作者：Rik Ferguson

     或許您還記得，在 2008 年 6 月時， 趨勢科技因為拒絕參加某些知名的惡意程式防毒軟體測試 (如：VB100) 而在 IT 媒體上掀起一陣波瀾。我們當初所堅持的原因至今仍舊不變，那就是這些測試根本無法忠實反映客戶今日所面對的威脅，因此測試結果可能造成一種安全的假象。(編按：VB100 測試的標準是在未連線的情況下，在封閉的區域網路中進行。而趨勢科技的產品均使用線上信譽評等服務，因此不能以離線方式進行公平理想的測試。)

NSS Labs 針對各家防毒軟體排名評比「Trend Micro 趨勢科技的防護能力最高，總分達到 96.4%」 - 資料來源：NSS Labs 消費性端點防護產品報告，2009 年 9 月

       今日的網際網路已經是使用最氾濫的攻擊途徑，惡意程式充斥著各種變體、採用各種通訊協定、分佈於各種不同來源 (Bot 網路)，並且通常鎖定特定對象，因此，資訊安全軟體長久以來所仰賴的病毒碼特徵比對技巧已無法應付今日的威脅。這一點似乎和最近NSS Labs發表的兩份獨立測試報告結論不謀而合。傳統的資訊安全產品測試絕大部分都是在封閉隔離的實驗室內進行，採用一組預先選好的惡意程式樣本，這樣的測試方法無法讓觀念先進的資訊安全軟體完全發揮實力。

趨勢科技採用建構在網際網路雲端的 主動式雲端截毒服務  Smart Protection Network 來提供動態而即時的防護，不僅能攔截惡意檔案，還能攔截惡意電子郵件以及惡意網站，利用聰明的交叉關聯規則，讓惡意活動無法施展開來。這是一種以威脅為中心而非以檔案為中心的思維。其目標是要儘早切斷感染鏈或攔截威脅，先從「暴露層」(也就是威脅的來源) 進行攔截，再從「感染層」(也就是威脅攻擊的目標) 進行阻撓。NSS Labs最近所發表的獨立、非贊助性測試報告，正好凸顯了這套新式防禦方法的重要性。在今年 7 月到 8 月之間，NSS Labs 針對 9 套消費性與 10 套企業級端點防護產品執行了 17 天 24 小時不間斷的馬拉松測試。趨勢科技的雲端用戶端主動式雲端截毒服務  Smart Protection Network 是否已經成熟？ 測試結果已經給了很清楚的答案：

搜尋結果幕後藏毒手 假防毒軟體真詐財

去年本部落格開張之初，寫了一篇關於上網找萬聖節最酷造型 竟被流氓軟體駭到 的文章，不到一年的時間，關於假防毒軟體事件 (或稱為流氓軟體)從未退燒。名人、微網誌、熱門事件都是借力使力的助燃器。包含假歐巴馬現身社交網站、搜尋Twitter Worm 前十個搜尋結果，其中之一被下毒、911事件 、 艾奎諾夫人之死新聞、紐約時報網站警告讀者中毒 糗事。另外訂單收據最近這幾個月有很流行，比如冒稱你網購的 Sony 筆電已經寄出 ，一開附件假好心幫你掃瞄電腦的假防毒軟體就跟著踏進門。最防不勝防的是連找壯陽藥都會有被暗中下載不能防毒但會勒索的假防毒軟體。請參考：另類打敗不景氣：犀利士加入微軟Silverlight官方論壇 。當然這類流氓軟體，更不會放棄垃圾郵件攻勢，冒稱可以幫你 垃圾郵件過濾，卻真鍵盤側錄 偷機密;或是在畢業季發出邀請函：“歡迎參加我的畢業典禮” 為釣餌。最經典的是虛擬與實體結合的擋風玻璃上的違規停車罰單被下毒！ 事件。

不過，Trend Micro趨勢科技研究人員發現，透過駭客搜擎最佳化手法 SEO 將引至假防毒軟體(流氓防毒軟體)的手法最為普遍。近日在英語系國家，網路犯罪份子挾持搜尋結果使其導向假防毒軟體。如派屈克．史威茲（Patrick Swayze）去世的消息，肯．威斯特（Kanye West）在MTV音樂錄影獎頒獎會上的惡名昭章的搶話演出，和耶魯學生Anne Le遇害身亡等熱門新聞來發動攻擊。

以下 35 個關鍵字，是近日被下毒的搜尋字串：

【2009年9月23日─台北訊】全球網路安全領導廠商趨勢科技 今日宣佈推出新一代消費端產品「PC-cillin 2010」，搭載全球首創主動式雲端截毒技術(SPN)，捍衛消費者多元的數位生活、提供全方位的安全防護！身為第一個支援Windows 7作業平台的防毒新品，PC-cillin 2010的記憶體用量輕省30%、開機速度加快20%，讓消費者盡情體驗高防護、零負擔的飆網快感！有別於以往，本次還將發售「PC-cillin 2010防毒USB限量盒裝版」，搭配革命性的創新防毒USB隨身碟，讓消費者從此安全隨身帶著走。此外，趨勢科技 今日同時宣佈與硬體大廠「華碩」(ASUS) 的全球合作計畫，台灣國際十大品牌雙雄再次攜手合作以優異的軟、硬體技術，提供全球使用者安全又便利的數位生活！

趨勢科技 台灣區總經理洪偉淦引用一份趨勢科技 線上行為調查報告表示：「網友們經常從事的網路活動中，瀏覽資訊、部落格和社群，是每日使用頻率最高的項目，其他如線上遊戲、欣賞影片、網路搜尋、收發電子郵件、即時通訊、網路購物等亦高居前幾名。由此可知，網路已大幅拓展人們的數位生活圈，有鑑於此，PC-cillin 2010在研發過程中始終將使用者需求奉為首要目標，務必要提供消費者全方位的最佳線上行為安全防護！」

圖片與內文來源：30 雜誌

如果，能花點時間去想，小時的夢想是什麼？熱情是什麼？就能察覺出真正的自我與內在動能，找到適合自己發揮的位置。

會偷個資的惡意程式有哪些？

資料竊盜惡意程式通常是多重管道網頁攻擊的第二或第三個步驟的元件，包括：鍵盤側錄程式、畫面擷取程式、間諜程式、廣告程式、後門程式、Bot 等等，皆屬於這一類。

我的資料怎麼被偷的？

針對一般個人受害者，網路犯罪者多半利用藏有惡意連結的垃圾郵件引誘受害者點選連結，進而下載資料竊盜惡意程式到自己的電腦。使用者也可能因為瀏覽遭到入侵的正常網站而感染資料竊盜惡意程式。這樣的技巧統稱為「強制下載或路過式下載」(drive-by-download)，發生時使用者通常不會察覺。使用者一旦瀏覽感染網站，就會自動感染木馬程式。

木馬如何偽裝？

木馬程式也經常偽裝成螢幕保護程式、遊戲程式或玩笑程式來散播攻擊。木馬程式一旦與遠端的惡意伺服器連線，就會透過各種技巧來竊取資訊。某些木馬程式會將受害電腦收編到一個 Bot 傀儡網路以進行「遠端遙控」。某些則會安裝鍵盤側錄程式或螢幕畫面擷取程式，等候顯示帳號資訊和密碼的畫面出現就立刻擷取。就像這樣，木馬程式會在背後偷偷竊取硬碟上儲存的個人資訊。不管是身分證字號、信用卡卡號、銀行帳號、系統管理密碼或是線上遊戲密碼，皆無法逃過一劫。

駭客拿我的個資怎麼用？

一旦您的網路門戶洞開，歹徒竊取資訊的方法就有無限變化。有些惡意程式會偷取特定資訊，有些則是大規模攻擊的前鋒，歹徒拿到受害者的個人資料之後可能會拿來直接運用，也可能拿到黑市販賣。 

＠欲第一手取得中英文版最新網路安全資安訊息，請找崔嘻一起噗浪

＠進一步認識(中文版)趨勢科技 TrendMicro 主動式雲端截毒服務 SPN( Smart Protection Network)@ 瞭解 LeakProof 企業資料外洩防護方案  

＠免費下載試用防止信用卡等個人資料外洩和防止網路釣魚的防毒軟體
-<瞭解更多與試用版下載>

電腦中毒後無法上網嗎？iClean 解毒快手免費解毒

擔心上網遇到電腦病毒？免費下載WTP Add On拆除網頁惡意黑心連結

1. DOWNAD：多重散播管道、多重破壞  – DOWNAD 發現於 2008 年 11 月，是一個利用 MS08-067 漏洞攻擊的大型威脅。該程式有多個變種，新的變種每一次都比前一次更為強大。它可影響好幾個企業網路的 LAN 流量。
   這項攻擊還有另一個明顯的特徵，就是可以產生高達 50,000 個網域，並且隨機連線至其中的 500 個，讓資安人員無法有效防堵這麼多的網域 (甚至無法監控可能的惡意網站)，此外也會利用低成本的網域名稱註冊服務。
2. KOOBFACE：社交網路的禍害 – KOOBFACE 首次發現於 2008 年 8 月，專門運用社交網站 (如：Facebook 和 MySpace) 所提供的服務。該惡意程式會感染使用者個人資料檔案，讓網路犯罪者藉此突破使用者的心防，進而提高散播的成功率 (已感染使用者的連絡人因為信賴對方而開啟受害使用者個人資料檔內的連結)有關社交網站的社交工程陷阱<請按這裡>)。
   KOOBFACE 具備動態更新能力，因此可以散播至其他社交網路，進而發動更多惡意攻擊。
3. ZBOT：有組織的資訊竊盜 – ZBOT 木馬程式也被認為是 Zeus 惡意程式的變種，通常透過電子郵件或網頁漏洞散播。根據地下組織的研究與有案可查的記錄，由於感染的電腦不斷送出使用者的個人資訊 (信用卡卡號) 給遠端的伺服器/網路犯罪者，因此該木馬程式不僅仍然活躍而且持續成長。
   由於 ZBOT 變種會不斷變換其社交工程技巧，而且也因為話題性不足而鮮少被披露)，因此更加危險。ZBOT 近日使用的社交工程技巧，包括：
   -誰殺了Michael Jackson麥可傑克森？打開連結看答案」木馬準備偷個資 (Facebook, Amazon ,Flicker, Youtube 皆列入攻擊名單)
   -假Microsoft微軟“重要更新”鎖定上百個著名網站用戶個資
   -你在亞馬遜（Amazon）的交易已由木馬處理完成，網路銀行密碼同步外洩中
4. SQL Slammer：單槍匹馬就足以破壞整個網際網路 – 這項攻擊惡名昭彰之處，就是曾在 2003 年 1 月 25 日讓網際網路整體的流量速度變得嚴重遲緩。值得注意的是，造成這項大規模破壞的竟然是一個只存在於記憶體中的封包蠕蟲，不需透過檔案系統就能發動攻擊，並且利用的是一個已經修補的 MS SQL Server 與 Desktop Engine 的緩衝區溢位錯誤 (MS02-039)。
   然而，更值得注意的是其後續效應在今日的網際網路仍舊依稀可見。
5. VBS_LOVELETTER：網際網路愛蟲  – 這項攻擊運用了一項超簡單卻超有效的社交工程技巧 (就是在標題寫上「我愛你」字樣)，讓好奇的收件人忍不住遭到攻擊，首次出現於 2000 年 5 月 4 日。全球大約有 10% 的電腦遭到感染，每一台平均大約有 600 個感染檔案。

 在 LinkedIn 找 Obama 歐巴馬，竟被木馬下毒

• Scammers Dive in to LinkedIn
• Bogus LinkedIn Profiles Harbor Malicious Content

以上連結已被趨勢科技 TrendMicro 主動式雲端截毒服務 SPN( Smart Protection Network)所防堵  

＠本文來源趨勢科技 TrendLabs Malware blog Bogus Profile in LinkedIn Leads to FAKEAV 

＠欲第一手取得中英文版最新網路安全資安訊息，請找崔嘻一起噗浪或 facebook

最近調查局指出台灣遭殭屍網路（Botnet）攻擊名列全球第一，相關文章殭屍網路攻擊 台灣駭最大提到，不久前，調查局就與友邦調查機關成功的「清除」一個殭屍網路；該殭屍網路連接台灣的主控台(CNC)，以2萬多個病毒，對30多個國家同時發動阻斷服務式的攻擊。這個案子，是跨國調查單位經過好幾年的追蹤、合作，才順利將「它」清除。

殭屍網路（Botnet）到底是怎麼發動攻擊的？以下這篇深入剖析文章是由趨勢科技研發部資深經理 Sr. Dev Manager Arther Wu吳俊達所撰寫。

Botnet 殭屍網路：

無聲的主流威脅 恐使電腦使用者成罪犯

你是否曾經想過自己的電腦會是攻擊他人系統的幫兇？或是成為助長地下經濟的一員？2003年在美國奧勒岡州的Clark，利用botnet 殭屍網路（或稱為傀儡網路），同時兩萬多台電腦對ebay發動DDoS攻擊；2005年一月美國一位20歲的年輕人，使用botnet 殭屍網路癱瘓西雅圖-西北醫學中心的醫療系統，造成約一百五十萬美金的損失，並危害到該院病人的生命。2008年，來自中國的駭客發動botnet 殭屍網路大軍，DDoS攻擊著名的巴哈姆特遊戲社群網站，要求該網站配合其宣傳，否則將繼續阻斷其服務；美國聯邦調查局指出，全球約有一百多萬台的電腦遭受bot控制成為botnet 殭屍網路一員，在不知不覺中駭客已經利用你的電腦為所欲為了。

根據趨勢科技 TrendLabs 統計指出在平均每月至少有超過 1 百萬台 PC 遭殭屍網路相關惡意程式感染。

在介紹botnet 殭屍網路行為之前，我們先來了解其歷史；1988年時，Jarkko Oikarinen在芬蘭的歐蘆大學(University of Oulu)設計出一套線上聊天系統，稱之為Internet relay chat (IRC)，隔年Greg Lindahl在IRC架構上撰寫了GM (Game Manager for the Hunt the Wumpus game)，這是第一個IRC bot，當初的bot只是一個方便管理系統的工具，並未有任何惡意的行為，然而現今的bot已經成為網路安全的一大隱患，也成為駭客賺錢的有利工具。

一般的Botnet 殭屍網路組成可分為三部份：

l          botherder: 下達指令給botnet 殭屍網路成員的司令官，為駭客本身

l          botclient: 被遙控的受害者電腦，受害者通常不會察覺自己已經遭受感染，而成為botnet 殭屍網路的一份子。

l          Command and control server (C&C server): 負責管理控制整個botnet 殭屍網路的server，並將botherder的指令傳遞給botclient

其架構如圖1；當一台電腦被感染而成為botnet 殭屍網路新成員時，先向連向C&C server註冊，並等候它的指令，而botherder透過C&C server得知目前botnet 殭屍網路的情況，有多少botclient成員?各分布在哪些國家？可進行什麼樣的攻擊?如果botherder想要進行DDOS攻擊，只需下達指令給C&C server，C&C server再傳送給等待的botclient，此時所有的botclient將攻擊目標電腦，並將執行結果回傳給C&C server；由此可知，駭客可躲在幕後假借他人之手達到己之所欲。

圖1  簡易Botnet 殭屍網路架構圖

Botnet 殭屍網路種類