揪出資安威脅藏鏡人：傀儡程式

臺灣、臺北傀儡感染率名列全球前十名
在臺灣，傀儡網路攻擊案件媒體曝光率雖然不高，但臺灣卻是全球感染傀儡程式、遭受傀儡網路攻擊最盛的國家之一。根據賽門鐵克全球網路安全威脅報告指出，臺灣在2005年上半年，名列全球傀儡程式感染國第10名，到2005年下半年則上升為第7名；而臺北市更以全球14%的傀儡程式感染率，排名亞太區Bot感染城市第3名，全球排名第6名。

Bot變形多，2005年占全部安全威脅10%
根據警察與調查單位揭發的傀儡程式，去年涵蓋20萬個受駭者，成為嚴重安全威脅之一。趨勢科技全球防毒技術研發支援中心在2006年發布的安全威脅預測中，則特別指出，「2005年是灰色程式充斥的一年」，包含間諜程式、後門程式、傀儡程式以及Rootkit等，通報次數將近1100萬次，在趨勢前15大安全威脅排行榜中，就占了65％。其中，傀儡程式在整體安全威脅型態中，2005年達到10％。

傀儡程式潛伏企業，發動攻擊、偷資料為主要目的
傀儡網路攻擊（Botnet）的後續影響力相當大，但對於許多臺灣企業而言，所謂的傀儡網路攻擊根本無從察覺，法務部調查局資訊室主任閻鎖琳便指出，「很多企業根本不知道他的系統被入侵、被冒用，一直到ISP或執法單位通知，才可能知道。」因此，對傀儡程式的知己知彼，已經成為現代企業不可或缺的資安概念。

避免淪為傀儡禁臠，隨時自我檢查
"自我檢查項目"
現象1：系統效能異常
不論是企業端伺服器或是個人主機，臺灣CA（組合國際）技術顧問林宏嘉表示，「當系統莫名其妙效能越便越慢時，就必須開始留意。」這個異常包含範圍很廣，除了基本的主機處理器效能突然利用率飆高，甚至達100％外，系統出現異常存取，出現異常網址與主機相連，有使用者企圖進行密碼破解，或者是不合法的ID登入，例如Admin在非正常時間於非正常機器上登入等，這些現象，都是IT人員最容易察覺的步驟。臺灣傀儡感染率名列全球前十名

傀儡程式通常不會發生立即性破壞，然而其潛在攻擊往往也因為沒被發現，而能夠為所欲為，對企業造成的損害，有時候，甚至高過系統一時的中斷。

在4月，臺灣曾經發生駭客從美洲地區，利用國內某些中小企業的網站，以網路跳板的方式，冒名國防委員會委員國民黨立委林郁芳的名義， 用預算書和兵棋推演的附件，誘使軍事、國防路線的記者點選該附件。根據法務部調查局從受害記者的電腦中，循線追查得出的鑑識結果，可以追查到駭客從美洲到臺灣，利用一些不安全的系統為跳板，植入傀儡程式（Bot）後，再冒用林郁芳名義，從這些不安全的系統，發信給特定的軍事、國防路線的記者。

當時清查其中一臺受駭電腦時赫然發現，裡面竟隱藏了130支傀儡等惡意程式，據立院IT人員研判，其中有的固然是這次受到的攻擊，有的可能是更早之前就遭到別的駭客植入累積而來。

在臺灣，這類的傀儡網路攻擊案件媒體曝光率雖然不高，但臺灣卻是全球感染傀儡程式、遭受傀儡網路攻擊最盛的國家之一。根據賽門鐵克全球網路安全威脅報告指出，臺灣在2005年上半年，名列全球傀儡程式感染國第10名，到2005年下半年則上升為第7名；而臺北市更以全球14%的傀儡程式感染率，排名亞太區Bot感染城市第3名，全球排名第6名。

臺灣、臺北，能在兩項排名中「名列前茅」，主要的原因還是在於寬頻網路及無線網路普及。因此，傀儡程式隨著高速網路對企業帶來的傀儡網路攻擊（Botnet），相關危害將不可小覷。

傀儡網路攻擊，不絕於途
傀儡網路攻擊對企業造成的影響，往往涉及資料竊取或外洩，這些都是顯而易見的網路犯罪行為。國內偵辦這類網路犯罪單位主要有兩個，一是警政署偵九隊，另一個是調查局犯罪偵辦科。前者以網路色情、詐騙、線上遊戲相關的網路犯罪為主，後者則以政府和大型、知名民間企業為犯罪防範對象。

從這兩個單位日益暴增的業務量，也可以看出這類犯罪案件的嚴重性，其中，法務部調查局資訊室主任閻鎖琳便透露，「從2006年開始，為了因應日益增加的傀儡網路攻擊，調查局投入處理相關案件的人力，已從去年的30％提高到今年的80％。」

這類遭受傀儡網路攻擊的企業，受害者除了被駭客鎖定、預計竊取相關資料或勒索的企業外，有更多不特定的中小企業，因為資安防護上的疏漏、管理鬆散，成為這些駭客的跳板。閻鎖琳說，「被賣了還不知道」是這些被當跳板的中小企業真實寫照；許多中小企業對於已成駭客攻擊他人跳板渾然不知，通常都是執法單位已經循線追查相關線索，來到該公司門口的那一天才知道真相。

內政部警政署偵九隊隊長李相臣曾在公開演說中指出，「目前保守估計，臺灣至少有3成以上的電腦，被植入傀儡程式。」而其中，他認為，「各種網路犯罪中，網路釣魚受害最廣，但傀儡程式受害最深。」

目前不論是調查局或者是警政署，每天主動發現或通報案件，平均近百件是常態，每個月最多能處理50件跳板攻擊案件。也由於通報數量之多，遠遠超過預期，加上這類案件處理速度慢，費時間也花人力，事態嚴重往往無法立即解決，因此，以調查局現有的人力，「平均每個月能夠結案的案件，頂多10件，就已經會操死許多調查員了。」法務部調查局資訊室組長劉嘉明說。

從Bot植入到得知，平均3個月
不只是相關人力不足的問題，而是這類傀儡網路攻擊，除了不容易發現外，往往無法全權倚賴工具處理，需要透過許多人力進行鑑識、分析等。從2006年1月迄今，許多已發現被植入傀儡程式的企業，經過相關資安鑑識過程，「從傀儡程式被植入到被發現，最短1週～3個月，半年以上才發現的比比皆是，超過1年以上也不在少數。」臺灣CA（組合國際）技術顧問林宏嘉說。他進一步指出，「從被植入傀儡程式那一刻起，臺灣企業平均花3個月以上，才能發現系統已成為傀儡網路攻擊的一環。」

雖然企業往往不能在第一時間，得知本身資安防線是否已經出現漏洞，但外在的網路威脅，卻沒有因為企業的不自覺而有所減緩。根據賽門鐵克（Symantec）全球網路安全威脅報告顯示，2005年上半年，傀儡網路攻擊活動增加至中級的程度，平均每天偵測出10352個傀儡程式，比2004年12月平均每天4348個，成長了138%；2005年下半年，傀儡程式活動量比上半年微幅下降，平均每天9163個。

從這個循環中，也可以發現傀儡程式的活躍程度與季節、系統安全性有相關。例如，2004年2月到6月傀儡網路攻擊巨幅成長，主要是因為Spybot及Gaobot迅速擴散的緣故；2004年7月到12月間又下降，因為資安廠商與企業致力於電腦保護，像是防火牆之類的部署，阻擋了傀儡程式的成長。

至於在2005上半年，傀儡網路攻擊在2月24日達到高峰，根據賽門鐵克分析，可能是在過完了12月的假期之後，多了許多新的使用者使用新電腦或軟體。從2005年下半年開始，隨著網路服務的盛行，許多瀏覽器上的系統弱點，將成為傀儡程式入侵的方便門。

駭客選擇缺乏警覺性企業為跳板
駭客發動傀儡網路攻擊的對象主要分成兩種，一種是缺乏警覺性、可被做為攻擊跳板的受駭企業，第二種則是資料有價，對駭客有利可圖的企業。

「在駭客眼中，所有的大型企業和中小企業都是平等的，沒有產業的差異，只有系統有沒有防護的差別。」中華電信網際網路處科長吳怡芳說。全國最大ISP中華電信400萬名用戶中，只要系統有漏洞且沒有做好相關防護，都是駭客可趁之機；其中占多數的個人以及中小企業用戶，則因為缺乏安全防護的觀念與作為，經常成為被駭客當作攻擊他人時的跳板，成為代罪羔羊的受駭者。

臺灣寬頻連網率高，許多企業即使不見得具有機密資料，但往往也需要架設相關的網站、郵件伺服器等，經常會有剩餘的處理器運算能力。宏碁根據其安全監控管理的客戶經驗，也歸納出3種受駭數目較多的企業類型。該公司安全技術與管理處資安一部資深技術經理黃瓊瑩表示，「某些技術學院的主機、中小企業，以及某些國家實驗室的主機，因為主機CPU夠、又缺乏管理，成為被駭的跳板企業3大類型。」這些被當成攻擊其他企業系統跳板的企業，往往後知後覺，直到受駭企業報案，執法人員循線追查走道門口那一刻，該企業才知道自己系統成為駭客的幫兇。

資料有價的企業，成為受駭目標
調查局歸納出，這些駭客針對的受駭企業，有共同的特徵，那就是：都具有資料庫。雖然一些中小企業有自己的資料庫，但通常不具有「有價」的客戶資料或研發資料，因此，駭客在選擇植入傀儡程式，發動攻擊時，而大型企業因為資料有價，被當作攻擊的對象。其中，又以金融業以及高科技製造業的研發（RD）部門為大宗。

從2006年1～3月遭到傀儡網路攻擊的受害企業來看，閻鎖琳表示，「至少有超過30家遭到傀儡網路攻擊，有以金融、高科技製造業等大型企業為主。」不過，這個數字是只有通報的單位，他以「在犯罪學上的犯罪黑數來推估，實際遭攻擊的家數，他說：「應該還要高上2～10倍。」

不論是金融或是高科技業，通常具有充裕的IT預算以及人員，在資安防護上，為何仍漏洞百出？專家認為，主要是人員訓練不夠，以及沒有善用設備。

人的問題就是，這些大型企業往往有錢採購許多高階的資安設備上，卻缺乏專屬的資安人力，劉嘉明便表示：「會寫程式的工程師，不見得懂資安」；其次，調查局人員到受駭企業現場進行電腦鑑識調查時，最常發現的設備問題就是，所有的設定都是第1次廠商驗收過後的設定，「甚至，有些資安設備的設定，都還是系統的預設值。」劉嘉明搖頭說道。他進一步指出，多數的資安設備若沒有按照企業的現況經過調校，再昂貴的設備也發揮不出它應有的效能。

傀儡網路攻擊，相對不受重視
和病毒、垃圾郵件相比，傀儡網路攻擊相對比較不受企業的重視，最重要的是這類攻擊通常不會發生立即性的破壞，然而這些像藏鏡人一樣的潛在攻擊，往往也因為沒被發現，而能夠為所欲為。這對企業造成的損害，有時候，甚至高過系統一時的中斷。Bot變形多，2005年占全部安全威脅10%

根據警察與調查單位揭發的傀儡程式，去年涵蓋20萬個受駭者，成為嚴重安全威脅之一。趨勢科技全球防毒技術研發支援中心在2006年發布的安全威脅預測中，則特別指出，「2005年是灰色程式充斥的一年」，包含間諜成室、後門程式、傀儡程式以及Rootkit等，通報次數將近1100萬次，在趨勢前15大安全威脅排行榜中，就占了65％。其中，傀儡程式在整體安全威脅型態中，2005年達到10％。

賽門鐵克全球網路安全威脅報告也顯示，前10大惡意程式碼中，具有Bot特徵的惡意程式，2005年上半年前10大有2支，到了2005年下半年則提升到前10大有6支傀儡程式。至於2005年前50大的惡意程式中，上半年14％是傀儡程式，下半年則提升到20％，主要是因為Mytob蠕蟲具有Bot特徵，導致傀儡程式類型增多。

IBM在2005年發現超過1850種傀儡程式，普遍透過系統漏洞入侵，並利用Rootkit方式隱藏自己。其中，Sdbot傀儡程式已有超過12800個變種，Agobot則有3821種變種，Spybot則有2116種變種，polybot則有106種變種，Mytob則有228種變種程式。

至於賽門鐵克統計的Bot變種，主要以Spybot為主，2005年上半年該款變種程式有6361隻，下半年有6542隻（比上半年增加3％），截至2005年12月31日止，賽門鐵克總共記錄了19545隻Spybot變種。

至於趨勢科技在2005年發報的安全警報中，其中更高達26％是Mytob蠕蟲的變種，通常移植自Mydoom程式碼所衍生的混合式攻擊。趨勢科技則直指：「內含Bot元件的Mydoom，曾在2004年造成大規模感染。」傀儡程式潛伏企業，發動攻擊、偷資料為主要目的

從系統脆弱處入侵，除網路聊天室及系統漏洞外，透過電子郵件散布，更是傀儡程式化被動為主動的攻擊方式。

目前，全球每日有10000～35000個不等的傀儡程式（Bot），利用各種管道，活躍地、散佈在全球各個不安全的系統上。根據資安公司CipherTrust資料統計，每一天，這些傀儡程式將影響超過25萬個系統；而這個影響的系統，除了50％是家用電腦網路系統外，40％的攻擊是針對大型以及中型企業。

雖然從統計數字上看來，傀儡網路攻擊（Botnet）的後續影響力相當大，但對於許多臺灣企業而言，所謂的傀儡網路攻擊根本無從察覺，法務部調查局資訊室主任閻鎖琳便指出，「很多企業根本不知道他的系統被入侵、被冒用，一直到ISP或執法單位通知，才可能知道。」因此，對傀儡程式的知己知彼，已經成為現代企業不可或缺的資安概念。

Bot成駭客犯罪工具
根據McAfee一份虛擬犯罪報告可以得知，許多網路犯罪的目的最主要就是為了要入侵網路上的電腦，而透過蠕蟲、病毒、垃圾郵件、網路釣魚、木馬程式、間諜程式等手法，將傀儡程式植入網路系統中，藉此遙控該系統；而這些聽命行事的傀儡電腦，則是網路犯罪者最好的幫手。美國FBI也估計，在2004年美國網路犯罪所造成的損失高達4000億美元，甚至，光是販售170萬筆偷來的信用卡資料，都可能造成430萬美元的損失。

但這類網路犯罪被定罪的比例不到5％，甚至，網路上除了有許多免費的傀儡程式外，花不到1萬元，也可以租用類似的傀儡網站來發動DDoS（分散式阻斷式服務攻擊）。

從2005年起，許多中華電信用戶被植入後門程式，成為Botnet受駭主機，遭到駭客大規模控制。中華電信網際網路處科長吳怡芳說，「透過分析惡意網路流量，積極掌握受駭主機並即時通知，成為降低中小企業成為傀儡網路跳板的積極作為。」

Bot從系統脆弱處入侵
根據美國CERT定義，傀儡網路攻擊基本定義是指：一個可自動執行的電腦程式，或者機器人（robot）程式，非法安裝在電腦系統中，而駭客可以透過病毒或其他惡意程式，散佈該傀儡程式在多臺電腦上，以控制該臺電腦；該臺電腦也可以被1個或多個以上的駭客控制、存取。

CERT也提醒，被傀儡程式控制的電腦運轉一如平常，平時也很難被察覺出來異狀，除非正巧觀察到特定的活動，甚至常常連防毒軟體也無法偵測出傀儡程式潛伏在系統中。

傀儡程式從系統脆弱處入侵，是理所當然。賽門鐵克（Symantec）亞太區資訊安全技術顧問林育民根據其經驗也指出，目前臺灣許多公司企業入口網站（EIP）缺乏維護，成為某些有心駭客的可趁之機；另外，網路使用者在使用瀏覽器或相關網路服務時，忽略瀏覽器告知的訊息，也讓傀儡程式能夠光明正大入侵使用者電腦系統中。

臺灣電腦網路危機處理中心（TWCERT/CC）2002年針對臺灣網路資訊中心（TWNIC）註冊網站進行偵測，至少有50％以上的網站有安全漏洞，其中又有54％的安全漏洞，可以讓人取得系統管理權限。美國的情況也頗為嚴重，美國聯邦政府網路1年遭到駭客入侵25萬次。在在都證明許多在網路上運轉的系統，多是漏洞百出、脆弱不堪的。

因為系統漏洞多，許多惡意程式要入侵，便沒有那麼難。Juniper（瞻博網路）技術經理林佶駿表示，在4、5年前，一臺毫無安全防護的電腦系統連網後，約莫可以撐到72小時會被駭客攻陷；吳怡芳則說，「現在一部無資安防備的電腦一旦連網，最快15分鐘就可以被駭客攻陷。」

IRC、E-mail是Bot主要散布管道
全世界第一個寫出來的傀儡程式，是在1993年針對Unix主機所寫的程式，名稱為：Eggdrop Bot，迄今還有針對微軟視窗作業系統的傀儡程式：Eggdrop Bot for Windows存在著。目前傀儡程式大致可分成幾種管道散佈，其中，「網路聊天室（Internet Relay Chat；IRC）的散佈是傀儡程式最原始的散佈方式。」林佶駿說道。這些IRC Bot通常都走TCP通訊協定，包含TCP 6667通訊埠等。林佶駿表示，隨著加密通道的盛行，為了逃避常規檢查，傀儡程式也會選擇諸如：https通訊協定傳播（TCP 443埠）或其他8000埠、500埠等，未來點對點（P2P）的傳播方式將更為普遍。

傀儡程式主要是聽命發動者發布命令而動作，不論是自動更新其版本，或者命令傀儡程式攻擊某個網址，藉此發動DoS（阻斷式服務攻擊），林佶駿指出，「更重要的是，可以掃瞄網路上其他電腦系統的漏洞，並可利用垃圾郵件、病毒發送或其他散佈惡意程式的方式，將傀儡程式複製到其他網路上有弱點的系統上。」也就是說，當傀儡程式入侵電腦系統後，亂數決定掃瞄的網段，例如網段Class B，假設從211.21.0.0～211.21.255.255中，有6臺電腦有系統漏洞，傀儡程式便可趁機入侵（exploit）。

除了網路聊天室以及系統漏洞外，透過電子郵件散布方式，更是傀儡程式化被動為主動的攻擊方式。林育民便指出，「SMTP是包含傀儡程式在內的惡意程式，最常被用來進行擴散的媒介；而在2005年下半年，前50大惡意程式中，則有92％是透過SMTP來擴散。」

宏碁便曾經針對某單位進行誘騙電子郵件測試，透過每人10封的誘騙郵件，包含網頁、Word檔以及圖檔等附加檔案，測試收件者的警覺性，通常駭客只需要一封誘騙郵件成功就可達到目的。宏碁安全技術與管理處資安一部資深技術經理黃瓊瑩表示，該次誘騙測試中，「有預先通報的測試，誘騙成功率超過30％；而沒有事先預警的誘騙測試，誘騙成功率則高達50％以上。」

發動DDoS攻擊、癱瘓網站或系統
大型Botnet能夠進行廣泛的DDoS，小型Botnet利用偽造IP的方式，發動洪水攻擊，以避免其植入傀儡程式的電腦被發現。

結合許多被植入傀儡程式形成的傀儡網路攻擊，林育民說，「傀儡程式除了可以聽命竊取資料外，更重要的是，可以發動DDoS（分散式阻斷式服務攻擊）。」所謂的Dos攻擊就是，利用傀儡電腦發出的封包，癱瘓受駭企業的系統，導致緩衝區溢位，或使封包超過頻寬。這些攻擊若從單一機器對單一主機發動，目的在使系統主機超載，則是DoS攻擊；但若攻擊是從多個機器針對單一系統發動，則為DDoS。

美國就曾經有一個實際案例，某運動用品便花錢雇用某一個青年駭客，要其發動DDoS攻擊，癱瘓其競爭對手的網站。而這次攻擊對該競爭對手網站，造成數十萬美元的損失，連該網站的伺服器廠商及ISP業者，對此攻擊都束手無策。而中國北京，也有1名駭客操縱6萬臺傀儡電腦，癱瘓1家音樂網站，造成人民幣700多萬元的損失。

另外，駭客也可利用監聽網路流量（Sniffering Traffic），取得其他傀儡網路電腦的資訊，「不論是以加密手法向企業主進行勒贖，或者是利用DNS（域名）伺服器，發動DDoS攻擊，都是現今傀儡網路攻擊最有效的方式。」吳怡芳說。目前網路上開放查詢的DNS伺服器數量最高可達560萬臺。

發送垃圾郵件、竊取機密資料
傀儡程式透過不特定缺乏安全防護系統，作為發送垃圾郵件（Spam）或網路釣魚（Phishing）的跳板，則是目前在臺灣許多中小企業最常面臨的問題。

由於中小企業經常是傀儡網路攻擊的某種惡意行為跳板，趨勢科技臺灣區技術支援部技術總監王應達便說，「企業或ISP的IT人員，直覺反應就是解決企業被當跳板或被列入網路黑名單的問題，往往難以察覺企業本身已經是傀儡網路攻擊的一環。」

傀儡程式可以聽命，掃描傀儡電腦中的通訊錄以及電子郵件帳號，發送大量的垃圾郵件到這些信箱；同樣的，也可以發送大量的網路釣魚信件，騙取這些使用者的個人機密資料，包含帳號、密碼、信用卡號等。

由於垃圾郵件發送已經是一種產業，對於垃圾郵件發送者而言，透過傀儡程式植入不安全的企業系統中，並利用其郵件主機來發送垃圾信件。有一名軟體公司的IT主管表示，他曾經在公司伺服器上發現有不明程式，當時該公司對外發送的電子郵件，經常被某些大公司的郵件伺服器擋下來。該名主管表示，「後來才發現公司的郵件伺服器被駭客入侵，植入傀儡程式，做為發送垃圾郵件的跳板。」因此，他們公司的郵件伺服器被列在RBL的黑名單中，成了駭客任務的跳板受駭者。

此外，某些駭客則在傀儡程式中，隱藏了一個鍵盤側錄程式（Keylogger），可以透過傀儡程式將使用者資料回傳時，同步回傳透過鍵盤側錄程式紀錄下的網路銀行或線上遊戲的帳號與密碼，藉此偷取金錢或虛擬寶物。

傀儡網路攻擊為了圖利
去年，美國CNN電視臺、電子商務網站eBay及微軟等，都曾經遭遇過傀儡網路攻擊。而臺灣，並未倖免於這股攻擊浪潮。由於民情關係，臺灣對於資安事件的揭露，顯得相對保守，主要是擔心商譽受損，失去顧客的信任感。

從去年開始，有一些金融單位遭到類似的攻擊。警政署偵九隊隊長李相臣在一些演講場合中便曾提到，有駭客利用某些中國大陸駭客工具寫成的傀儡程式，透過各種手法，包含木馬程式、垃圾郵件、網路釣魚、間諜程式或是其他如廣告程式等灰色軟體的方式，設法將可以遠端遙控的傀儡程式，植入某些鎖定金融機構的系統中，藉此達到勒索目的。若該金融服務業者報警或不妥協的話，便直接從遠端遙控，中斷該系統服務。許多企業迫於無奈，多半也只能跟駭客談判、花錢了事。

這類的攻擊並非特例，中華電信資安技術中心（SOC）在2004年就已經發現並處理過傀儡網路攻擊事件，所幸當時發現的那個案例，因為由內而外的IDS（入侵偵測系統）封包發送規則設置得宜，阻擋能力強，也順利阻擋封包發送不符規則的傀儡程式，無從對外擴散。

由於傀儡網路攻擊的發動者，往往只需要遠端遙控傀儡程式聽命辦事即可，而傀儡程式部署的範圍越廣，對發動者越有利。去年1月美國一位20歲的少年，便發動傀儡網路攻擊，癱瘓美國西雅圖的西北醫學中心的系統，導致醫院系統當機，危害到該醫院病人的生命安全。而該名駭客目前也面臨15年以上的牢獄之災。目前此類駭客已較為減少，多從炫耀自己的能力轉變成利益導向。

避免淪為傀儡禁臠，隨時自我檢查

隨時注意系統效能、網路流量及帳單金額是否有異常，做好防毒軟體、防火牆等基本防護以降低感染機率。

根據美國CERT對於傀儡程式（Bot）的定義中，特別提及傀儡程式平時並不易被察覺，因此，要避免成為駭客操弄傀儡程式下的受駭者，學會自我檢查就是自保的第一步。

"自我檢查項目"
現象1：系統效能異常
不論是企業端伺服器或是個人主機，臺灣CA（組合國際）技術顧問林宏嘉表示，「當系統莫名其妙效能越便越慢時，就必須開始留意。」這個異常包含範圍很廣，除了基本的主機處理器效能突然利用率飆高，甚至達100％外，系統出現異常存取，出現異常網址與主機相連，有使用者企圖進行密碼破解，或者是不合法的ID登入，例如Admin在非正常時間於非正常機器上登入等，這些現象，都是IT人員最容易察覺的步驟。

現象2：網路流量異常
由於傀儡程式經常是透過IRC通道對其傀儡網路下達命令，頻寬流量異常，是許多網管人員有機會在第一時間發現異常的現象，加上傀儡網路攻擊容易引發DoS（阻斷式服務攻擊），宏碁安全技術與管理處資安一部資深技術經理黃瓊瑩認為，「當網路流量出現瞬間爆量時，網管人員便需要去查察頻寬究竟是消耗在哪些系統上了。」

現象3：帳單金額異常
中華電信是臺灣最大的ISP業者，本身提供許多服務給網路使用者。中華電信網際網路處科長吳怡芳表示，曾經有駭客在系統缺乏安全防護的個人使用者電腦中，植入傀儡程式，並透過鍵盤側錄程式，側錄使用者的帳號、密碼後，冒用小額付款服務，再把帳款交給受駭者來付。因此，她說，「一旦帳單出現異常，就必須留意。」類似ISP帳單出現許多不該有的小額付款，極有可能系統已被駭。

"企業基本防護措施"
防毒軟體，永遠最新
即使防毒軟體不一定能夠有效防堵傀儡程式的入侵，但因為成效不見得達到100％，甚至因噎廢食而認為不需要安裝防毒軟體，反而是一種錯誤的作法。Seednet（數位聯合）網路安全部資深經理張富吉便說，「永遠把防毒軟體病毒碼更新到最新，有裝有保佑，畢竟，永遠有更好入侵的系統等著駭客入侵。」當然，除了防毒軟體外，避免系統出現漏洞，相關的軟體也應該維持到最新版本。

網路隔離，有賴防火牆
訊息封包路由器開始進出系統內、外網時，基本的防火牆，「除了阻擋外來的惡意程式外，也避免惡意程式發送的封包，從內部無限制的發送。」趨勢科技技術支援部臺灣區技術總監王應達說道。

除了採購其他軟、硬體防火牆外，微軟作業系統中，也推出自己的防火牆，例如，安裝ISA Server就是一種防火牆。

入侵偵測防禦，有備無患
有越來越多傀儡程式不只是走IRC通訊埠，也逐漸有走http的80埠、SMTP的25埠、POP3的100埠。賽門鐵克（Symantec）亞太區資訊安全技術顧問林育民指出，企業必須具有基本的防禦能力，網路型IDS（入侵偵測系統）／IPS（入侵防禦系統），讓企業具有自衛能力，可以透過特徵碼，先行阻擋不正常的網路封包。

微軟作業系統使用者，也可以利用ISA Server內建的IDS，進行第一層把關。透過網路隔離，看系統是否可以通過Windows Server 2003內建的IP Sec作網路驗證，允許通過網路驗證的系統可作存取。

確保主機安全，善用各種工具
確保主機安全，除了需要安裝防毒軟體、防火牆外，也可以加裝防間諜軟體，臺灣微軟營運暨行銷處伺服器平臺事業部資深行銷經理史百誠說，「微軟也提供免費的移除間諜程式的反間諜程式軟體Windows Defender，讓微軟使用者下載。」

Windows Defender也可以被動式的知道有哪些程式在運行中，避免一些傀儡程式在不知不覺中，執行某些程式或發送某些資料，微軟在下一版微軟作業系統Vista，也強化安全功能，一旦有任何傀儡等背景程式取得Admin主控權並意圖進行作業系統修改，Vista則會出現警告畫面提醒使用者注意。

此外，如果因為傀儡程式已經無法從系統中移除，Windows XP作業系統中，內含可以將檔案、使用者設定及軟體註冊等資料作鏡射備份，「避免系統需要重灌時，相關系統設定與軟體註冊碼都找不到。」史百誠說。