程序档案，整个公司便会暴露于广泛的风险中，甚至可能导致重要数据遭窃。类似区域性攻击，目标式攻击的范围甚至更狭小，目标更明确。

区域性与目标式攻击所影响的使用者人数都比以往更少，而且通常都会采用混合式威胁。这对网络安全业者带来新的挑战，因为相较于清除大范围散播的静态蠕虫，要清除集中于更狭隘的目标，而且能自动更新的恶意程序确实更加困难。因此，目前的网络安全威胁版图局势比以往更加险恶。

混合式威胁比单一威胁更具威力

虽然混合式威胁一词问世已有一段时日，但是它与今日的因特网版图关系愈来愈密切。事实上，今日大多数的恶意程序攻击皆采用数个恶意程序联合运作的策略。

通常恶意程序会在使用者 (无论有意或无意) 下载可执行文件时加以感染，然后再下载其它恶意组件与/或间谍程序。遭攻击的计算机可能不幸感染多达四种不同类型的恶意程序、间谍程序以及广告程序，有时数量还不只于此。举例来说，在 2006 年第 4 季的 Gromozon 案例中，意大利的使用者被骗开启某个恶意网页。这个网页会利用指令码将使用者导向其它一连串的网页，最后再让使用者下载一个档案。接着这个档案会启动恶意程序下载程序，在受感染的系统中植入广告程序与其它组件，并安装 Rootkit 加以保护。

同样也是在 2006 年第 4 季，NUWAR 蠕虫分别对数个不同的区域发动攻击。NUWAR 发出大量主旨为核子战争的电子邮件，并附上一个执行文件。这个文件执行之后会在受感染的计算机中植入一个下载程序组件，并植入大量发信程序模块副本；接下来，它会再下载四个其它组件，包括一个新的下载程序 (这个程序能汇入新模块而不被侦测到)，以及一个能隐藏整队恶意程序大军的 Rootkit。大批计算机可能不幸遭到利用，成为制造垃圾邮件蠕虫与感染性蠕虫电子邮件的工具。NUWAR 威胁的主要组件是一个四处散发推销股票的垃圾邮件的模块。

不幸的是，这些都不是单独的个案。混合式威胁对因特网使用者所构成的威胁日益加剧，也让防毒业者面临极大挑战。趋势科技预测这种类型的攻击在短期之内将会延续。