問題（取決于您站在哪一邊）在于較大規(guī)模的安全供應(yīng)商也會購買那些同樣的惡件制作工具包；這些供應(yīng)商隨后對這些工具包進行研究并開發(fā)新的檢測技術(shù)來解決將會由這些工具包造成的威脅。

而心術(shù)不正的人會做些什么呢？如果他們沒有能力親自開發(fā)惡意軟件，而且知道使用流行惡意軟件制作工具包制作的任何惡件都會被一些最好的防病毒產(chǎn)品所檢測到，那么他們還有一個選擇，那就是雇用一名專業(yè)惡意軟件編碼人員！
過去兩年間，向愿意出高價者提供其技能的專業(yè)（即全職）惡意軟件作者的數(shù)量以驚人的速度增加。目前，雇用一個經(jīng)驗老到的惡意軟件編碼人員來編寫定制惡意軟件就像購買現(xiàn)成的惡意軟件制作工具包一樣容易。

最低只需花2000元人民幣，就能雇用一個專業(yè)惡意軟件作者編寫一個惡意軟件以滿足任何特定需要。當(dāng)然，此價格會隨惡意軟件要求的復(fù)雜程度呈比例增加，不過還附帶一整套支持和擔(dān)保服務(wù)。大多數(shù)惡意軟件作者一般都通過電子郵件、即時信使（IM）或Web提供24×7的全天候支持，并提供在惡意軟件被商業(yè)防病毒產(chǎn)品檢測到的情況下予以替換的保證。

另外還存在其他財務(wù)模式。一些惡意軟件作者提供基于人天、批發(fā)價、熟客或特定功能的結(jié)構(gòu)化報價方案。例如，增加一個卸載防病毒軟件要700元人民幣，增加一個帶加密通信功能的僵尸網(wǎng)絡(luò)管理程序要5000元人民幣–但二者捆綁起來只要5200人民幣。另外，如果你手頭的現(xiàn)金不夠但是可以控制一個或兩個僵尸網(wǎng)絡(luò)的話，通過授予惡意軟件作者對一個包含4000臺受感染電腦的僵尸網(wǎng)絡(luò)的一周訪問權(quán)也可獲得相同的惡件。

惡意軟件的定制編寫也不必僅由一個惡意軟件作者來完成。許多比較好的定制惡意軟件都來自有組織的編碼人員專家團隊–他們能夠獲得各領(lǐng)域?qū)＜业膶I(yè)知識，包括來自隸屬于某一組織的安全研究人員的針對最新安全漏洞的攻擊代碼。

隨著對具有專門功能的個性化惡意軟件的需求的增加，我們將會看到更多的專業(yè)編碼人員轉(zhuǎn)向黑暗一面。由于日漸豐厚的金錢報酬以及對合法編碼人員來說可能會面臨困難的一年，普遍的看法是我們將來還會看到大量定制惡意軟件的出現(xiàn)。

防范這些定制惡意軟件變得越來越困難。傳統(tǒng)的基于主機的防病毒掃描技術(shù)只能檢測最明顯和最常見病毒樣本，而無法檢測所有的可疑活動。今天的最佳防病毒策略是采取前瞻防護的方案–主動阻止已知的或者懷疑有惡意軟件的網(wǎng)站、對網(wǎng)絡(luò)流量的深度檢查以及對攻擊代碼的阻止、主機加固以及限制該主機上用戶的權(quán)限。即便如此，也不能保證能夠攔截精心編寫的定制惡意軟件的部分代碼，所以我們一定要保持警惕，確保對相關(guān)日志的保存和研究，并對任何異常情況進行調(diào)查。

作者為IBM互聯(lián)網(wǎng)安全系統(tǒng)（ISS）IT/網(wǎng)絡(luò)安全首席架構(gòu)師

yajing