新聞中心

2008年12月 全球威脅趨勢

圖1 ：2008年12月的前十大威脅


ESET的ThreatSense.Net® 提供一個可靠的惡意程式報告，細緻地分析最新的網絡威脅。最新的報告顯示，惡意程式Win32/psw.onlinegames再次成為最大的網絡威脅，它被偵測的次數幾乎佔病毒偵測總數的10.65%。除了盜取遊戲密碼類的惡意程式仍然佔據第二位外，我們今年偵測到非常多利用Windows Autorun功能自動執行的病毒。就目前趨勢來說，盜取遊戲密碼類的惡意程式數量是不大可能下跌的：在圖表中，我們可以看見它的數量仍然很多，而且百分率穩佔「十大」。而INF/Autorun實際所指的，是一種涵蓋範圍廣泛的惡意程式分類威脅，很多種的惡意程式都會藉此方法傳播。

在以下的報告中，我們會更詳細地分析和說明ThreatSense.Net®所偵測出來的十大威脅（包括上月排名和病毒偵測比率）:

如果想了解多些ThreatSense.Net®報告的運作和資訊，可參考本報告最後一節的「覆蓋全球的 ESET ThreatSense.Net®」。於稍後日子，我們會再發佈2008年全球威脅趨勢報告。
1. INF/Autorun
上月排名：1
佔病毒偵測總數：10.65%
這類型的威脅是指使用批次檔Autorun.inf來感染檔案的惡意程式。這個批次檔
包含了可移除儲存裝置(例如USB 手指和外置硬碟)的自動執行資訊。惡意程式會經由可移除儲存裝置在電腦上自動執行並不斷地傳播到其他電腦或置裝置上。 ESET NOD32 會使用啟發式掃描技術偵測出這些曾被更改的autorun.inf檔案。

對使用者來說，這代表什麼意思？
可移除儲存裝置的使用非常普及：駭客意識到這一點，故加以利用來進行非法用途。Windows預設了自動執行在外罝儲存裝置的Autorun.inf檔案。有許多類型的惡意程式會把自己複製到可移除儲存裝置：雖然這可能不是惡意程式的首要傳播方法，但駭客亦會加入這個後備方法。Randy Abrams寫過有關這問題的網誌（https://www.eset.com/threat-center/blog/?p=94）去教導使用者關閉這個預設功能，這會遠勝於單單倚靠防毒軟件偵測它出來更有效。

2. Win32/Psw.OnLineGames
上月排名：2
佔病毒偵測總數：6.84%
這是一種具Rootkit功能並可以記下鍵盤輸入紀錄的木馬程式，它通常以偷取網上遊戲者的登入身份和資料為目的，並可以發送這些資料到其他電腦。

對使用者來說，這代表什麼意思？
這個威脅包括了盜取遊戲密碼類的惡意程式。這個威脅已佔據了頭位幾個月，並在2008年9月急劇增加。所以，大型多玩家線上角色扮演遊戲（MMORPG），像天堂、魔獸世界和Second Life等）應該留意該惡意程式的威脅範圍，這對玩家來說是非常重要的。因為當中牽涉的，不只是單單的滋擾、惡作劇或一些毫無意義的假病毒攻擊，更有一些假網站或欺詐都會導致玩家在現實世界的經濟損失。

3. Win32/Conficker
上月排名：63
佔病毒偵測總數：3.90%
Win32/Conficker會通過Windows操作系統未修補的漏洞來繁殖網絡蠕蟲。該蠕蟲利用Windows的RPC子系統漏洞傳播，黑客可遠程控制及攻擊受感染的電腦。Conficker會嘗試著下載廣告和惡意程式、如FakeAlert和Wigon。它不會感染烏克蘭網絡位址的電腦。另外，它會關閉Windows防火牆，並在一個隨機埠口上打開一個HTTP服務。

對使用者來說，這代表什麼意思？
雖然ESET對於Conficker有非常好的偵測能力，但為了避免其他威脅利用這個系統漏洞，請確保你的系統中安裝了由Windows發佈的相關系統更新檔。關於該漏洞的詳細資料，請參考https://www.microsoft.com/technet/security/Bulletin/ms08-067.mspx

4. Win32/Agent
上月排名：9
佔病毒偵測總數：3.01%
ESET NOD32以這個名稱來命名這個惡意代碼偵測。它會竊取受感染電腦中的使用者的個人資料。為達此目的，惡意程式會把自己複製到電腦的暫存檔案位置，並根據本身檔案或過去曾經在其他系統隨機建立的相似檔案，新增機碼到登錄檔，使惡意程式每次在電腦啟動時自動執行。

對使用者來說，這代表什麼意思？
建立隨機檔名是惡意程式隱藏自己的其中一種方法，並已沿用許多年。雖然檔名
是可以幫助偵測惡意程式，但我們絕不應依賴此作為辨別威脅的首要識別機制，尤其是當一些防護程式的廣告標榜「我們是唯一可以偵測nastytrojan.dll檔名威脅的防毒產品。」時，使用者應特別留意。

5. Win32/Toolbar.MywebSearch
上月排名：4
佔病毒偵測總數：3.00%
這是一個可能具有潛在風險並不受用家歡迎的應用程式(PUA，Potentially Unwanted Application)。在這種情況下，它是一個包括搜索功能的工具列，它會引導使用者通過MyWebSearch.com 搜尋資料。

對使用者來說，這代表什麼意思？
這種特殊的滋擾已名列十大名單多個月了。惡意程式防護公司都不願意把PUA(Potentially Unwanted Application)正式列為惡意程式，PUA(Potentially Unwanted Application)通常不在掃描器的預設掃描設定中，因為有些廣告軟件和間諜程式可被視為合法，尤其是如果它在最終用戶許可協議中提到（就算只是很小的字）自己的程式行為。

6. WMA/TrojanDownloader.GetCodec.Gen
上月排名：8
佔病毒偵測總數：2.96%
Win32/GetCodec是一種會修改媒體檔案的惡意程式。這種惡意程式會轉換電腦中的所有音效檔案成WMA格式，並在檔案中新增一個標頭(header)，要求使用者到指定網址下載一個新的解碼器去讀取該媒體檔案。

對使用者來說，這代表什麼意思？
惡意程式假冒成一種新的視頻編解碼器，是許多惡意程式製作者和發佈者所喜歡使用的技倆。正如Wimad，受害者因為相信那是一些有用或有趣的程式，而被騙執行惡意代碼。雖然沒有簡單或者統一的測試去證實是否真的有一個新的編解碼器或者只是某種木馬程式，但我們仍鼓勵你儘量小心，並對任何不請自來的工具下載邀請，持有懷疑態度。即使該工具來自一個可信任的網站，亦需盡可能了解和驗證它的真偽。

7. Win32/Pacex.Gen
上月排名：3
佔病毒偵測總數：1.90%
Pacex.gen 使用容易使人混淆的外殼包裝病毒。Win32/Pacex.
Gen 中字尾的Gen 代表很多已知的變種的意思，憑標籤相似的病毒特徵偵測出未知的變種。

對使用者來說，這代表什麼意思？
這種使用外殼包裝的惡意程式主要在偷取密碼的木馬程式中發現。有些針對線上遊戲玩家的，會偵測為Pacex，而不是PSW.OnLineGames，因為這兩者之間有一些重疊。這表示，PSW.OnLineGames的偵測比率可能是更高的。但愈來愈多的啟發式偵測防護會幫助區分它們和顯示出一個更明顯的趨勢：亦正如我們在最近一次會議上所討論的，精確的偵測比精確的分類更為重要。（Pierre-Marc Bureau and David Harley在2008年第18次Virus Bulletin會議上發表的《The Name of the Dose》。）

8. Win32/Adware.Virtumonde
上月排名：19
佔病毒偵測總數：1.57%
這威脅偵測代表一種廣告木馬程式。它會不停發送令人覺得滋擾的廣告到使用者的電腦。在執行時，Virtumonde會在未經使用者同意下，同時打開多個彈出視窗顯示廣告。通常這種廣告程式都很難去完全移除。這類廣告是惡意程式製造者的一大收入來源，所以你會持續在十大威脅中發現它的踪影。

對使用者來說，這代表什麼意思？
Virtumonde對廠商和客戶來說，已經成為一個很難解決的問題，遠遠超過「廣告」或「可能有害」的地步。Virtumonde本身可能有合法的廣告目的，但亦可能導致使用者無法正常使用電腦，所以使用者接受軟件的使用者條款及協議時，須要特別留心字眼和細節。你亦可以參考我們的網誌「廣告程式、間諜程式和可能有潛在風險的應用程式」https://www.eset.com/threat-center/blog/?p=138

9. Win32/AutoRun.KS
上月排名：6
佔病毒偵測總數：1.07%
這威脅的標籤「AutoRun」說明了它利用了Autorun.inf檔案。當受感染的可移除儲存裝置被插入時，檔案會自動打開電腦系統上的程式

對使用者來說，這代表什麼意思？
這是一個具體使用Autorun作惡意程式的例子。停用此功能可把這問題的風險減到最低。

10. Win32/Patched.BU
上月排名：5
佔病毒偵測總數：1.02%
Win32/Patched是指那些被惡意程式修改過的合法系統檔案。這種修改會令到系統啟動含惡意代碼的系統檔案。雖然Patched.BU本身「不含有」任何惡意代碼，但由它修改連帶執行的程序卻無疑是惡意程式。

對使用者來說，這代表什麼意思？
這只是惡意程式感染檔案眾多變種中的其中一個例子。事實上，此類惡意程式披上合法檔案的外衣就很難使用檔名來識別。（雖然防毒業界一再強調依靠檔名來判斷是否病毒不是有效的方法，但有些防毒產品現在還是採用了類似的方法，目的就只是為了減少病毒定義偵測的系統資源耗用。）從動機來說，惡意程式其實也是如出一轍，大多使用一個不含惡意代碼的軟件作為掩護，以再執行或下載真正的惡意代碼。

最新情報

假冒的防毒軟件
正如我們在「2008年度全球威脅報告」中所闡釋的那樣，我們看到了「假冒的防毒軟件」在數量上越來越多，而且其設計越趨複雜，主要敲詐一般電腦使用者。儘管現在使用者受害的實例還不多，但在不久的將來，我們預計會有更多的敲詐方法出現。

在不良份子找到一個安裝假冒防毒軟件的機會時，可能連間諜程式和廣告程式一併執行。當一個受害者上當受騙，並提供自己的信用卡和私人資料等敏感訊息時，這些資料隨後可能會被用於多種不當用途。

現在有很多惡意程式把自己偽裝成合法的安全防護軟件，假扮成供應商並竭盡所能與正常供應商賣同一樣形式的廣告。比如說，某些虛假宣傳標榜其「產品」已獲得業界認證，吹噓他們的產品能夠偵測病毒，還在一些公共論壇上給其他安全廠家潑冷水，並威脅會用法律手段對付那些揭發他們真面目的合法安廠商。綜合來說，這是一種同時對合法安廠商和使用者挑戰的攻擊。

就外部測試而言，本月又是值得ESET慶祝的日子。2009年1月的SC Magazine(業界知名的IT安全產品資訊雜誌）給予了ESET NOD32 Smart Security企業版五星評價並表示：「總體來說，該產品在我們的測試中有非常不錯的表現。它能夠在終端電腦提供優良的惡意程式偵測。管理控制台的日誌報告、警號訊號、分發和管理系統等均表現優秀。」Paul Lilly還在《MaximumPC》中對ESET NOD32 Smart Security提出了極好的評價：「要在多如繁星的紀錄保持者--ESET NOD32 Smart Security身上找出Achilles’heel」（Achilles’ heel: Achilles是希臘神話勇士，出生後其母握其腳跟倒提在冥河中浸過，因此除未浸過的腳跟外，渾身刀槍不入。後來慣用此語比喻致命弱點。）般的弱點，但是我們卻一個都沒有能夠找到。ESET的Smart Security阻止了我們下載病毒檔案，掃描系統時只使用了不到7分鐘54秒的時間。這樣快的速度使我們感到在，掃描系統就像敷衍了事一樣。」與此同時，福布斯網站（Forbes.com）也在最近的AV-Test和AV-Comparatives啟發式掃描偵測測試中，提出了針對性能的指標意見：「真正的贏家應該是ESET，不愧是AV-Comparatives和AV- Test中的啟發式掃描測試的雙料冠軍。」而且，正如在11月份的報告中敘述那樣，我們的NOD32產品已經第53次獲得了業內甚具聲望的VB100認證。

ESET的研究團隊在之前發佈了若干季度的「十大」趨勢和預測。這裡有其中的兩份：2008趨勢報告和2009趨勢預測報告。另有一些「十大」預測報告（如《Ten Ways to Protect Yourself in 2009》、《Ten Trends in Endpoint Security》和《Top Ten Email Nuisances》等）將可能在《2008年度全球威脅趨勢報告》之後發佈。

表1：2008惡意程式長期流行趨勢

1、假冒防毒軟件和間諜程式產品的數量和編寫技術會不斷和提升。

2、盜取遊戲密碼類的惡意程式，受害者的遊戲帳及虛擬裝備會在現實世界被出售圖利。

3、各類惡意程式利用Windows Autorun（Windows自動執行功能）來進行破壞。

4、利用漏洞的惡意程式以「可信任程式」的面目出現。如含有惡意代碼的PDF文件和一般文書檔等。

5、利用軟件的溢出緩衝區或類似行為導致執行錯誤以使程序或操作系統受到攻擊，特別是自動攻擊。

6、「風暴蠕蟲」（Storm Worm）殭屍網絡滅亡了，或者應該說，維護它的那幫人作鳥獸散了。這支持了我們的論點，懷疑他們從大型殭屍網絡轉向小型網絡，因為小型網絡可以更容易隱蔽和維護。但有跡象顯示風暴蠕蟲有可能會捲土重來。

7、利用微軟系統漏洞MS08-067的惡意程式、如Conficker和Gimmiv。

8、偽裝成媒體解碼器的病毒繼續大行其道。受害者常常被騙去執行某個合法程序（其實是非法）才能觀看有關內容。又如使用社會工程學傳播受感染媒體檔案——著名的例子有GetCodec。

9、隱藏式下載（Drive-by download）及利用瀏覽器和元件中大量的漏洞來傳播病毒。

10、加殼工具使用的增加（如Themida以及其他），逃避防毒軟件偵測技術，特別是傳統的病毒定義資料偵測。

1、會有更多的欺詐事件發生，比如欺騙一般使用者去使用假冒的防毒軟件清除病毒（以防毒軟件面目出現的一種流行病毒）。預期這會有更複雜的社會工程學手段作為傳播手法。

2、含惡意代碼和欺詐性廣告的增長，因為病毒作者肯付錢而廣告服務商又懶得去核實廣告內容本身。

3、針對瀏覽器的攻擊會更多，因為這是人們最常使用的應用程式。

4、包括概念攻擊（Proof-of-Concept）和手機瀏覽器漏洞的利用，針對移動設備的威脅會更多。比如說，我們預期針對iPhone和Google的Android手機開發的瀏覽器攻擊會相繼出現（WebKit-based browsers）。

5、針對其他操作系統平台（主要指OS X和Linux系統）的威脅會增加，因為它們變得越來越流行了。（良好的安全使用防護習慣總是落後於新系統的流行）。

6、惡意程式作者會加強隱藏技術的使用，拖長偵測時間。那種謀求惡意程式傳播最大化的日子已經一去不復返：如今，目標已變成把惡意程式謀取利益最大化。

7、在不同格式的檔案中（如PDF、javascript和媒體檔案）使用逃避防毒軟件偵測技術的惡意程式數量會增加。攻擊者有可能把惡意代碼加入到一些看似只是數據文件的檔案欺騙使用者。

8、更多的社會工程學攻擊，更複雜的混合應用。這是常常屢試不爽的攻擊「技術」：攻擊意識最薄弱的環節，雖然你不會低估應用程式、操作系統、網絡軟件的弱點和零天攻擊（Zero-day Attack），但是很多攻擊還是會通過最簡單的手法從受害者手上打開缺口。

9、更多的黑客會因為利益而行動。如今的惡意程式已經跟早年為炫耀智商高超或技術高深的狂熱分子毫無關係了，所有的一切都跟經濟利益掛鉤。賺錢就是惡意代碼的目的。

10、能自動識別虛擬環境的惡意程式——當發現是出於安全防護軟件的虛擬偵測時，它們就會保持停止搜索軟件漏洞。還可能增加殭屍網絡(ZOMBIE NETWORK)的利用，結合虛擬技術在被攻擊機器上隱藏動作：核心模式的Rootkit也會讓偵測難度提高。