位于美國舊金山海灣地區(qū)的安全廠商FireEye Inc公司的高級(jí)安全研究專家Alex Lanstein表示，這是因?yàn)檫@些病毒的始作俑者就是想要制造新聞，讓人知道他們的計(jì)算機(jī)被感染了。舉例來說，Cimbot是一種用來建立僵尸網(wǎng)絡(luò)的木馬病毒，目前它占到世界上兜售垃圾郵件的15%。

亞特蘭大的安全廠商Purewire Inc公司的首席研究專家保羅.羅伊發(fā)現(xiàn)了僵尸網(wǎng)絡(luò)逃脫網(wǎng)絡(luò)監(jiān)控進(jìn)行操作的幾個(gè)其他案例。在他參與的Project ZeroPack項(xiàng)目中，他發(fā)現(xiàn)自動(dòng)混淆技術(shù)能允許這些壞家伙以服務(wù)器端多形態(tài)的表象去活動(dòng)。對(duì)于有規(guī)律的木馬變種，傳統(tǒng)的防病毒廠商要跟上正確的AV簽名就愈加的困難。Waledac僵尸網(wǎng)絡(luò)就是利用這種方法取得的成功。

同時(shí)羅伊還表示，黑客們從集中型的命令與控制僵尸網(wǎng)絡(luò)結(jié)構(gòu)遷移到以更加對(duì)等為基礎(chǔ)的體系架構(gòu)。這是很不幸的，因?yàn)閷?duì)于集中型更強(qiáng)的結(jié)構(gòu)，至少安全研究專家還有一個(gè)大的目標(biāo)可以瞄準(zhǔn)。而P2P的方式意味著目標(biāo)變的更加細(xì)化而很難被逐一消滅。

羅伊還強(qiáng)調(diào)說：""Conficker.C, Storm和Waledec病毒都已經(jīng)從集中型體系架構(gòu)轉(zhuǎn)向了P2P類型的體系架構(gòu)"。

2.木馬病毒可以自我防護(hù)
Cryptography Research的總裁兼首席科學(xué)家Paul Kocher表示，安全專家在試圖追蹤和關(guān)閉僵尸網(wǎng)絡(luò)的過程中所遭遇的問題是用來構(gòu)建僵尸網(wǎng)絡(luò)的新型蠕蟲正在使用強(qiáng)大的密碼系統(tǒng)來保護(hù)他們的命令和控制中心。

Kocher表示"你可能習(xí)慣去追蹤僵尸網(wǎng)絡(luò)如何獲取命令，將假冒的命令傳播出來，這么做變得越來越困難了"。

更加新型的僵尸網(wǎng)絡(luò)也更擅長扼殺計(jì)算機(jī)的安全控制。

"我們還發(fā)現(xiàn)在構(gòu)建僵尸網(wǎng)絡(luò)的蠕蟲病毒中采用了更加狡猾的方式來逃避偵測"Kocher表示"從復(fù)制到復(fù)制這些蠕蟲病毒有了更加多樣化的改變。這就讓反病毒專家在設(shè)計(jì)簽名來阻斷這些病毒的過程變得更加困難"。

3.常用應(yīng)用軟件超出了IT的控制范圍
研究專家們還發(fā)現(xiàn)對(duì)僵尸網(wǎng)絡(luò)抵御能力最弱的是人們用在公司計(jì)算機(jī)上的應(yīng)用軟件，這些應(yīng)用軟件經(jīng)常超出了IT的控制范圍。他們使用這些應(yīng)用軟件到處傳遞各種敏感數(shù)據(jù)，包括醫(yī)療記錄，財(cái)務(wù)數(shù)據(jù)等等。

安全廠商Palo Alto Networks最近發(fā)布的2009年度春季應(yīng)用軟件使用和風(fēng)險(xiǎn)報(bào)告分析了超過60個(gè)大型企業(yè)的企業(yè)級(jí)應(yīng)用軟件的使用和流量，這些企業(yè)的類型涵蓋金融服務(wù)，制造業(yè)，衛(wèi)生保健，政府機(jī)構(gòu)，零售和教育部門。從2008年8月到12月的評(píng)估描述了將近90萬用戶的行為。研究成果包括：

在494種應(yīng)用軟件中有超過一半（57%）的應(yīng)用軟件會(huì)繞過安全體系架構(gòu)–會(huì)使用端到端，端口80或端口443。這些應(yīng)用程序的某些代表包括微軟的SharePoint, Microsoft Groove和一系列軟件升級(jí)服務(wù)（Microsoft Update, Apple Update, Adobe Update），以及Pandora和Yoics這樣的最終用戶應(yīng)用軟件。

不被企業(yè)IT認(rèn)可（CGIProxy, PHProxy, Hopster）的代理服務(wù)器和遠(yuǎn)程桌面系統(tǒng)訪問通道應(yīng)用軟件(LogMeIn!, RDP, PCAnywhere)也在調(diào)研中被發(fā)現(xiàn)，比例分別為81%和95%。調(diào)研中還發(fā)現(xiàn)了諸如SH, TOR, GPass, Gbridge, and SwIPe這樣的加密通道應(yīng)用軟件。

P2P結(jié)構(gòu)所占的比例為92%，BitTorrent和Gnutella是所發(fā)現(xiàn)的最常用的21種變種中的一份子。以瀏覽器為基礎(chǔ)的文件共享中，YouSendit就占到了76%。MediaFire是22種變種中最常見的。

據(jù)報(bào)告稱，總的來說企業(yè)在防火墻，入侵檢測系統(tǒng)，代理和URL過濾產(chǎn)品上的支出每年超過了60億美元。這些產(chǎn)品都號(hào)稱能執(zhí)行應(yīng)用程序控制。分析顯示100%的企業(yè)都設(shè)置了防火墻，87%的企業(yè)還配置了1種或多種防火墻輔助工具（代理，入侵檢測系統(tǒng)，URL過濾）–但是仍然不能對(duì)通過網(wǎng)絡(luò)的應(yīng)用軟件流量執(zhí)行有效控制。

因此木馬病毒的制造者能相對(duì)容易的利用應(yīng)用軟件，包括建立僵尸網(wǎng)絡(luò)。

4.社交網(wǎng)絡(luò)擴(kuò)大了攻擊面
Facebook, Twitter和Myspace這樣的社交網(wǎng)絡(luò)的使用率日漸增高，他們很容易被黑客利用，企業(yè)IT部門也很難對(duì)其進(jìn)行監(jiān)控。

舉例來說，今年2月在華盛頓特區(qū)舉行的ShmooCon安全大會(huì)上，研究專家Nathan Hamiel和Shawn Moyer表示，在社交網(wǎng)絡(luò)上用戶可以輕而易舉的上傳和交換圖片，文本，音樂和其他內(nèi)容，黑客就是利用這些網(wǎng)站的自然屬性來輕松發(fā)動(dòng)攻擊。

在針對(duì)這些程序的攻擊中，黑客利用社交網(wǎng)絡(luò)欺騙用戶點(diǎn)擊開放式鏈接，然后將木馬植入用戶的計(jì)算機(jī)，用戶的計(jì)算機(jī)就這樣成為這些黑客僵尸網(wǎng)絡(luò)中的肉雞。

對(duì)用戶的培訓(xùn)仍然是關(guān)鍵的防御手段
亞特蘭大的安全廠商Damballa, Inc.研究副總裁Gunter Ollmann表示，近年來企業(yè)IT部門在偵測制破壞性后果的不知名木馬病毒方面取得了不錯(cuò)的效果。近兩年，IT部門配置了大范圍的偵測和防御技術(shù)，每個(gè)防御層都能更好的抵御某種攻擊。

但Ollmann也強(qiáng)調(diào)說"風(fēng)險(xiǎn)越常見，保護(hù)措施效果就會(huì)越好，但是這些壞家伙也非常清楚這些防御措施的工作原理，因此他們使用的手段也更加狡猾，比如目標(biāo)型社交工程攻擊。使用入侵檢測系統(tǒng)和AV代理在發(fā)現(xiàn)已知木馬上占到很高比例"。

Ollmann和其他專家都提供了同樣的建議：由于攻擊者在利用社交工程伎倆上如此的成功，他們以虛假的大標(biāo)題來誘騙用戶帶你及惡意鏈接–對(duì)此最好的防御方式之一就是對(duì)這些用戶進(jìn)行培訓(xùn)。

專家稱，調(diào)研顯示有防范意識(shí)的用戶每次上線時(shí)，被誘騙下載制造僵尸代碼的可能性就會(huì)比較小。

yajing