硬體閘道防毒設備採購特輯─回顧2004年，展望2005的病毒趨勢

只要還有漏洞，就存在著威脅

在企業環境中，防毒軟體安裝在員工個人電腦桌面已經相當普遍，根據2004年9月由軟體協會與資策會的統計，目前臺灣中小企業已安裝電腦病毒過濾軟體的比例達到86%，顯示中小企業防毒產品建置比例很高。然而病毒的威力和疫情並沒有因為防毒軟體的高安裝率，而出現有衰減的跡象。

趨勢科技在2004年發布了30多次的病毒疫情爆發警訊，位居三年來之冠，McAfee在2004年評估的中度風險威脅數量，也較2003年提升了2.3倍。除了病毒以變種的方式增殖，數量不斷增加，其他形態的網路威脅同時趁機崛起，包括以一般郵件或垃圾郵件寄送病毒、傀儡程式Bot、間諜軟體、廣告軟體和網路釣魚，網路安全問題已不再只是病毒和駭入侵竊取，而是各種威脅彼此串連，相互援引與競爭。病毒不斷變種，混合各式威脅

由於Netsky、Bagle、MyDoom病毒作者之間的競賽，導致2004年第一季出現大量的變種病毒。此外，網路蠕蟲依靠電子郵件附件大量散播，並且結合社交工程，藉由引發好奇心的郵件標題和內容，誘使收件者開啟執行帶有惡意程式的附件檔，使得感染率居高不下。根據 McAfee AVERT 的研究，病毒作者在攻擊企業時，偏重使用傀儡程式Bot 與資料大量傳送程式，對個人及家庭使用者的攻擊則透過系統弱點及廣告軟體等手法。

在閘道端與個人端的郵件防毒，企業與使用者都已經很有警覺心，不會隨便開啟來路不明的郵件和附檔。但是在瀏覽網站時，卻很容易忽略內藏木馬或病毒的不良網頁內容，有些個人版防毒軟體甚至無法保護這種類型的存取與瀏覽，加上很多人仍未意識到瀏覽網頁可能也會中毒或中木馬，相信今年網頁保護受重視的程度將會提高。

在現今的網路環境中，單純的病毒已經很少出現，大多數都是蠕蟲，它也是病毒攻防戰不可缺席的重要角色。病毒作家最喜歡的方式就是自動擴散，只要作業系統或應用程式有漏洞，就可以感染任何使用者的電腦，更可怕的是，受災情況可能越來越嚴重。2004年的病毒趨勢

病毒發展朝向多種形式混合，已無法從檔案、郵件和網路等單一角度來防堵，只要系統有漏洞，惡意程式都有辦法見縫插針。例如從電子郵件延伸出檔案型威脅和網路蠕蟲，由網路蠕蟲又可以感染個人端的漏洞，發出一波波的網路攻擊。只是防毒能做的依然有限，所以新的防禦趨勢是結合防火牆和入侵偵測，互相協同運作以發揮效果。有些垃圾郵件雖然看來只是佔用網路頻寬、增加郵件處理時間、降低工作生產力，無傷大雅，不過越演越烈的網路詐騙或網路釣魚，可能會危害線上交易行為的安全性和信任度。

漏洞：2004年公認影響最重大的漏洞是微軟Windows作業系統的LSASS弱點（Local Security Authority Subsystem Service，本機安全性授權子系統服務），雖然微軟早已公布MS-04-011修補程式，18天後，Sasser蠕蟲迅速蔓延，以網路封包的形態持續感染網路上其他有這項漏洞的電腦，不只穿越作業系統漏洞，甚至連傳統防毒系統（病毒特徵比對）也無法防堵，進而引發「零時差漏洞攻擊」（Zero Day Attack）的資安概念討論。

間諜軟體：與病毒相比，間諜軟體（包括木馬和後門）雖然比較不引人注目，但它所造成的損失，卻不容小窺。一般而言，間諜軟體通常會收集行銷相關的資訊，例如追蹤使用者的網頁瀏覽習慣、獲得未來廣告發送相關的資訊，例如姓名、地址、IP位置等等。但是，已經有間諜軟體開始竊取企業內部的機密資料，例如側錄使用者鍵盤輸入、擷取使用者電腦螢幕畫面，或是到檔案系統中搜尋特定的關鍵字內容。假如企業的重要主管看電子郵件或瀏覽重要文件時，螢幕畫面就有可能被擷取，將企業機密傳送到竊取者手上。

趨勢科技觀察到2004年第三季有許多傀儡程式結合間諜軟體，一些惡意人士甚至利用間諜軟體技術散播傀儡型病毒或木馬後門，以協助其發送垃圾郵件；間諜軟體結合傀儡程式後，將感染者電腦組成Zombie Networks，讓駭客轉租他人的電腦給其他人使用。

賽門鐵克也曾經發現一部無防護的個人電腦連網3小時後，就遭到80隻間諜軟體滲透，如果持續連網，這些間諜軟體有可能癱瘓整個廣域網路，顯示間諜程式的危害已經成為企業及個人的重大隱憂。

新硬體平臺：2004年5月出現第一個攻擊微軟64位元Windows作業系統的惡意程式W64.Rugrat.3344之後，8月底又出現了針對AMD 64位元處理器病毒W64.Shruggle.1318。微軟PDA與智慧手機的Windows Mobile平臺也出現第一隻病毒Duts.1520，以及WinCE上新出現的後門程式Backdoor.WinCE.Brador.a。採用Symbian作業系統的手機上同樣出現第一隻病毒Cabir，需透過藍芽設備才能傳播，這些都屬於概念驗證型（proof-of-concept）病毒，雖然還不至於對新平臺造成負擔或損害，不過，情況已經開始轉變，例如TROJ_DELF.HA會利用感染的裝置大量發送垃圾簡訊。預言2005

惡意程式藉由常用軟體漏洞的攻勢仍會繼續，透過電子郵件和網站傳送廣告軟體的手法會日趨複雜多樣，甚至可能結合垃圾郵件與網路釣魚。

利用漏洞感染電腦的手法也會翻新，許多攻擊者先透過網站伺服器漏洞感染網站，再以木馬、廣告軟體或間諜軟體植入瀏覽者電腦。

除了癱瘓使用者電腦與網路的單純破壞，攻擊的動機也有所轉變，由出名式的炫耀心態，轉為竊取機密資料販售。而網路釣魚冒用線上交易的金融服務網站及拍賣網站的狀況，今年除了藉由以假亂真的電子郵件引誘之外，Panda實驗室預計還會出現結合木馬程式的電子郵件。文⊙李宗翰