趋势科技公布2006 年金毒奖

　　网络安全专家趋势科技公布“2006年金毒奖”，评选标准是以趋势科技全球防毒技术研发支持中心(TrendLabs)所追踪的病毒事件为主,并以全球各大公信单位的调查报告数据及各项犯罪案例为佐证，让网友更进一步认识网络毒害的新趋势。

　　以下是得奖名单：

　　最佳男/女主角： 空缺

　　获奖理由： 隐姓埋名，组织作战，利益共享

　　趋势科技表示，2006 年，绝大多数的恶意程序攻击几乎都是受到金融窃贼的驱使，他们所运用的手法包括窃取密码、键盘侧录以及其它相关的活动。趋势科技与业界其它分析师都将这类资讯安全威胁归类为犯罪程序，是恶意程序中迅速成长的网络安全威胁。所有犯罪程序 (从窃取密码的 TSPY_BANCOS 到攻击 eBay 使用者的 TROJ_YABE) 在从事破坏活动时，不外乎采取三种典型的途径：窃取身份信息、勒索及/或从事商业间谍活动。一旦这些行动成功之后，犯罪程序就会运用各种方法窃取金钱—例如盗取金融账户密码、劫持档案进行勒索、或掠夺企业专属信息等等。

　　另外有两种恶意程序行径虽与犯罪程序并无直接关联，但却是窃取金融相关信息的恶意攻击者惯用的手法：组织社团与下载更多恶意组件。组织社团的恶意程序通常被称为傀儡虫或傀儡程序。傀儡程序的主要目标是让病毒尽可能散播到最大范围，同时又能让其创造者拥有集中控制的能力。将单一傀儡程序组织成网络 (或傀儡网络) 有助于提升傀儡程序的威力，并且能让创造者运用由成百上千台计算机所形成的强大力量谋取经济利益。傀儡网络在 2006 年有显著的成长，其中最值得注意的就是 WORM_SDBOT 家族。

　　时下恶意程序的本质都是唯利是图，充分显示恶意攻击者已不再像以前一样单打独斗。现在，攻击行动往往是由能取得更庞大的共享资源的专业恶意程序设计师联手策划，这类集团组织致力于恶意程序的制造与散布，借此窃取个人与企业受害者的钱财。

　　最佳导演：傀儡网络控制者

　　获奖理由： 百万僵尸计算机 弹”指”操纵自如

　　非法组织雇用程序设计师撰写 Bot 以此挟持计算机，这些所谓的僵尸计算机的下场就是沦为各种犯罪活动的工具，用来散播垃圾邮件、发动网络钓鱼攻击甚至是分布式服务阻断攻击 (DDOS)。趋势科技Botnet Threats and Solutions: Phishing白皮书指出，傀儡网络 (由遭入侵并被植入傀儡程序的计算机所组成的网络) 已是网络钓鱼攻击的最主要来源。2005 年初，德国 Aachen 大学的网络安全分析专家曾指出，他们在三个月的时间内便侦测到100多 个傀儡网络。这些傀儡网络的大小不一，由数百台到 50,000 台计算机组成。傀儡网络罪犯以每 1000 个傀儡程序 100 美元的日租价格出租给他人使用。一个被捕三次的网络钓客，只花了 60 美元买到搜集电子邮件地址程序，他20 岁时就已获利150,000 美元。在利字当头下，广告营销公司加盟傀儡网络计划，针对军方、医院、学校进行非法安装，非法佣金超过 100,000 美元。然而受害者平均需花费 600 小时来处理身分盗用案件及恢复他们的信誉。透过网络钓鱼所取得的信用卡卡号出租或出售给其它犯罪组织，时价为十组信用卡卡号 20 美元，甚至连聊天室都有人兜售信用卡。

　　21岁的在线匿名为"0×80" 的黑客曾只为单独和几位舞者在 VIP 室中共度一个小时花费 800 美元，尽管他只有高中肄业文化、平日的主要活动就是和人聊天，但他所”征召”的 Bot却成了他的非法摇钱树。"0×80"今年2月接受国外媒体匿名采访时表示，他每日只要大约花 2 分钟管理 Bot 网络，控制分布于 20 个国家的 13,000多台计算机，平均月收入就可达6800 美元。他很嚣张的说：“被我感染的人多数都笨得很。”他所谓很笨的人，有可能包含你我，因为多数人沦为傀儡计算机并不自知。

　　年度神射手： 目标攻击

　　获奖理由：在精不在多，攻击百发百中

　　区域性与目标式攻击取代全球性病毒疫情爆发，是2006年恶意程序最明显的转变，网络安全专家趋势科技表示，2006 年“针对特定目标/小规模散播”趋势将延续至 2007 年。它们的感染规模往往十分有限，这完全颠覆了业界的病毒疫情爆发概念。过去我们曾经历过蔓延极广的大规模病毒疫情爆发，但现在我们看到的是规模较小的区域性感染事件。这类目标式攻击具有较特定的目标，且很难彻底根除。在某些案例中，它们甚至只锁定一家公司，企图窃取某些内部信息。

　　网络钓鱼从大规模一网打尽转变为锁定特定对象的目标攻击。鱼叉式网络钓鱼( spear phishing)，即是针对特定目标进行攻击网络钓鱼。Gartner Research 在一项网络钓鱼攻击相关研究中，针对 5000 位居住在美国的成人所作的问卷调查结果发现，高收入族群 (年收入超过 10 万美元) 已成为网络钓鱼攻击锁定的目标。

　　如果你有每日上网查询股票交易记录或到当红相片分享网页看看有无新照片的习惯，得当心可能让所属企业陷入目标攻击者预设的陷阱中，趋势科技表示，目标攻击者锁定特定企业员工每日上网浏览固定页面习惯，在网页中或是在受害系统中置入病毒自动下载器(downloader)，每天更新病毒变种到受害系统里。如果目标攻击对象无法找出问题源头，就得随时应付无穷无尽的新变种攻击。

　　最佳人缘奖： 社交网站

　　获奖理由：有声有色，人气居高不下，毒气蔓延中

　　网络安全专家趋势科技预测 2007 年将有一波伪装成媒体档案的恶意程序蜂拥而至。由于影片共享网站 (如 Youtube.com) 的愈来愈受欢迎，以及媒体档案社交网络网站 (Myspace.com) 中使用越来越频繁的情形，正是这波新兴风潮幕后的主要推手。2006 年即将结束时，第一个概念验证 (POC) 型态的木马程序 TROJ_MPEXPL.A 也让这项预测逐渐实现。

　　这个木马程序会利用在媒体播放程序 XMPlay v3.3.0.4 中所发现的安全弱点，透过特别制作的 ASX 档案来散播，只要在 XMPlay 中播放这个文件，便会导致缓冲区溢位的情况。而这种缓冲区溢位的情况则能让远程使用者趁机在受感染的系统上执行任何档案，而使用者却毫不知情。幸好最新版本的 XMPlay 已经针对这个安全弱点作了修正。

　　年度生产力奖： 病毒自动下载器( downloader)

　　获奖理由：添子添孙，繁衍远胜卸载

　　网络安全专家趋势科技表示，目标攻击者锁定特定企业员工每日上网浏览固定页面习惯，在网页中或是在受害系统中置入病毒自动下载器(downloader)，每天更新病毒变种到受害系统里。如果目标攻击对象无法找出问题源头，就得随时应付无穷无尽的新变种攻击。变种到底多到什么程度呢?趋势科技举例Haxdoor变种样本数量已超过 8500 个 ;TROJ_YABE 变种短短数小时内，样本数量已累积超过 1000 个。而这些攻击针对特定公司而来，背后的动机可能是为了偷取商业机密，或是破坏企业的正常营运。

　　以下是网络安全专家趋势科技所列举2006年以病毒自动下载器扩大生产力的几个代表性病毒：

　　1. 31个Stration变种 每周至少发动3波垃圾邮件攻击

　　2. ZLOB伪装影片译码程序 在10个网站部属上千个档案引诱上钩

　　3. WORM_SOHANAD每隔一天新变种随垃圾信息报到

　　4. WORM_NUWAR 、WORM_MEDBOT逾百次更新募集僵尸计算机

　　最佳音效奖： 声音网络钓鱼(Vishing)

　　获奖理由：先声夺人，听者上钩

　　语音网络钓鱼 (Vishing)，是一种使用网络电话 (VoIP) 技术的目标式网络钓鱼攻击。网络钓客则使用非一般型态的网络钓鱼电子邮件，企图骗过网络钓鱼防护机制。2006 年 8 月，趋势科技侦测到一波以 PayPal™ 使用者为目标的网络钓鱼攻击行动，要求他们拨打一个 1-800 的电话号码以确认他们的账户数据。这类圈套即是所谓的“语音网络钓鱼 (Vishing，Voice over IP Phishing)”。

　　网络钓鱼与垃圾邮件是价值数十亿美元的产业，趋势科技预测恶意程序作者在目前及未来的攻击行动中，必定会持续借助网络钓客与垃圾邮件散发者的力量。

　　年度网拍王 ：Web attacker

　　获奖理由：复制人气BOLG，创造”钞”高广告点选率

　　Web Attacker 是一个俄罗斯组织积极宣传销售的一套工具。许多不同的间谍软件均使用这套工具来协助它们散播。除了专为协助恶意营销人员而设计以外，它还以“请确定你买的是原始的 Web Attacker”作为宣传口号。9月外电报导指出，可能有1万个以上的恶意网站将利用Web Attacker 攻击IE 新漏洞。它的价格从 15 美元到 300 美元不等，视服务类型而定 。

　　“从他们采取价格分级的做法可看出，他们的生意相当好。”趋势科技资深资讯安全威胁分析师 Jamz Yaneza 表示。“他们是一家机能完整的营销公司，并且还拥有技术支持网站。” 厂商的技术支持讨论区提供了如何回避防御技巧的指引，并且建议客户如何避免最新的防毒程序侦测到他们的攻击活动。Jamz 表示，“你可以依据类型、位置、或任何事物来选择目标。其背后有金钱为诱因，涉及的资金相当庞大。俄国似乎没有任何法律规范;这个组织简直就像盗匪一样。”

　　第一次接获此类攻击报告的时间是在 2006 年 9 月，当时大多数恶意程序攻击事件都是来自于俄国的色情网站。一旦发现新的安全弱点之后，贩卖 Web Attacker 的人便会在第一时间提供可攻击该安全弱点的程序代码。他们会制作攻击程序代码并放在网站上，然后再利用傀儡计算机网络 (Botnet) 任意散发电子邮件。收到这些邮件的人会浏览这些网站，如果他们系统上的安全弱点尚未修补，程序代码就会执行并感染他们的计算机。他们利用这种迅速提供攻击程序代码，以及成功安装 Web Attacker 的方式来换取金钱报酬。

　　最佳剪辑奖 ：SPlog 或 blAM

　　获奖理由：专售黑客点钞机，上万恶意网站之父

　　根据 Forrester 在公布的数据，到 2010 年时，将有 64% 的美国广告商利用BOLG刊登广告;57% 将会刊登 RSS 广告;在线营销将占有整体营销支出 8% 的比例。此外，Google 也已经推出 RSS 专用的 AdSense，这个程序能在它的网站信息汇集服务中插入针对特定对象的广告。相较于具备 RSS 功能的蠕虫，由于受到利益的驱使，RSS 广告程序与间谍程序将构成更大的威胁。

　　你的BOLG会随着人气攀升，而成为网络垃圾场、广告免费空间或蠕虫宅吗?2006年有个新名词叫SPlog 或 blAM (垃圾BLOG)，内容通常都毫无意义或只是一些“垃圾”数据。有时它们甚至还包含自其它BLOG窃取或“搜刮”来的内容，它们的动机是创造广告点阅率，并与Google拆帐。不知情的读者如果以RSS Feed订阅了这些仿冒的假网站，还会收到大量的垃圾信。

　　最佳美术设计 图片垃圾邮件

　　获奖理由： 用图片取代文字，与关键词杀手捉迷藏

　　垃圾邮件泛滥问题持续恶化，纽约时报称之为 Spam 2.0 - 第二代的电子垃圾邮件。而 图片垃圾邮件使传统过滤机制面临挑战。

　　2006 年，垃圾邮件散发者为了避免被垃圾邮件过滤器拦截，将电子邮件的广告内容放在图片当中，并且在字里行间夹杂各种随机产生的元素，像是点或线等。这类垃圾邮件所衍生出的复杂性，使得启发式智能型扫瞄引擎与其它垃圾邮件防护技术难以侦测到垃圾邮件。

　　趋势科技表示，垃圾邮件散发者开始运用图片拼贴与 CAPTCHA 等技巧。图片拼贴是将一个大图片切割成体积较小的「碎片」，当收件人阅读信息时再拼凑在一起。这种方法会造成垃圾邮件防护技术常用的 OCR (Optical Character Recognition，光学字符辨识) 产生混淆。而 CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart，全自动化杜林测试人机辨识机制) 则是将一层文字置于一层随机产生的背景之上，因此每次执行时都会产生一个新图片。垃圾邮件散播者利用这种方式来躲避大批邮件侦测与特征辨识。最具讽刺意义的是，CAPTCHA 当初是为了防止傀儡程序注册如 Yahoo! Mail 这类免费服务而开发的。

　　趋势小叮咛 安全一整年

　　趋势科技在 2006 年的互联网安全与信心问卷调查中发现一件有趣的事。虽然大多数受访者都认为互联网目前还算安全，并且相信未来六个月内安全程度将会降低，但他们也坦承会从事具有风险的在线活动—例如使用免费软件/共享软件和不安全的公共无线热点。今日的安全防护工具确实能保护上网从事各种活动的计算机使用者;然而一般使用者的认知与在线行为模式也必须配合安全防护工具，才能获得完整的防护效果。趋势科技建议如下：

　　-对于要求你安装软件的网页，请务必提高警惕。请勿允许新软件从你的浏览器中进行安装，除非你百分百信任此网页与软件的供应来源。

　　-使用更新过的防毒软件与间谍程序防护软件扫瞄所有从因特网下载的程序。包括从 P2P 网络、网站、或任何 FTP 服务器下载的程序，无论其来源为何。

　　-对于非预期且看似异常的电子邮件，请务必提高警觉，无论寄件人是谁。绝对不要打开这些电子邮件所含的附件，也不要按下邮件中的任何链结。

　　-开启 Windows 操作系统的“自动更新”功能，一旦有新的更新程序推出时，请立即安装。

　　随时开启防毒软件实时扫描服务。定期监控防毒软件是否保持更新，以及服务是否正常运作。

　　附录：历届金毒奖得奖名单：