趋势科技全球防毒研发暨技术支持中心--TrendLabs公布2006年安全威胁预测：密码窃贼与 BOT 傀儡虫等灰色软件将取代文件感染型病毒，并以各种隐匿行踪技巧，避免被侦测，从而拉长监听窃取机密资料的时间。这种窃取资料的攻击趋势也向手机发展了，2005 年11月第一个尝试窃取手机信息的安全威胁SYMBOS_PBSTEAL.A，会将所有窃取的联络人信息传送到距离范围内的其它所有移动装置。另外，TrendLabs统计发现2005年藏身在网页的间谍程序/广告程序与后门、Rootkit 或具BOT 功能等灰色程序，以更隐密的方式安装在不知情的计算机里。2005年此类灰色程序占前15大安全威胁中的65％ 。而在所有的入侵方式中，以扫描网络共享资料夹占37％，得逞机率最高。其次为安全弱点攻击（19％），而IM 、IRC 和 P2P 通讯有关的安全威胁居第三（16%）。 　　2005 年病毒的创新伎俩，包含： 　　1. 木马生命周期延长，以充裕时间窃取信息 　　2. 新一代“间谍式网络钓鱼”，监控网络传输，开启真网页，登录数据传输第三者 　　3. 黑客渗透计算机，安装行销程序，换取佣金 　　4. 恶意程序隐身策略：封装程序、Rootkit、双组件攻击 　　5. BOT 开放原始码，模块化使其加速进行安全弱点攻击 　　趋势科技预测2006 年的安全威胁包含： 　　1. 整合后的BOT 殭尸军团火力将更强大 　　2. <掩护行踪更难侦测> 以封装程序 、Rootkit隐匿行踪的方法将会增加 　　3. <间谍式网络钓鱼更易上钩>不引诱造访假网站，传输机密资料不留痕迹 　　4. <恶意程序广告化>广告程序、间谍软件以量计价，黑客向“钱”看 　　IM 、IRC 和 P2P 通讯有关安全威胁持续成长 　　2005年前15大安全威胁，65％为灰色程序（间谍程序、后门程序、Rootkit 或 BOT ） 　　2005年新的灰色程序增加了一倍，安装更为隐密。 　　灰色程序包括广告程序、后门程序、下载程序、以及植入程序。2005 年灰色程序出现极大的转变，新的广告程序变种变种改为采用更隐匿的方式将灰色程序安装在受害者的计算机上。整体上而言，2005 年新型态的广告程序依然维持稳定成长的趋势，但是新的后门程序、下载程序、植入程序、以及其它特洛依木马间谍程序数量都增加了一倍。 　　2005 年可说是「灰色程序充斥的一年」，通报次数将近 1100万次，在前十五大安全威胁排行榜中就占了 65% 的比例 –– 其中包括某些类型的间谍程序、广告程序、后门程序、Rootkit 或 BOT 程序。　　安全威胁型态的分布比例： 　　1. 27% 为特洛依木马程序 　　2. 25% 为病毒或蠕虫 　　3. 18% 为广告程序 　　4. 11% 为间谍程序 　　5. 10% 为 BOT 傀儡程序 　　6. 3% 为Script指令文件病毒 　　7. 0.60% 为 Rootkit惡意程式工具包 　　8. 0.60% 为 Office 宏病毒
·QQ2006 界面编程之鸡蛋里挑骨头·官方下载：XP 2006新春桌面主题·张扬聊天个性:群英会2006正式版评测·AMD董事长鲁毅智2006年薪酬1610万美元·JPA重整ORM山河·教你玩转PP2006·2006:浏览器进入多元化发展·盘点：2006岁末IT业界大事狂PK·总结2006：十大Windows恢复技巧·[攒机]只需5000元 打造2006年最强悍游 　　入侵网络共享资料夹，得逞机率最高 (图片较大，请拉动滚动条观看)　　上图提供了 2005 年恶意程序最常使用的散播技巧的综览，这些资料是以趋势科技全年所收集到的9,000 种较值得注意的新型恶意程序为依据。根据趋势科技的分析，反复搜寻网络共享资料夹以植入恶意程序依然是最成功的方法，在所有案例中占了将近 37% 的比例。针对安全弱点进行攻击是成功率第二高的手法，在所有案例中占了 19% 的比例。在其它的散播媒介中，利用大量发信程序代码，网络聊天室 (IRC)、以及预设共享资料夹进行散播的方式分别都占了大约 10% 的比例。利用实时传讯程序 (IM) 作为感染媒介只占了 4% 的比例，而其它所有方法，像是典型的文件感染及利用 P2P 网络资源共享等等，在所有攻击媒介中分别都只占了大约 2% 的比例，但若将IM 、IRC 和 P2P 等通讯有关的安全威胁归为同类，则居第三（16%）。 　　IM 蠕虫成长幅度达100％ 　　过去三年来，趋势科技 TrendLabs研究人员不断警告使用者应注意偶发性、但日益频繁的另类感染媒介的运用。2005 年趋势科技 TrendLabs目睹了 KELVIR、FATSO 与 BROPIA 等蠕虫在这年的第一季发动另一波攻势，每一只蠕虫都能有效地散播给中毒计算机所有的 MSN Messenger 联络人。利用冒充他人传送信息的手法，以及 IM 使用者年龄层普遍较低的情形，警觉性不高的 IM 使用者往往会很惊讶地发现他们信任的联络人竟然会传送病毒给他们。这些转变迫使 Microsoft 推出更新版本的程序，强化文件传输过滤功能以防止客户端机器发生严重的病毒爆发情况。 (图片较大，请拉动滚动条观看)　　上图显示的是实时传讯程序被用于散播病毒的发展情形，资料是以使用这种技巧的新型恶意程序数量为依据*。十二月的成长幅度超过一百倍。 　　手机威胁，开始窃取联络人信息 　　2005 年11月，趋势科技收到了一个手机恶意程序的样本，这个恶意程序会收集所有联络人信息，并且将它们传送到距离范围内的其它所有移动装置。趋势科技将这个恶意程序命名为 SYMBOS_PBSTEAL.A。事实上，这个恶意程序是第一个尝试窃取手机信息的安全威胁。 　　窃取手机通讯簿的恶意程序及恶意程序植入程序是否会受到恶意程序作者的青睐，目前尚无法得知。然而，这决不会是最后一次。因此，趋势科技 TrendLabs务必要提高警觉，保障新兴科技的安全 – 尤其是具备高带宽联机功能的移动装置，像是 WiFi、EDGE/GPRS、3G/UMTS，甚至是未来更高级的 WiMax。
　　2005 年病毒新伎俩 　　1. 木马生命周期延长，以充裕时间窃取信息 　　动机的转变使得安全威胁活动产生结构性变化。新的恶意程序大多都是以金钱利益为诱因。趋势科技 TrendLabs发现针对特定目标的攻击愈来愈多，这些攻击会锁定特定企业与他们的使用者，或是彼此具有共通之处的某个特定族群。精心设计的特洛依木马程序会透过邮件散播给这些目标，希望警觉性不高的使用者会落入圈套中。采用这种有别于大规模蠕虫感染的慢速散播方法，即可大幅增加了恶意程序维持长时间不被侦测到的机会。这种策略能让特洛依木马在被侦测并移除之前，收集到更多机密信息。 　　2. 新一代“间谍式网络钓鱼”，监控网络传输，开启真网页，登录数据传输第三者 　　2005年趋势科技目睹了一种全新的攻击手法称之为「间谍式网络钓鱼」。举例来说，有一种攻击手法结合了网络钓鱼圈套与网站嫁接攻击，并且锁定线上银行、金融机构、以及其它必须使用密码的网站作为对象。进行间谍程序网络钓鱼攻击时，作者会利用电子邮件中夹带一个特洛依木马程序，或是一个可下载特洛依木马程序的连结。一旦恶意程序下载并执行之后，无论是通过手动的方式或是利用安全弱点，恶意程序就会监控网络传输的信息，侦测使用者是否通过网络存取特定网页。一旦侦测到这种情况时，它就会将所有登入信息或机密资料传回给黑客。目前已有不同的变种锁定特定组织或相关的网络公司，但它们的目的都一样。大量散发的电子邮件内容可能与目标公司有关，或者它也可能会运用其它型态的社交工程圈套，类似传统病毒所使用的技巧。 　　3. 黑客渗透计算机，安装行销程序，换取佣金 　　2005 年有一个相当突出的趋势就是混合型安全威胁的实际运用。攻击者以金钱利益为出发点，他们的活动并未局限于窃取银行与电子商务网站的登入信息而已。许多黑客还会在中毒计算机中植入间谍程序、广告程序、以及其它灰色程序。如果黑客再加入来自第三方的间谍程序与广告程序，他们就能从事行销活动，每安装一个单位就能获得一笔佣金。因此只要遭到黑客渗透的使用者愈多，他们赚的钱就愈多。多重特洛依木马程序攻击是通过一个下载程序/植入程序来展开它的行动，这个程序存在的目的只是为了将更多文件植入系统中，最后再安装其它多种不同的特洛依木马程序、广告程序或间谍程序。这种方式在今天并非十分罕见，而且与之前讨论过的趋势转变有直接的关联。 　　4. 恶意程序隐身策略：封装程序、Rootkit、双组件攻击 　　上述每一种技巧都具有一个共通点 – 只要维持不被侦测到的时间愈长，成功的可能性就愈高。窃取信息这种活动如果只能进行一天，它的有效性就会受到限制。它们进行监听的时间愈长，取得宝贵信息的可能性就愈高。这种躲避侦测的需求，使得骇客分别以封装程序、Rootkit、双组件攻击等策略，为恶意行径穿上隐身斗蓬。 　　封装程序 　　恶意程序作者仿效早在 2003 年就曾出现过的作法，使用不同的封装程序来掩饰二进制程序的内部结构。封装程序能将执行文件压缩成较小的文件，此外它们还能让不是使用程序代码仿真或行为模式分析的传统扫瞄程序对执行文件产生不同的侦测结果。运用这种功能作为掩护技巧就能延长程序的存活时间，因为防毒厂商必须取得许多样本才能正确侦测出恶意程序的变种。黑客现在会分数次以电子邮件散播同一个恶意的特洛依木马程序，但每一次都使用不同的封装程序，或者同时使用多种不同封装程序来压缩。蠕虫作者利用这种策略来散播不断变化的蠕虫文件，并且使用数十种不同的封装程序来作掩护。在恶意程序作者与安全产品厂商的猫捉老鼠游戏中，这种复杂性能拖延侦测时间，也因此让四个 WORM_MYTOB 变种能够在五月引发黄色警报。另一个值得注意的案例则是与2005年最后一季发现的 SOBER 变种有关。根据趋势科技的侦测结果，光是在十月造成了病毒爆发的 SOBER.AC 这个变种，就出现多达 64 种不同的封装样本。十一月 SOBER.AG 也利用这种技巧达到近似的成功效果。 　　Rootkit 　　黑客纷纷开始寻找其它方法以隐匿他们的行踪，而且已经找到其中最有效的一种方法：Rootkit。接近 2005 年底时，Rootkit 被当成协助掩饰恶意程序与灰色程序活动的终极武器。Rootkit 会修改操作系统行为模式，以隐藏某些处理程序、文件、资料夹、以及登录机码。这种做