小心，你可能是下一個傀儡

上個月，微軟安全解決方案部門的一位專案經理，在一場資訊安全研討會上提出警訊：在某些被感染惡意程式的案例中，幾乎很難徹底清除潛藏的惡意程式，唯一能做的、最保險的方法，就是一切重來，重新安裝整臺電腦，回復到全新未受感染的狀態。

今日，當你聽到電腦病毒肆虐的消息時，你有何反應呢？我猜想，多數人與我一樣，再次確認防毒軟體及作業系統有保持最新的更新，就不太在意安全的問題了。我們認為，防毒軟體會過濾掉安全威脅。沒錯，大多數的安全威脅，不論是病毒、蠕蟲、木馬後門程式、間諜程式、垃圾郵件等等，防毒軟體在不斷更新之下，都能過濾得掉。

然而，一些惡意程式所採用的技術越來越先進，甚至許多駭客開始採用能夠隱藏得更隱密的rootkit技術，而手法也越來越有侵略性，例如，日前在英國發生駭客透過惡意程式鎖住電腦，並勒索受害者匯款，才解除該電腦，否則每隔半小時程式會自動刪除資料。

上周，我們也報導一件發生在臺灣的案件，多位國防、軍事線記者都收到一封冒名立法委員的郵件，信中的附件檔案檔名為預算書及漢光演習兵棋推演，然而這些附檔隱藏了許多傀儡、木馬後門程式，顯然駭客以機密資料為誘餌，引誘受害者開啟檔案，同時得以植入惡意程式掌控電腦。

經掃描檢查後，發現多達130個惡意程式寄宿在這臺電腦，接下來難題就來了。如同上述微軟資安經理所警告的，該如何確定徹底清除了這些惡意程式？因為有的惡意程式會自我繁殖，甚至會監控系統是否在執行清除動作，若察覺到則會自動複製到其他位置，甚至是透過區域網路複製到其他電腦。因此，即便確定已經清完受感染的電腦，還得繼續擴大檢查整個網域的所有電腦，使得這類案件的處理時間都非常久。

在臺灣，雖然檯面上並未看到更多相關的災情報導，但並不表示臺灣的狀況有比較好。一項調查傀儡程式感染的報告指出，臺灣受感染的電腦數量位居全球第7名，與位居第8名的德國相差不多；然而，德國的人口數將近臺灣的4倍，顯見臺灣在寬頻蓬勃發展之下，已感染惡意程式的電腦密度是更高的。

此外，據法務部調查局的記錄，平均每個月會發現上百件受感染案件，然而，要處理傀儡程式需要較長的時間，調查局在有限的人力下，每個月也只能處理50多件，因此，這代表了受害的時間會拉長，通常從發現到徹底清除，快者也需要3個月以上的時間。而且，光是今年1月至3月期間，至少就有30家大型企業感染傀儡程式。安全防護較為周全的大型企業都如此了，更遑論安全防護力較弱的中小型企業，或是缺乏人力疏於防護的學術或研究單位，而這些單位又都擁有較一般企業來得多的電腦，其運算資源豐富，反而成為駭客植入傀儡程式，藉此發動跳板攻擊的最佳對象。

傀儡程式這類惡意程式，之所以棘手，在於難以察覺；企業因而不易意識其嚴重性，多數企業都是看到調查局登門才知道已被感染。本期封面故事，我們報導傀儡程式在臺灣的狀況，並提供一些察覺異狀的作法，希望能喚起企業注意這個威脅資安的藏鏡人。