2010年第一季度信息安全威脅報告

此報告基於卡巴斯基實驗室安全網絡（KSN）收集和處理到的數據。卡巴斯基安全網絡是卡巴斯基實驗室個人產品中最為重要的技術創新，目前KSN正處 於最終完善階段。一旦完成，它將在卡巴斯基企業級產品中發揮不可或缺的重要作用。

卡巴斯基安全網絡能夠實時檢測那些通過特徵或啟發式檢測無法檢測到的新興惡意軟件。此外，KSN還能夠確認惡意軟件在互 聯網上的傳播來源，阻止用戶訪問這些源頭。

不僅如此，應對新的威脅，KSN還能夠提供非常迅速的反應。一旦某個程序被確認為惡意程序，僅需幾秒後，卡巴斯基安全網 絡技術就能夠阻止此類惡意程序在運行KSN系統的計算機上啟動。此過程不會受到反病毒數據庫更新延時的影響。

• 本 季度回顧
• 概 況
• 最 易遭受網絡攻擊的國家
• 互 聯網威脅
  • 互 聯網上的惡意程序
  • 漏 洞
  • 漏 洞利用程序
  • 網 絡威脅的地理分佈
• 用 戶計算機上的威脅
• 殭 屍網絡：戰爭愈演愈烈
• 結 論

本季度回顧

• 在全球不同國家，共計發生327,598,028次惡意程序試圖感染用戶計算機的行為，同上一季度相比，總體增長26.8%
• 網絡罪犯改採取的攻擊策略有所改變：目前，針對中國地區用戶的網絡攻擊同比下降了13%
• 互聯網上佔統治的地位的惡意軟件家族主要針對HTML代碼或腳本，網絡罪犯主要用此類家族的惡意軟件感染合法網站
• 共發現119,674,973個包含惡意程序的主機服務器。在惡意程序服務器數量方面，美國和俄羅斯雙雙超過了中國
• 同上季度相比，新發現和確認的漏洞數量增長了6.9%，在最常見的十個漏洞中，微軟產品佔據六個
• 漏洞利用程序增長了21.3%。大概一半的漏洞利用程序都會利用Adobe程序的漏洞感染計算機。這是由於Adobe程序的普及率 非常高，而且還能適用於不同的系統平台
• 幾乎任何能夠同計算機進行同步的設備都會被網絡罪犯用來充當惡意軟件的載體。截至目前，我們發現的最不尋常的惡意軟件傳播工具是充 電電池的USB充電器

概況

2010年第一季度最具新聞價值的事件都不可避免地同互聯網威脅相關。同往常一樣，網絡罪犯最常用的策略依然是所謂的 「路過即下載」的感染方式。這類網絡攻擊的關鍵是利用漏洞利用程序，借助瀏覽器以及瀏覽器插件不同的漏洞感染計算機。

關於「Aurora行動」的新聞報導已經有很多。其實，所謂的「Aurora行動」是一種黑客攻擊，其主要攻擊目標是像 Google和Adobe這樣的大型企業。為了發動如此規模的攻擊，黑客們需要使用一種漏洞利用程序，這種程序被卡巴斯基實驗室的安全產品檢測為 Exploit.JS.Aurora。此漏洞利用程序能夠利用常見的瀏覽器——微軟Internet Explorer的CVE-2010-0249漏洞感染計算機。而且此漏洞存在於多個版本的IE瀏覽器中。攻擊採用定向發送大量郵件的方式，郵件中的鏈接 指向包含漏洞利用程序的網頁。如果一切順利，按照網絡罪犯的計劃，用戶訪問此被感染網站時，計算機會在用戶並不知情的情況下偷偷下載一個惡意程序。而黑客 的目的是收集用戶的隱私信息以及企業的重要數據，包括一些重大項目的源代碼。

此類攻擊的信息曝光後，德國、法國和澳大利亞開始鼓勵其國家的網民使用除微軟Internet Explorer之外的瀏覽器，至少在消除此漏洞的補丁推出之前，不要使用IE瀏覽器。微軟開發者從2009年9月就已經注意到此漏洞，詳 見：http://blogs.zdnet.com/security/p=5324. 很多人都知道，微軟每個月都會為其產品發佈更新補丁，經常被成為是「週二補丁日」。問題是，在發佈補丁的間隔期間，黑客們可以放心地利用最新發現的漏洞來 感染計算機，因為他們知道在下一輪補丁發佈之前，他們可以安心發動攻擊。

Aurora漏洞利用程序造成了嚴重的後果，迫使微軟公司不得不提前發佈了針對CVE-2010-0249漏洞的安全補 丁。對於全球的IT安全專業人員來說，這是一次規模較小，但是意義重大的勝利。到本季度末，微軟又未按照原計劃發佈了一個針對Internet Explorer的緊急補丁，此補丁是針對另一種攻擊所利用的軟件漏洞。這表明軟件開發者已經開始對其產品的安全性承擔起更多的責任。我們衷心希望這個教 訓不要被遺忘。

鑑於近期的一些事件， Adobe公司有望加強自身在自動更新發佈方面的策略。4月13日，Adobe公司激活了新的更新服務（詳 見：http://blogs.adobe.com/adobereader/2010/04 /upcoming_adobe_reader_and_acro.html），該服務適用於運行於Windows和Mac OS X系統上的最新版Adobe Reader和Adobe Acrobat產品。根據我們的季度統計報告，病毒編寫者利用漏洞最多的產品是Adobe公司出品的軟件，甚至超過微軟產品，雖然事實上微軟產品未修補的 漏洞數量超過Adobe產品漏洞的數量。所以，這一舉動頗具關聯性。Adobe的產品成為了病毒編寫者的主要攻擊目標，其重要原因是由於Adobe產品應 用廣泛，並且可以運行於不同的操作系統平台上。

最近，一個不得不提的重要趨勢是現有的惡意程序正在升級和更新，並且變得更為複雜。黑客集團集中他們的技術，開發出了一 些可以被稱為傑作的惡意軟件，其中具有代表性的如具備新功能的ZeuS木馬，能夠獲得受感染計算機的安全控制權 （http://threatpost.com/en_us/blogs/zeus-botnet-module-gives-total-pc- control-031210）。此外，還有假冒的反病毒軟件的開發以及傳播範圍非常廣泛的Sality病毒等。

去年，肆虐於英語互聯網地區的假冒反病毒軟件仍然在不斷演化。同其他惡意程序不同，假冒反病毒軟件不會隱藏自身的行為， 相反地會儘量吸引計算機用戶的注意。這些惡意程序所使用的其中一條策略即複製那些常見反病毒軟件廠商的產品界面，如Avira、AVG和卡巴斯基實驗室。 不幸地是，假冒反病毒軟件對真實反病毒軟件模仿的越像，其感染用戶的可能性越高，甚至一些經驗老道的計算機用戶也可能落入網絡罪犯設置的陷阱。直到近期， 人們才意識到可以通過是否提供多語言以及技術支持來區分假冒反病毒軟件和真實的反病毒軟件。但是，2010年初，我們也發現有一些假冒反病毒軟件已經被本 地化為其他語言，而且還發現一些假冒反病毒軟件聲稱提供技術支持。網絡罪犯採取上述這些伎倆是因為針對假冒反病毒軟件的大戰已經拉開，在這個戰場上，教育 計算機用戶不要輕易上當顯得尤為重要。作為回擊，網絡罪犯同樣也會採取各種新的手段和伎倆誘使計算機用戶購買他們的假冒反病毒軟件。

今年第一季度，幾乎所有重大的值得關注的新聞事件都會被網絡罪犯所利用。他們會通過這些受人關注的新聞事件誘使潛在的受 害用戶訪問那些已經被感染的網站。毫無疑問，他們已經完全拋棄了道德規範。例如iPad的發布、好萊塢巨片《阿凡達》的上映、海地發生的毀滅性地震以及莫 斯科恐怖分子襲擊事件等，都會被毫無道德感的網絡罪犯所利用。病毒編寫者使用很多不同的手段傳播包含指向他們作品的鏈接，例如在流行的社交網站上註冊和使 用假冒的賬戶，通過這些賬戶發佈信息，發送大量垃圾郵件或污染搜索引擎。搜索引擎污染基於互聯網上推廣某一特定主題網站的技術，又被稱為黑帽搜索引擎優 化。一旦搜索引擎被惡意優化，用戶搜索所返回的結果將包含大量指向已被感染網站的鏈接。如果用戶點擊了這些鏈接，計算機很可能會自動從這些已感染網站下載 假冒反病毒軟件。希望搜索引擎公司能夠加強對此類問題的重視。

2009年12月，中國採取了更為嚴格的針對使用「.cn」域名的網絡地址的註冊管理政策。CNNIC（中國互聯網絡信 息中心）採用了新的法案。根據新的域名註冊法，申請域名地址的申請人必須提交可以證明身份的書面聲明以及用於商業運營的許可。對於已經註冊的網站，其所有 者必須接受檢查，對於不能提供所需證明材料的網站，將會被關閉。為了簡化「.cn」域名的審查流程，禁止了通過國外服務註冊的途徑。根據2010年第一季 度的統計數據，這些嚴格的措施產生了一些積極效果。源自中國互聯網的惡意內容比例有了明顯的下降。關於此現象的詳情，我們將在本文的「網絡威脅的地理分 佈」章節中詳細介紹。

整體來講，過去一個季度發生的大量事件都表明和強調了為家庭以及企業用戶提供相關針對惡意代碼的安全保護的必要。值得注 意的是，針對企業系統的攻擊策略以及所使用的惡意代碼同針對家庭用戶的完全一樣。黑客集團正在創建並不斷完善他們的惡意軟件，使其可以適應各種目的。其 中，非常具有代表性的例子包括Zbot木馬（即ZeuS木馬）以及各種不斷更新的漏洞利用程序包等。

最易遭受網絡攻擊的國家

讓我們看一些那些國家的用戶最容易遭受網絡攻擊的侵害。如下圖數據所示，這些數據基本上比較穩定，但也有一些細微的變 化。

2010年一季度和2009年四季度網絡攻擊國家 分佈

2010年第一季度，我們在全球不同國家共檢測到327,598,028次惡意程序試圖感染用戶計算機的行為。同 2009年第四季度相比，數量上升了26.8%。最易遭受攻擊的國家排名有細微變化，但是，針對中國用戶的攻擊比例卻下降了13%。但是，考慮到網絡攻擊 數量總體增長了25%，我們可以得出結論，網絡罪犯只是選擇了其他攻擊目標。

網絡罪犯的主要攻擊目標是經濟高度發達或快速發展的國家計算機用戶。在美洲，主要攻擊目標是美國和墨西哥。而在西歐，主 要的攻擊目標包括德國、法國、意大利、西班牙和英國。東歐主要的攻擊目標是俄羅斯和烏克蘭。這些國家都早已具有高度發達的互聯網銀行以及電子商務系統。通 過攻擊這些國家的用戶，收集被感染計算機用戶的個人數據，利用這些數據最終竊取到錢財的可能性非常高。此外，最易遭受網絡攻擊的國家中有四分之一位於互聯 網正在飛速發展的亞洲。但是，當地的立法以及執法機構卻不能夠緊跟網絡的快速發展步伐，再加上經濟狀況不景氣，使得這些國家成為滋生網絡犯罪的溫床。

互聯網威脅

互聯網上的惡意軟件

我們首先分析互聯網上排名前十的最常見惡意軟件家族。請注意下面表格中列出的內容並沒有納入網頁反病毒子系統的檢測結果，這種系統會檢測 惡意鏈接，但不會分析這些鏈接指向的內容。

表1. 2010年第一季度互聯網上排名前十的最常見惡意軟件家族

上述排名前十的惡意程序家族大多都會利用網絡罪犯在合法網站放置的HTML或script代碼進行感染。這些家族包括 Iframer、 Iframe、Redirector和 Generic，並且大部分都可以通過啟發式分析檢測到。這類惡意程序的工作原理是在用戶不知情的情況下，將其重新定向到包含漏洞利用程序的惡意網站。此 外，這類代碼中還經常被植入惡意程序。排名第三位的惡意程序家族頗為有趣，名為「Hexzone」。但事實上，這類惡意程序同十六進制計算系統毫無關係。 此類惡意軟件的主要功能是在瀏覽器低端顯示一個包含色情內容的窗口。並且提示計算機用戶只有發送一條短信到某個號碼，才能關閉該窗口。並且不同國家使用的 短信接受號碼不同。Popupper家族惡意程序同Hexzone功能類似，Popupper惡意程序其實是HTML文檔，會不停彈出信息提示用戶發送一 條短信到某個號碼，從而開通某項服務。接下來，是兩種分別名為Zwangi 和 Boran的廣告軟件家族。由於要證明此類軟件是否違反法律非常困難，使得這類程序可以讓網絡罪犯有機會通過灰色市場賺錢。此外，這類廣告軟件並不會產生 明顯的破壞性行為，而是會偷偷收集用戶的喜好，並且顯示相應廣告。不僅如此，這類程序有時候還會採取一些具有黑客性質的自我防禦手段。例如，Boran程 序會安裝一個驅動文件到計算機，其性質同rootkit非常類似，這個驅動程序會攔截系統操作系統的核心功能，阻止其本身的核心部件被刪除。

漏洞

2010年第一季度，卡巴斯基實驗室在用戶計算機上共檢測到12,111,862個未修補的漏洞。同上一季度相比，增長 了6.9%。計算機上不斷發現的安全漏洞數量增長速度變快，同時，針對漏洞的安全補丁的發布速度也相應加快。但不幸的是，並非每個計算機用戶都會不嫌麻 煩，及時安裝更新程序。大多數情況下，每台計算機上都會包含不止一個為修補的安全漏洞。

本季度用戶計算機上發現的排名前十位的軟件漏洞見表2.

表2. 用戶計算機上排名前十位的漏洞

排名前十位的漏洞中，有六種來自微軟的軟件產品，還有三種屬於Adobe產品，此外，還有一種漏洞發現與Sun Microsystems（目前屬於Oracle公司）的產品中。在上一季度的報告中，只有1個新發現漏洞，而此次則有4個新發現漏洞。而這些新發現漏洞 也再次表明普通計算機用戶在安裝軟件更新方面並不積極。在排名前十位的漏洞中，還包括一些早在一年前就公佈的漏洞。

網絡罪犯可以利用這些漏洞做什麼呢？這十種漏洞中，有九種可以被網絡罪犯用來獲取系統的安全控制權。這意味著如果用戶的 計算機沒有反病毒軟件的保護，網絡罪犯就可以在受感染計算機上從事任何行為。可以利用上述漏洞的漏洞利用程序早已開始在網絡罪犯中間傳播。這些事實再一次 表明，使用可靠的反惡意軟件解決方案的必要性以及為各種軟件及時進行安全升級的重要性。這裡所指的軟件不僅包括操作系統，還包括瀏覽器、PDF閱讀器以及 媒體播放器等等。

漏洞利用程序

讓我們來分析一下2010年第一季度網絡罪犯所使用的漏洞利用程序。

互聯網上排名前十位的漏洞利用程序家族

毫無爭議，排名首位的漏洞利用程序利用的是Adobe公司出品的PDF閱讀軟件中的漏洞。這種漏洞利用程序主要包括 Pdfka家族和Pidief家族，他們加起來佔全部發現的漏洞利用程序近一半（47.5%）。這些漏洞利用程序本身就是包含JavaScript腳本的 PDF文檔，能夠在用戶不知情並且未允許的情況下，自動下載和執行其他程序。

卡巴斯基實驗室在微軟產品中檢測到的漏洞要多於在Adobe公司產品中發現的漏洞，但是在發現的漏洞利用程序方面卻正好 相反。根據相關統計，較其他軟件廠商的產品來說（包括微軟），網絡罪犯更傾向於發現和利用Adobe產品中的漏洞。所以，Adobe產品成為目前病毒編寫 者的首要攻擊目標，其主要原因是Adobe產品使用範圍廣泛，並且可以運行於不同的操作系統平台上。

上述的Aurora漏洞利用程序最早於今年1月份公開，毫無疑問，網絡罪犯對於此漏洞肯定早已知悉。所以，當微軟最後遲 遲發佈針對此漏洞的補丁，消除此漏洞時，網絡罪犯早已大肆利用過該漏洞從事過感染活動了。

CVE-2010-0806漏洞利用程序家族事件意義非常。某IT安全公司的員工發表了一篇針對此漏洞的文章，詳細分析 了此漏洞的傳播和流行情況（http://threatpost.com/en_us/blogs/exploit-code-published- latest-ie-zero-day-031010）。該員工揭露了最早採用此漏洞發起攻擊的域名，以及攻擊中使用的文件名稱（notes.exe and svohost.exe）。當然，針對攻擊細節的公佈有助於安全專家獲取到惡意程序樣本，並且創建相應的特徵。但是，從另一方面講，這些信息也可能落入網 絡罪犯的手中。所以，在安全行業有一條不成文的約定，安全專家們都會遵循，即如果某個域名上存在活動的威脅，在公開此信息是，要省略部分域名。但不幸的 是，這些已經公開的信息對網絡罪犯已經足夠了。他們很快就根據這些揭露的信息，開發出PoC Metaspolit漏洞利用程序工具。這些漏洞利用程序工具通過微軟的Internet Explorer 6.0和7.0造成了大範圍感染。

另一個有趣的現象是Smid家族漏洞利用程序成為常見漏洞利用程序之一。Smid漏洞利用程序能夠運行於多種平台，並且 可以利用Sun Microsystems Java （CVE-2009-3867）的漏洞進行攻擊。例如，Exploit.OSX.Smid.b變種可以運行於Windows、MacOS以及nix操作系 統平台上，並且根據不同的操作系統，生成一個指向惡意威脅的鏈接。之後，當「getSoundbank」功能被觸發時，鏈接會根據相關參數發送出去。其產 生的結果是造成緩衝區溢出，並且執行溢出代碼。未來，網絡罪犯可能會製造更多的跨平台威脅。

此外，值得注意的是瀏覽器安全只是互聯網安全的一個標準，但還不是最重要的標準。任何瀏覽器，甚至代碼中不包含漏洞的瀏 覽器，都可能被網絡罪犯用來發起攻擊。例如，網絡罪犯可以利用媒體播放器、PDF瀏覽軟件或其他瀏覽器插件的漏洞發起攻擊。瀏覽器插件漏洞問題依然嚴重， 而且僅僅靠瀏覽器廠商是無法全面解決的。從根本上說，如果你的計算機上所用的Flash player或PDF瀏覽軟件版本有漏洞的話，不管你使用哪種瀏覽器，無論是Internet Explorer、Firefox或Opera，被惡意程序通過漏洞感染的可能性都是一樣的。

需要牢記的是，要保護用戶計算機免遭漏洞利用程序的侵害，最主要的防護方法是及時安裝漏洞補丁。此外，瀏覽器自身也提供 了一些額外保護措施，內部集成了用於攔截釣魚攻擊以及惡意網站的過濾功能，如Firefox 3.5、Internet Explorer 8.0和Chrome 2.0。瀏覽器的過濾功能會阻止用戶瀏覽惡意網站，這些網站中包含能夠利用那些已知或未知漏洞的漏洞利用程序。此外，過濾功能還能夠防止網絡罪犯利用社交 技巧竊取用戶的個人數據。為了得到可靠的安全保護，用戶應該安裝和運行提供定期反病毒數據庫更新的反病毒軟件產品。此外，反病毒軟件對互聯網通訊數據進行 實時掃瞄也非常重要。

網絡威脅的地理分佈

近幾年，中國成為名副其實的惡意軟件工廠，生產出數量龐大的惡意程序。作為惡意軟件的天朝大國，自然會有很多中國境內的 服務器上包含這個工廠的「產品」（惡意軟件）。這就是為何中國在很長一段時期內，包含惡意程序的服務器數量一直居首位的主要原因。現在，讓我們看一下 2009年第四季度和2010年第一季度期間惡意程序服務器數量最多的排名前20位的國家。

2010年第一季度和2009年第四季度惡意程序 代碼服務器數量排名前20的國家

中國已經退出排行榜的首位，排名第三。很明顯，中國在排行榜上的變化是由於中國當局送給了網絡罪犯一個非常有新意的新年 「禮物」，即收緊了針對中國「.cn」域名互聯網地址的註冊政策。但不幸的是，更為複雜的域名註冊措施並不意味著該國的網絡犯罪有所減少。網絡罪犯只是將 這些惡意代碼轉移到了美國和俄羅斯。網絡罪犯似乎特別喜歡利用俄羅斯相對寬鬆的域名註冊政策從事網絡犯罪活動，這一點不僅體現在惡意代碼服務器的分佈數據 上，從http://www.securelist.com/en/analysis/204792117 /Spam_evolution_January_March_2010統計的垃圾郵件以及釣魚數據中也可以得出此結論。目前，我們只能寄希望於2010 年4月1日通過的俄羅斯.ru域名註冊管理法案。該法案要求申請方提交證明身份的證明性文檔。希望此法案能夠產生同中國法律相同的效果，促使惡意程序遷離 俄羅斯境內的服務器。

用戶計算機上的威脅

如果某個威脅可以繞過重重的網頁防護和郵件保護，最終會落腳於用戶的計算機。但又會遭遇計算機上已安裝的反病毒軟件的劫 殺。現在，讓我們瞭解一下2009年第四季度以及2010年第一季度反病毒軟件在用戶計算機上檢測到的惡意威脅情況，並分析一下

2009年第四季度和2010年第一季度用戶計算機上檢測到的十大惡意威脅

木馬家族的惡意威脅在2009年第三季度將蠕蟲威脅擠出首位後，一直穩坐惡意威脅首位的寶座。並且，木馬威脅佔全部威脅 數量的比例還在不斷上升。到本季度末，木馬威脅已經佔全部威脅數量的21.46%。在各國都開始採取更為嚴格的網絡安全立法以及關注網絡犯罪行為的前提 下，廣告軟件也超越了蠕蟲威脅，成為排名第二的惡意威脅。在這種環境下，通過使用黑客工具利用合法和半合法的途徑賺錢的行為變得越來越流行。網絡罪犯可以 通過殭屍網絡，在用戶計算機上安裝大量廣告軟件。例如，AdWare.Win32.Funweb程序就可以在不同的瀏覽器中安裝工具欄，此惡意程序通過殭 屍網絡發送的大量垃圾郵件造成了範圍廣泛的傳播。

本季度，病毒佔全部威脅數量的比例為9.72%，下降了0.23%。目前，最為流行的病毒是 Virus.Win32.Sality。平均每檢測到20個被感染對象中就包含一個被此病毒感染的對象。本季度末，卡巴斯基實驗室又發現此病毒的一種新變 種——Virus.Win32.Sality.ag。此變種採用了完全不同的加密算法，使得其更難被檢測。當今的病毒編寫技術和目的都非常明顯，本身就具 有犯罪目的，所以由此造成的病毒感染一定有因可循。此病毒的威脅性非常強，這是因為此病毒具備後門功能，允許黑客利用此功能完全控制受感染計算機。

我們已經指出，蠕蟲類威脅是目前排名第三的相對較為流行的惡意威脅。造成蠕蟲流行的主要原因是因為Autorun蠕蟲造 成感染疫情一直沒有消退。在2009年第三季度，此類威脅的數量曾經出現小幅下降，但可惜好景不長，該趨勢沒有延續下去。現在，幾乎任何可以同計算機進行 同步的設備都有可能被Autorun蠕蟲用來進行感染，而且此類設備的數量也在持續增長。這些蠕蟲還可以運行於塞班和Android平台設備下，甚至一些 還沒有正式發佈的設備也已經有感染記錄。

腳本語言相對簡單，所以比較容易被用來編寫各種類型的代碼，包括惡意代碼。在上個季度，利用各類腳本語言編寫的威脅數量 增長了2.3%，其中包括Flystudio（易語言編寫）和VisualBasic，而網絡罪犯最常用的語言則是AutoIt。

上季度發現一種非同尋常的惡意威脅載體，即USB電池充電器。這種設備可以利用一種名為Arucer.dll的運行於 Windows操作系統的木馬通過顯示電池充電過程的軟件感染目標計算機。感染後，惡意軟件會連接端口777，等待指令。該惡意軟件能夠刪除、下載甚至運 行文件。感染計算機後，惡意軟件會修改系統註冊表，實現開機自動啟動。

殭屍網絡：戰鬥愈演愈烈

對抗殭屍網絡的戰鬥越來越激烈。網絡犯罪引發的威脅終於被社會各界所承認，包括執法機關以及其他附屬機構。為了打擊網絡 犯罪，不同機關和公司之間開始聯手合作，其中不僅包括軟件開發商，還包括一些權力機構如美國聯邦貿易委員會等。合作行動取得了顯著成果，成功關閉了幾個大 型的殭屍網絡控制中心。

2010年初，一些使用惡意軟件Email-worm.Win32.Iksmas（也被稱為Waledac）創建的殭屍 網絡控制中心被成功打掉。使用該惡意軟件創建的殭屍網絡擁有強大的垃圾郵件發送能力，能夠每天發送高達15億封垃圾郵件。郵件採用熱門話題作為標題，並且 包含指向Iksmas惡意程序的鏈接。此外，此類殭屍網絡還採用了服務器端多態殭屍以及fast-flux（持續更換代理網絡）技術。最終產生更為可怕並 且複雜的殭屍網絡。2010年2月22日，就微軟公司提交的一項訴訟，美國弗吉尼亞州法院判定微軟公司勝訴，下令關閉277個連接殭屍網絡控制系統的域 名。所有這些被關閉的域名註冊的都是 「.com」頂級域名，服務提供商是美國公司VeriSign。這是一場勝利，但也僅僅是對抗網絡犯罪戰爭中的一場戰役的勝利。上述殭屍網絡控制中心被關 閉後，網絡罪犯並沒有停手，而是開始在其他域名創建新的控制中心，繼續發送垃圾郵件。偶爾採取一次打擊行動並不能有效消除此類網絡犯罪活動，真正有效的措 施應該是持續開展此類關閉殭屍網絡控制中心的行動。在下一步的打擊殭屍網絡的戰鬥中，我們必須給網絡罪犯持續施加壓力。希望在可預見的未來，此類行動可以 積極展開。

除了關閉殭屍網絡的控制中心外，還有其他潛在的打擊網絡殭屍的辦法，即逮捕惡意軟件編寫者。但是這種方法從執法角度來 看，更為複雜，但是同時也更為有效。西班牙執法機關曾經逮捕了一個龐大殭屍網絡的擁有者，詳見：http://threatpost.com/en_us /blogs/mariposa-botnet-caught-and-killed-030210. 這個名為Mariposa的殭屍網絡是利用P2P-worm.Win32.Palevo惡意軟件創建而成，擁有非常強大的功能。例如能夠進行自行傳播以及 執行惡意行為的能力。這種惡意軟件能夠利用點對點網絡、即時通訊信息以及autorun（自動運行）功能傳播，例如可以通過任何個人設備包括相機、閃存盤 等設備進行感染。一旦惡意程序被安裝到計算機上，網絡罪犯就可以完全控制此受感染計算機，指揮其下載惡意軟件的其他模塊。網絡罪犯的最終目的是通過銷售和 使用從受感染計算機上竊取到的個人數據賺取錢財，這些被竊的數據主要是一些在線服務的用戶名和密碼，尤其以在線銀行為主。

在服務供應商的協助下，此殭屍網絡的命令控制中心被關閉，而且運營此殭屍網絡的一名網絡罪犯也被查獲。大多數情況下，要 確認殭屍網絡的控制中心的源頭非常困難，但在Palevo案件中，恰好情況較為簡單。運行此殭屍網絡的網絡罪犯們並沒有高深的技術背景和經驗，而且其中一 名網絡罪犯還是用了自己的家用電腦。

Mariposa殭屍網絡事件再一次表明，網絡罪犯並非都具有高深的技術背景。當今時代，任何東西都可以被用來銷售和購 買，殭屍網絡也不例外。甚至用於掩蓋控制殭屍網絡的命令發送中心源頭的服務也可以毫不費力的購買，而且當前也沒有法律禁止提供此類服務。

為了在對抗殭屍網絡的戰爭中取得勝利，需要立法領域做出一些具有前瞻性的努力，並且還需要計算機領域推廣和應用最新的 IT安全技術。只有兩者結合起來，才能有效打擊殭屍網絡。另外，不能忽視的是，當殭屍網絡的控制中心被關閉後，並不意味著殭屍網絡威力變小了，他們造成的 影響將繼續存在。被惡意軟件感染過的計算機系統上所做的修改和破壞不會憑空消失，如果被感染時計算機的網絡請求被定向到了惡意資源，那麼即使殭屍網絡控制 中心被關閉，計算機的網絡請求仍然會被重新定向，如果某個計算機硬盤被設置為公開訪問，那麼其仍然會暴露於危險之中。不僅如此，網絡罪犯還可能會重新控制 這些已經受感染的計算機。所以，只有徹底解決殭屍網絡的問題，才能夠阻止網絡罪犯的犯罪行為，保護潛在的受害用戶。

未來趨勢預測

下一季度，我們將會看到更多的關於網絡犯罪的訴訟案件。值得高興的是，很多國家的執法機關已經開始採取相應的措施，在積 極改變網絡犯罪地理分佈方面扮演著重要的角色。重要的是，目前針對網絡犯罪的戰鬥已經不僅僅體現在文字上，而且在現實中也已經展開。當今環境下，要想成為 一個網絡罪犯，並不需要掌握複雜的計算機編程技能。任何人都可以在生意興旺的黑市上購買到任何所需的東西，不管是惡意軟件還是殭屍網絡控制中心。再加上日 趨嚴重的失業問題，有可能導致網絡罪犯數量的上升，促進網絡犯罪市場的進一步發展。目前，木馬等惡意程序可以說是拼盡了全力試圖控制用戶的計算機。惡意軟 件以及其他各種網絡威脅也將更為主動的對抗各種反病毒保護措施。此外，我們還預測網絡罪犯將會開發和使用更為有效的用於傳播現有木馬的手段。