2010年第一季度信息安全威胁报告

此报告基于卡巴斯基实验室安全网络（KSN）收集和处理到的数据。卡巴斯基安全网络是卡巴斯基实验室个人产品中最为重要的技术创新，目前KSN正处于最终完善阶段。一旦完成，它将在卡巴斯基企业级产品中发挥不可或缺的重要作用。

卡巴斯基安全网络能够实时检测那些通过特征或启发式检测无法检测到的新兴恶意软件。此外，KSN还能够确认恶意软件在互联网上的传播来源，阻止用户访问这些源头。

不仅如此，应对新的威胁，KSN还能够提供非常迅速的反应。一旦某个程序被确认为恶意程序，仅需几秒后，卡巴斯基安全网络技术就能够阻止此类恶意程序在运行KSN系统的计算机上启动。此过程不会受到反病毒数据库更新延时的影响。

本季度回顾
概况
最易遭受网络攻击的国家
互联网威胁
用户计算机上的威胁
僵尸网络：战争愈演愈烈
结论

本季度回顾

在全球不同国家，共计发生327,598,028次恶意程序试图感染用户计算机的行为，同上一季度相比，总体增长26.8%
网络罪犯所采取的攻击策略有所改变：目前，针对中国地区用户的网络攻击同比下降了13%
互联网上占统治的地位的恶意软件家族主要针对HTML代码或脚本，网络罪犯主要用此类家族的恶意软件感染合法网站
共发现119,674,973个包含恶意程序的主机服务器。在恶意程序服务器数量方面，美国和俄罗斯双双超过了中国
同上季度相比，新发现和确认的漏洞数量增长了6.9%，在最常见的十个漏洞中，微软产品占据六个
漏洞利用程序增长了21.3%。大概一半的漏洞利用程序都会利用Adobe程序的漏洞感染计算机。这是由于Adobe程序的普及率非常高，而且还能适用于不同的系统平台
几乎任何能够同计算机进行同步的设备都会被网络罪犯用来充当恶意软件的载体。截至目前，我们发现的最不寻常的恶意软件传播工具是充电电池的USB充电器

概况

2010年第一季度最具新闻价值的事件都不可避免地同互联网威胁相关。同往常一样，网络罪犯最常用的策略依然是所谓的“路过即下载”的感染方式。这类网络攻击的关键是利用漏洞利用程序，借助浏览器以及浏览器插件不同的漏洞感染计算机。

关于“Aurora行动”的新闻报道已经有很多。其实，所谓的“Aurora行动”是一种黑客攻击，其主要攻击目标是像Google和Adobe这样的大型企业。为了发动如此规模的攻击，黑客们需要使用一种漏洞利用程序，这种程序被卡巴斯基实验室的安全产品检测为Exploit.JS.Aurora。此漏洞利用程序能够利用常见的浏览器——微软Internet Explorer的CVE-2010-0249漏洞感染计算机。而且此漏洞存在于多个版本的IE浏览器中。攻击采用定向发送大量邮件的方式，邮件中的链接指向包含漏洞利用程序的网页。如果一切顺利，按照网络罪犯的计划，用户访问此被感染网站时，计算机会在用户并不知情的情况下偷偷下载一个恶意程序。而黑客的目的是收集用户的隐私信息以及企业的重要数据，包括一些重大项目的源代码。

此类攻击的信息曝光后，德国、法国和澳大利亚开始鼓励其国家的网民使用除微软Internet Explorer之外的浏览器，至少在消除此漏洞的补丁推出之前，不要使用IE浏览器。微软开发者从2009年9月就已经注意到此漏洞，详见：http://blogs.zdnet.com/security/?p=5324. 很多人都知道，微软每个月都会为其产品发布更新补丁，经常被成为是“周二补丁日”。问题是，在发布补丁的间隔期间，黑客们可以放心地利用最新发现的漏洞来感染计算机，因为他们知道在下一轮补丁发布之前，他们可以安心发动攻击。

Aurora漏洞利用程序造成了严重的后果，迫使微软公司不得不提前发布了针对CVE-2010-0249漏洞的安全补丁。对于全球的IT安全专业人员来说，这是一次规模较小，但是意义重大的胜利。到本季度末，微软又未按照原计划发布了一个针对Internet Explorer的紧急补丁，此补丁是针对另一种攻击所利用的软件漏洞。这表明软件开发者已经开始对其产品的安全性承担起更多的责任。我们衷心希望这个教训不要被遗忘。

鉴于近期的一些事件， Adobe公司有望加强自身在自动更新发布方面的策略。4月13日，Adobe公司激活了新的更新服务（详见：http://blogs.adobe.com/adobereader/2010/04/upcoming_adobe_reader_and_acro.html），该服务适用于运行于Windows和Mac OS X系统上的最新版Adobe Reader和Adobe Acrobat产品。根据我们的季度统计报告，病毒编写者利用漏洞最多的产品是Adobe公司出品的软件，甚至超过微软产品，虽然事实上微软产品未修补的漏洞数量超过Adobe产品漏洞的数量。所以，这一举动颇具关联性。Adobe的产品成为了病毒编写者的主要攻击目标，其重要原因是由于Adobe产品应用广泛，并且可以运行于不同的操作系统平台上。

最近，一个不得不提的重要趋势是现有的恶意程序正在升级和更新，并且变得更为复杂。黑客集团集中他们的技术，开发出了一些可以被称为杰作的恶意软件，其中具有代表性的如具备新功能的ZeuS木马，能够获得受感染计算机的安全控制权（http://threatpost.com/en_us/blogs/zeus-botnet-module-gives-total-pc-control-031210）。此外，还有假冒的反病毒软件的开发以及传播范围非常广泛的Sality病毒等。

去年，肆虐于英语互联网地区的假冒反病毒软件仍然在不断演化。同其他恶意程序不同，假冒反病毒软件不会隐藏自身的行为，相反地会尽量吸引计算机用户的注意。这些恶意程序所使用的其中一条策略即复制那些常见反病毒软件厂商的产品界面，如Avira、AVG和卡巴斯基实验室。不幸地是，假冒反病毒软件对真实反病毒软件模仿的越像，其感染用户的可能性越高，甚至一些经验老道的计算机用户也可能落入网络罪犯设置的陷阱。直到近期，人们才意识到可以通过是否提供多语言以及技术支持来区分假冒反病毒软件和真实的反病毒软件。但是，2010年初，我们也发现有一些假冒反病毒软件已经被本地化为其他语言，而且还发现一些假冒反病毒软件声称提供技术支持。网络罪犯采取上述这些伎俩是因为针对假冒反病毒软件的大战已经拉开，在这个战场上，教育计算机用户不要轻易上当显得尤为重要。作为回击，网络罪犯同样也会采取各种新的手段和伎俩诱使计算机用户购买他们的假冒反病毒软件。

今年第一季度，几乎所有重大的值得关注的新闻事件都会被网络罪犯所利用。他们会通过这些受人关注的新闻事件诱使潜在的受害用户访问那些已经被感染的网站。毫无疑问，他们已经完全抛弃了道德规范。例如iPad的发布、好莱坞巨片《阿凡达》的上映、海地发生的毁灭性地震以及莫斯科恐怖分子袭击事件等，都会被毫无道德感的网络罪犯所利用。病毒编写者使用很多不同的手段传播包含指向他们作品的链接，例如在流行的社交网站上注册和使用假冒的账户，通过这些账户发布信息，发送大量垃圾邮件或污染搜索引擎。搜索引擎污染基于互联网上推广某一特定主题网站的技术，又被称为黑帽搜索引擎优化。一旦搜索引擎被恶意优化，用户搜索所返回的结果将包含大量指向已被感染网站的链接。如果用户点击了这些链接，计算机很可能会自动从这些已感染网站下载假冒反病毒软件。希望搜索引擎公司能够加强对此类问题的重视。

2009年12月，中国采取了更为严格的针对使用“.cn”域名的网络地址的注册管理政策。CNNIC（中国互联网络信息中心）采用了新的法案。根据新的域名注册法，申请域名地址的申请人必须提交可以证明身份的书面声明以及用于商业运营的许可。对于已经注册的网站，其所有者必须接受检查，对于不能提供所需证明材料的网站，将会被关闭。为了简化“.cn”域名的审查流程，禁止了通过国外服务注册的途径。根据2010年第一季度的统计数据，这些严格的措施产生了一些积极效果。源自中国互联网的恶意内容比例有了明显的下降。关于此现象的详情，我们将在本文的“网络威胁的地理分布”章节中详细介绍。

整体来讲，过去一个季度发生的大量事件都表明和强调了为家庭以及企业用户提供相关针对恶意代码的安全保护的必要。值得注意的是，针对企业系统的攻击策略以及所使用的恶意代码同针对家庭用户的完全一样。黑客集团正在创建并不断完善他们的恶意软件，使其可以适应各种目的。其中，非常具有代表性的例子包括Zbot木马（即ZeuS木马）以及各种不断更新的漏洞利用程序包等。

最易遭受网络攻击的国家

让我们看一些那些国家的用户最容易遭受网络攻击的侵害。如下图数据所示，这些数据基本上比较稳定，但也有一些细微的变化。

№	2010年第一季度		№	2009年第四季度
1	中国	18.05%	1	中国	31.07%
2	俄罗斯	13.18%	2	俄罗斯	9.82%
3	印度	8.52%	3	印度	6.19%
4	美国	5.25%	4	美国	4.60%
5	越南	3.73%	5	德国	3.08%
6	德国	3.01%	6	越南	3.07%
7	马来西亚	2.69%	7	乌克兰	2.20%
8	法国	2.38%	8	墨西哥	2.17%
9	乌克兰	2.34%	9	马来西亚	2.05%
10	西班牙	2.30%	10	西班牙	1.90%
11	意大利	2.24%	11	法国	1.74%
12	墨西哥	2.09%	12	土耳其	1.69%
13	沙特阿拉伯	1.99%	13	埃及	1.62%
14	土耳其	1.92%	14	意大利	1.62%
15	英国	1.60%	15	巴西	1.43%
16	巴西	1.57%	16	英国	1.31%
17	埃及	1.48%	17	沙特阿拉伯	1.24%
18	泰国	1.30%	18	波兰	1.04%
19	菲律宾	1.11%	19	泰国	1.03%
20	印度尼西亚	1.08%	20	孟加拉	0.99%
	其他	22.16%		其他	20.12%

2010年一季度和2009年四季度网络攻击国家分布

2010年第一季度，我们在全球不同国家共检测到327,598,028次恶意程序试图感染用户计算机的行为。同2009年第四季度相比，数量上升了26.8%。最易遭受攻击的国家排名有细微变化，但是，针对中国用户的攻击比例却下降了13%。但是，考虑到网络攻击数量总体增长了25%，我们可以得出结论，网络罪犯只是选择了其他攻击目标。

网络罪犯的主要攻击目标是经济高度发达或快速发展的国家计算机用户。在美洲，主要攻击目标是美国和墨西哥。而在西欧，主要的攻击目标包括德国、法国、意大利、西班牙和英国。东欧主要的攻击目标是俄罗斯和乌克兰。这些国家都早已具有高度发达的互联网银行以及电子商务系统。通过攻击这些国家的用户，收集被感染计算机用户的个人数据，利用这些数据最终窃取到钱财的可能性非常高。此外，最易遭受网络攻击的国家中有四分之一位于互联网正在飞速发展的亚洲。但是，当地的立法以及执法机构却不能够紧跟网络的快速发展步伐，再加上经济状况不景气，使得这些国家成为滋生网络犯罪的温床。

互联网威胁

互联网上的恶意软件

我们首先分析互联网上排名前十的最常见恶意软件家族。请注意下面表格中列出的内容并没有纳入网页反病毒子系统的检测结果，这种系统会检测恶意链接，但不会分析这些链接指向的内容。

№	名称	百分比
1	Iframer	15.90%
2	Generic	7.28%
3	Hexzone	4.57%
4	Agent	4.54%
5	Redirector	4.50%
6	Zwangi	4.35%
7	Popupper	3.08%
8	Iframe	2.63%
9	Boran	2.10%
10	Pakes	1.73%
11	Other	49.32%

表1. 2010年第一季度互联网上排名前十的最常见恶意软件家族

上述排名前十的恶意程序家族大多都会利用网络罪犯在合法网站放置的HTML或script代码进行感染。这些家族包括Iframer、 Iframe、Redirector和 Generic，并且大部分都可以通过启发式分析检测到。这类恶意程序的工作原理是在用户不知情的情况下，将其重新定向到包含漏洞利用程序的恶意网站。此外，这类代码中还经常被植入恶意程序。排名第三位的恶意程序家族颇为有趣，名为“Hexzone”。但事实上，这类恶意程序同十六进制计算系统毫无关系。此类恶意软件的主要功能是在浏览器低端显示一个包含色情内容的窗口。并且提示计算机用户只有发送一条短信到某个号码，才能关闭该窗口。并且不同国家使用的短信接受号码不同。Popupper家族恶意程序同Hexzone功能类似，Popupper恶意程序其实是HTML文档，会不停弹出信息提示用户发送一条短信到某个号码，从而开通某项服务。接下来，是两种分别名为Zwangi 和 Boran的广告软件家族。由于要证明此类软件是否违反法律非常困难，使得这类程序可以让网络罪犯有机会通过灰色市场赚钱。此外，这类广告软件并不会产生明显的破坏性行为，而是会偷偷收集用户的喜好，并且显示相应广告。不仅如此，这类程序有时候还会采取一些具有黑客性质的自我防御手段。例如，Boran程序会安装一个驱动文件到计算机，其性质同rootkit非常类似，这个驱动程序会拦截系统操作系统的核心功能，阻止其本身的核心部件被删除。

漏洞

2010年第一季度，卡巴斯基实验室在用户计算机上共检测到12,111,862个未修补的漏洞。同上一季度相比，增长了6.9%。计算机上不断发现的安全漏洞数量增长速度变快，同时，针对漏洞的安全补丁的发布速度也相应加快。但不幸的是，并非每个计算机用户都会不嫌麻烦，及时安装更新程序。大多数情况下，每台计算机上都会包含不止一个为修补的安全漏洞。

本季度用户计算机上发现的排名前十位的软件漏洞见表2.

№	漏洞识别码	排名变化	漏洞名称及简单描述链接	漏洞危害	包含此漏洞的计算机比例	发布日期	威胁级别
1	SA 35377	0	Microsoft Office Word Two Vulnerabilities	获取系统访问权，以本地用户权限执行随机代码	28.62%	2009- 06-09	高危
2	SA 37231	6	Sun Java JDK / JRE Multiple Vulnerabilities	获取系统访问权，以本地用户权限执行随机代码发动DoS攻击访问机密数据绕过安全系统	28.15%	2009- 11-04	高危
3	SA 38547	New	Adobe Flash Player Domain Sandbox Bypass Vulnerability	绕过安全系统	23.37%	2010- 02-12	中等威胁
4	SA 34572	1	Microsoft PowerPoint OutlineTextRefAtom Parsing Vulnerability	获取系统访问权，以本地用户权限执行随机代码	21.91%	2009- 04-03	高危
5	SA 38551	New	Adobe Reader/Acrobat Two Vulnerabilities	获取系统访问权，以本地用户权限执行随机代码绕过安全系统	17.87%	2007- 01-09	高危
6	SA 31744	1	Microsoft Office OneNote URI Handling Vulnerability	获取系统访问权，以本地用户权限执行随机代码	17.57%	2008- 09-09	高危
7	SA 35364	-5	Microsoft Excel Multiple Vulnerabilities	获取系统访问权，以本地用户权限执行随机代码	17.55%	2009- 06-09	高危
8	SA 38805	New	Microsoft Office Excel Multiple Vulnerabilities	获取系统访问权，以本地用户权限执行随机代码	16.65%	2010-03-09	高危
9	SA 37690	New	Adobe Reader/Acrobat Multiple Vulnerabilities	获取系统访问权，以本地用户权限执行随机代码跨站脚本执行	15.27%	2010- 01-14	极高威胁
10	SA 29320	-1	Microsoft Outlook "mailto:" URI Handling Vulnerability	获取系统访问权，以本地用户权限执行随机代码	14.98%	2009- 06-10	高危

表2. 用户计算机上排名前十位的漏洞

排名前十位的漏洞中，有六种来自微软的软件产品，还有三种属于Adobe产品，此外，还有一种漏洞发现与Sun Microsystems（目前属于Oracle公司）的产品中。在上一季度的报告中，只有1个新发现漏洞，而此次则有4个新发现漏洞。而这些新发现漏洞也再次表明普通计算机用户在安装软件更新方面并不积极。在排名前十位的漏洞中，还包括一些早在一年前就公布的漏洞。

网络罪犯可以利用这些漏洞做什么呢？这十种漏洞中，有九种可以被网络罪犯用来获取系统的安全控制权。这意味着如果用户的计算机没有反病毒软件的保护，网络罪犯就可以在受感染计算机上从事任何行为。可以利用上述漏洞的漏洞利用程序早已开始在网络罪犯中间传播。这些事实再一次表明，使用可靠的反恶意软件解决方案的必要性以及为各种软件及时进行安全升级的重要性。这里所指的软件不仅包括操作系统，还包括浏览器、PDF阅读器以及媒体播放器等等。

漏洞利用程序

让我们来分析一下2010年第一季度网络罪犯所使用的漏洞利用程序。

互联网上排名前十位的漏洞利用程序家族

毫无争议，排名首位的漏洞利用程序利用的是Adobe公司出品的PDF阅读软件中的漏洞。这种漏洞利用程序主要包括Pdfka家族和Pidief家族，他们加起来占全部发现的漏洞利用程序近一半（47.5%）。这些漏洞利用程序本身就是包含JavaScript脚本的PDF文档，能够在用户不知情并且未允许的情况下，自动下载和执行其他程序。

卡巴斯基实验室在微软产品中检测到的漏洞要多于在Adobe公司产品中发现的漏洞，但是在发现的漏洞利用程序方面却正好相反。根据相关统计，较其他软件厂商的产品来说（包括微软），网络罪犯更倾向于发现和利用Adobe产品中的漏洞。所以，Adobe产品成为目前病毒编写者的首要攻击目标，其主要原因是Adobe产品使用范围广泛，并且可以运行于不同的操作系统平台上。

上述的Aurora漏洞利用程序最早于今年1月份公开，毫无疑问，网络罪犯对于此漏洞肯定早已知悉。所以，当微软最后迟迟发布针对此漏洞的补丁，消除此漏洞时，网络罪犯早已大肆利用过该漏洞从事过感染活动了。

CVE-2010-0806漏洞利用程序家族事件意义非常。某IT安全公司的员工发表了一篇针对此漏洞的文章，详细分析了此漏洞的传播和流行情况（http://threatpost.com/en_us/blogs/exploit-code-published-latest-ie-zero-day-031010）。该员工揭露了最早采用此漏洞发起攻击的域名，以及攻击中使用的文件名称（notes.exe and svohost.exe）。当然，针对攻击细节的公布有助于安全专家获取到恶意程序样本，并且创建相应的特征。但是，从另一方面讲，这些信息也可能落入网络罪犯的手中。所以，在安全行业有一条不成文的约定，安全专家们都会遵循，即如果某个域名上存在活动的威胁，在公开此信息是，要省略部分域名。但不幸的是，这些已经公开的信息对网络罪犯已经足够了。他们很快就根据这些揭露的信息，开发出PoC Metaspolit漏洞利用程序工具。这些漏洞利用程序工具通过微软的Internet Explorer 6.0和7.0造成了大范围感染。

另一个有趣的现象是Smid家族漏洞利用程序成为常见漏洞利用程序之一。Smid漏洞利用程序能够运行于多种平台，并且可以利用Sun Microsystems Java （CVE-2009-3867）的漏洞进行攻击。例如，Exploit.OSX.Smid.b变种可以运行于Windows、MacOS以及nix操作系统平台上，并且根据不同的操作系统，生成一个指向恶意威胁的链接。之后，当“getSoundbank”功能被触发时，链接会根据相关参数发送出去。其产生的结果是造成缓冲区溢出，并且执行溢出代码。未来，网络罪犯可能会制造更多的跨平台威胁。

此外，值得注意的是浏览器安全只是互联网安全的一个标准，但还不是最重要的标准。任何浏览器，甚至代码中不包含漏洞的浏览器，都可能被网络罪犯用来发起攻击。例如，网络罪犯可以利用媒体播放器、PDF浏览软件或其他浏览器插件的漏洞发起攻击。浏览器插件漏洞问题依然严重，而且仅仅靠浏览器厂商是无法全面解决的。从根本上说，如果你的计算机上所用的Flash player或PDF浏览软件版本有漏洞的话，不管你使用哪种浏览器，无论是Internet Explorer、Firefox或Opera，被恶意程序通过漏洞感染的可能性都是一样的。

需要牢记的是，要保护用户计算机免遭漏洞利用程序的侵害，最主要的防护方法是及时安装漏洞补丁。此外，浏览器自身也提供了一些额外保护措施，内部集成了用于拦截钓鱼攻击以及恶意网站的过滤功能，如Firefox 3.5、Internet Explorer 8.0和Chrome 2.0。浏览器的过滤功能会阻止用户浏览恶意网站，这些网站中包含能够利用那些已知或未知漏洞的漏洞利用程序。此外，过滤功能还能够防止网络罪犯利用社交技巧窃取用户的个人数据。为了得到可靠的安全保护，用户应该安装和运行提供定期反病毒数据库更新的反病毒软件产品。此外，反病毒软件对互联网通讯数据进行实时扫描也非常重要。

网络威胁的地理分布

近几年，中国成为名副其实的恶意软件工厂，生产出数量庞大的恶意程序。作为恶意软件的天朝大国，自然会有很多中国境内的服务器上包含这个工厂的“产品”（恶意软件）。这就是为何中国在很长一段时期内，包含恶意程序的服务器数量一直居首位的主要原因。现在，让我们看一下2009年第四季度和2010年第一季度期间恶意程序服务器数量最多的排名前20位的国家。

№	2010年第一季度		№	2009年第四季度
1	美国	27.57%	1	中国	32.80%
2	俄罗斯	22.59%	2	美国	25.03%
3	中国	12.84%	3	荷兰	11.73%
4	荷兰	8.28%	4	俄罗斯	7.97%
5	西班牙	6.83%	5	德国	3.49%
6	德国	6.78%	6	瑞典	2.75%
7	英国	3.29%	7	英国	2.39%
8	菲律宾	1.60%	8	菲律宾	2.02%
9	乌克兰	1.35%	9	加拿大	1.70%
10	加拿大	1.29%	10	法国	1.50%
11	瑞典	0.95%	11	以色列	1.06%
12	法国	0.80%	12	西班牙	0.87%
13	土耳其	0.72%	13	乌克兰	0.72%
14	澳大利亚	0.48%	14	土耳其	0.53%
15	摩尔多瓦	0.42%	15	卢森堡	0.46%
16	拉脱维亚	0.31%	16	澳大利亚	0.43%
17	捷克共和国	0.31%	17	韩国	0.42%
18	卢森堡	0.26%	18	台湾	0.41%
19	马来西亚	0.26%	19	拉脱维亚	0.40%
20	越南	0.25%	20	香港	0.33%
	其他	2.80%		其他	2.98%

2010年第一季度和2009年第四季度恶意程序代码服务器数量排名前20的国家

中国已经退出排行榜的首位，排名第三。很明显，中国在排行榜上的变化是由于中国当局送给了网络罪犯一个非常有新意的新年“礼物”，即收紧了针对中国“.cn”域名互联网地址的注册政策。但不幸的是，更为复杂的域名注册措施并不意味着该国的网络犯罪有所减少。网络罪犯只是将这些恶意代码转移到了美国和俄罗斯。网络罪犯似乎特别喜欢利用俄罗斯相对宽松的域名注册政策从事网络犯罪活动，这一点不仅体现在恶意代码服务器的分布数据上，从http://www.securelist.com/en/analysis/204792117/Spam_evolution_January_March_2010统计的垃圾邮件以及钓鱼数据中也可以得出此结论。目前，我们只能寄希望于2010年4月1日通过的俄罗斯.ru域名注册管理法案。该法案要求申请方提交证明身份的证明性文档。希望此法案能够产生同中国法律相同的效果，促使恶意程序迁离俄罗斯境内的服务器。

用户计算机上的威胁

如果某个威胁可以绕过重重的网页防护和邮件保护，最终会落脚于用户的计算机。但又会遭遇计算机上已安装的反病毒软件的劫杀。现在，让我们了解一下2009年第四季度以及2010年第一季度反病毒软件在用户计算机上检测到的恶意威胁情况，并分析一下

2009年第四季度和2010年第一季度用户计算机上检测到的十大恶意威胁

木马家族的恶意威胁在2009年第三季度将蠕虫威胁挤出首位后，一直稳坐恶意威胁首位的宝座。并且，木马威胁占全部威胁数量的比例还在不断上升。到本季度末，木马威胁已经占全部威胁数量的21.46%。在各国都开始采取更为严格的网络安全立法以及关注网络犯罪行为的前提下，广告软件也超越了蠕虫威胁，成为排名第二的恶意威胁。在这种环境下，通过使用黑客工具利用合法和半合法的途径赚钱的行为变得越来越流行。网络罪犯可以通过僵尸网络，在用户计算机上安装大量广告软件。例如，AdWare.Win32.Funweb程序就可以在不同的浏览器中安装工具栏，此恶意程序通过僵尸网络发送的大量垃圾邮件造成了范围广泛的传播。

本季度，病毒占全部威胁数量的比例为9.72%，下降了0.23%。目前，最为流行的病毒是Virus.Win32.Sality。平均每检测到20个被感染对象中就包含一个被此病毒感染的对象。本季度末，卡巴斯基实验室又发现此病毒的一种新变种——Virus.Win32.Sality.ag。此变种采用了完全不同的加密算法，使得其更难被检测。当今的病毒编写技术和目的都非常明显，本身就具有犯罪目的，所以由此造成的病毒感染一定有因可循。此病毒的威胁性非常强，这是因为此病毒具备后门功能，允许黑客利用此功能完全控制受感染计算机。

我们已经指出，蠕虫类威胁是目前排名第三的相对较为流行的恶意威胁。造成蠕虫流行的主要原因是因为Autorun蠕虫造成感染疫情一直没有消退。在2009年第三季度，此类威胁的数量曾经出现小幅下降，但可惜好景不长，该趋势没有延续下去。现在，几乎任何可以同计算机进行同步的设备都有可能被Autorun蠕虫用来进行感染，而且此类设备的数量也在持续增长。这些蠕虫还可以运行于塞班和Android平台设备下，甚至一些还没有正式发布的设备也已经有感染记录。

脚本语言相对简单，所以比较容易被用来编写各种类型的代码，包括恶意代码。在上个季度，利用各类脚本语言编写的威胁数量增长了2.3%，其中包括Flystudio（易语言编写）和VisualBasic，而网络罪犯最常用的语言则是AutoIt。

上季度发现一种非同寻常的恶意威胁载体，即USB电池充电器。这种设备可以利用一种名为Arucer.dll的运行于Windows操作系统的木马通过显示电池充电过程的软件感染目标计算机。感染后，恶意软件会连接端口777，等待指令。该恶意软件能够删除、下载甚至运行文件。感染计算机后，恶意软件会修改系统注册表，实现开机自动启动。

僵尸网络：战斗愈演愈烈

对抗僵尸网络的战斗越来越激烈。网络犯罪引发的威胁终于被社会各界所承认，包括执法机关以及其他附属机构。为了打击网络犯罪，不同机关和公司之间开始联手合作，其中不仅包括软件开发商，还包括一些权力机构如美国联邦贸易委员会等。合作行动取得了显著成果，成功关闭了几个大型的僵尸网络控制中心。

2010年初，一些使用恶意软件Email-worm.Win32.Iksmas（也被称为Waledac）创建的僵尸网络控制中心被成功打掉。使用该恶意软件创建的僵尸网络拥有强大的垃圾邮件发送能力，能够每天发送高达15亿封垃圾邮件。邮件采用热门话题作为标题，并且包含指向Iksmas恶意程序的链接。此外，此类僵尸网络还采用了服务器端多态僵尸以及fast-flux（持续更换代理网络）技术。最终产生更为可怕并且复杂的僵尸网络。2010年2月22日，就微软公司提交的一项诉讼，美国弗吉尼亚州法院判定微软公司胜诉，下令关闭277个连接僵尸网络控制系统的域名。所有这些被关闭的域名注册的都是 “.com”顶级域名，服务提供商是美国公司VeriSign。这是一场胜利，但也仅仅是对抗网络犯罪战争中的一场战役的胜利。上述僵尸网络控制中心被关闭后，网络罪犯并没有停手，而是开始在其他域名创建新的控制中心，继续发送垃圾邮件。偶尔采取一次打击行动并不能有效消除此类网络犯罪活动，真正有效的措施应该是持续开展此类关闭僵尸网络控制中心的行动。在下一步的打击僵尸网络的战斗中，我们必须给网络罪犯持续施加压力。希望在可预见的未来，此类行动可以积极展开。

除了关闭僵尸网络的控制中心外，还有其他潜在的打击网络僵尸的办法，即逮捕恶意软件编写者。但是这种方法从执法角度来看，更为复杂，但是同时也更为有效。西班牙执法机关曾经逮捕了一个庞大僵尸网络的拥有者，详见：http://threatpost.com/en_us/blogs/mariposa-botnet-caught-and-killed-030210. 这个名为Mariposa的僵尸网络是利用P2P-worm.Win32.Palevo恶意软件创建而成，拥有非常强大的功能。例如能够进行自行传播以及执行恶意行为的能力。这种恶意软件能够利用点对点网络、即时通讯信息以及autorun（自动运行）功能传播，例如可以通过任何个人设备包括相机、闪存盘等设备进行感染。一旦恶意程序被安装到计算机上，网络罪犯就可以完全控制此受感染计算机，指挥其下载恶意软件的其他模块。网络罪犯的最终目的是通过销售和使用从受感染计算机上窃取到的个人数据赚取钱财，这些被窃的数据主要是一些在线服务的用户名和密码，尤其以在线银行为主。

在服务供应商的协助下，此僵尸网络的命令控制中心被关闭，而且运营此僵尸网络的一名网络罪犯也被查获。大多数情况下，要确认僵尸网络的控制中心的源头非常困难，但在Palevo案件中，恰好情况较为简单。运行此僵尸网络的网络罪犯们并没有高深的技术背景和经验，而且其中一名网络罪犯还是用了自己的家用电脑。

Mariposa僵尸网络事件再一次表明，网络罪犯并非都具有高深的技术背景。当今时代，任何东西都可以被用来销售和购买，僵尸网络也不例外。甚至用于掩盖控制僵尸网络的命令发送中心源头的服务也可以毫不费力的购买，而且当前也没有法律禁止提供此类服务。

为了在对抗僵尸网络的战争中取得胜利，需要立法领域做出一些具有前瞻性的努力，并且还需要计算机领域推广和应用最新的IT安全技术。只有两者结合起来，才能有效打击僵尸网络。另外，不能忽视的是，当僵尸网络的控制中心被关闭后，并不意味着僵尸网络威力变小了，他们造成的影响将继续存在。被恶意软件感染过的计算机系统上所做的修改和破坏不会凭空消失，如果被感染时计算机的网络请求被定向到了恶意资源，那么即使僵尸网络控制中心被关闭，计算机的网络请求仍然会被重新定向，如果某个计算机硬盘被设置为公开访问，那么其仍然会暴露于危险之中。不仅如此，网络罪犯还可能会重新控制这些已经受感染的计算机。所以，只有彻底解决僵尸网络的问题，才能够阻止网络罪犯的犯罪行为，保护潜在的受害用户。

未来趋势预测

下一季度，我们将会看到更多的关于网络犯罪的诉讼案件。值得高兴的是，很多国家的执法机关已经开始采取相应的措施，在积极改变网络犯罪地理分布方面扮演着重要的角色。重要的是，目前针对网络犯罪的战斗已经不仅仅体现在文字上，而且在现实中也已经展开。当今环境下，要想成为一个网络罪犯，并不需要掌握复杂的计算机编程技能。任何人都可以在生意兴旺的黑市上购买到任何所需的东西，不管是恶意软件还是僵尸网络控制中心。再加上日趋严重的失业问题，有可能导致网络罪犯数量的上升，促进网络犯罪市场的进一步发展。目前，木马等恶意程序可以说是拼尽了全力试图控制用户的计算机。恶意软件以及其他各种网络威胁也将更为主动的对抗各种反病毒保护措施。此外，我们还预测网络罪犯将会开发和使用更为有效的用于传播现有木马的手段。