迈克菲(McAfee)旗下防病毒和漏洞紧急响应小组McAfeeAvert实验室近期发布了2007年的十大安全威胁预测。根据McAfeeAvert实验室的数据，超过21.7万个不同类型的已知威胁和数千个威胁还没有被发现，很明显由专业和有组织的犯罪所发布的恶意软件正在不断上升。

　　McAfee Avert实验室预测的2007年十大安全威胁如下，排名不分先后：

　　1. 采用假冒流行在线服务站点(比如eBay)登录页面盗取密码的站点将不断上升

　　2. 垃圾邮件的数量，特别是消耗带宽的图像垃圾邮件数量将继续上升

　　3. 通过网站的共享视频不断普及，不可避免地让黑客把MPEG的文件锁定为传播恶意代码的方式

　　4. 随着移动设备更加智能和更多连接，移动电话攻击将更加普遍

　　5. 随着商业潜在非预期程序(PUPs)的不断增长，广告软件将成为主流

　　6. 身份盗取和数据丢失将继续成为公众问题 -这些犯罪的结果会导致电脑数据被盗、 back-ups的损失和信息系统被控制

　　7. 僵尸网络的使用和自动执行任务的电脑程序将成为最受黑客欢迎的工具。

　　8. 寄生恶意软件或能在磁盘上更改现有文件的病毒将重新回来

　　9. 在32位平台上的rootkits数量将不断上升，但是，对该平台的保护和修复能力也将随之提高。

　　10. 漏洞仍将被继续关注

　　McAfeeAvert实验室和产品研发高级副总裁JeffGreen说：短期内，计算机已经成为人们每天生活不可或缺的一部分，结果为恶意软件编写者提供了大量获取金钱的机会。当我们看到尖端技术不断发展的时候，普通用户发现或避免恶意软件感染变得更加困难。

　　如今，迈克菲研究人员发现了创建恶意软件的专业和有组织的犯罪不断增长的证据―开发团队负责创建恶意软件，并且测试和自动生成及传播。类似动态绑定的尖端技术、寄生传播者的循环、rootkits和利用循环加密发布新builds，正在不断普及。另外，威胁正在通过打包或加密的方式，通过更快和更复杂的规模伪装他们的恶意目的。

　　在2006年7月，迈克菲正式宣布为第20万个威胁提供防护。自从2006年1月1日起，迈克菲在其数据库里增加了大约5万个新威胁，而且有可能在年底超过22万5千个新威胁。根据目前的趋势，迈克菲预计在2007年底，将会发现第30万个威胁。

　　McAfee Avert实验室2007年威胁预测：

　　密码盗取站点不断上升

　　更多攻击试图通过仿冒的登录页面捕捉用户的ID和密码，以及针对在线服务站点(eBay)攻击不断上升，将在2007年更加明显。McAfeeAvert实验室还预测利用人们的自愿心态帮助别人的攻击将会增加。相反，针对ISP供应商的攻击数量将会下降，同时那些锁定金钱利益的攻击将会保持稳定。

　　垃圾邮件上，特别是图像垃圾邮件将会不断上升

　　在2006年11月份，图像垃圾邮件占所有垃圾邮件数量的40%，而一年以前这个数字还不到10%。图像垃圾邮件在过去的几个月里，增长迅速，而且多种垃圾邮件，特别是炒股诈骗(pump-and-dumpstocks)、网络钓鱼和垃圾邮件现在多以图像的形式发送，而不再使用文本的形式。图像垃圾邮件的大小是文本垃圾邮件的3倍，因此它会占用大量的带宽。

　　网络站点的视频流行使之成为黑客的目标

　　在MySpace、YouTube和VideoCodeZone上使用视频的形式不断增长，将吸引恶意软件编写者寻找渗透更多网络的机会。与带有电子邮件附件的情况不一样，多数用户会毫不犹豫地打开媒介文件。

　　另外，由于视频是一种简单易用的形式，弹出式广告和URL重置等功能成为恶意软件编写者创建恶意软件的理想工具。总之，这些问题使得恶意代码编写者可能会利用媒介恶意软件实现更有效的攻击。

　　由McAfee Avert实验室在2006年11月份发现的W32/Realor蠕虫就是近期媒介恶意软件的事件。该蠕虫无须用户激活就可以发布恶意站点，把用户暴露给僵尸网络或加载到这些站点上的密码盗取者。

　　其它的媒介恶意软件，比如Exploit-WinAmpPLS可能利有非常少的用户交互悄悄地安装间谍软件。随着网络视频共享不断发展，大量潜在的观众目标将刺激恶意软件编写者利用这一渠道获取金钱。

　　更多移动攻击

　　随着平台的不断集中，移动威胁将继续增长。智能手机技术的使用在威胁从多功能、半固定电脑到掌上型可穿戴的设备的转变过程中扮演了非常关键的角色。随着利用蓝牙、短消息服务、即时消息、电子邮件、WiFi、USB、音频、视频和Web进行连接，交叉设备污染的可能性大大增加。

　　2006年，我们看到移动恶意软件编写者实现了从PC到电话和从电话到PC感染的传播媒质。PC到电话的媒介通过创建MSIL/Xrove.A而实现，这是一个基于.NET的恶意软件，可以通过ActiveSync感染智能手机。现有的电话到PC的介质保留了原始的特色，比如通过可移动的内存卡进行感染。然而，迈克菲预测在2007年这种新的阶段将来临。

　　SmiShing利用了通过电子邮件实现的网络钓鱼技术，并且把他们转到短消息服务(SmiShing代替了网络钓鱼)，未来SmiShing可能将会变得更加普及。在2006年8月份，McAfeeAvert实验室收到了第一个SmiShing攻击样本―VBS/Eliles，这是一个群发邮件蠕虫，还能够向移动电话发送短消息服务。在2006年9月底，发现了该蠕虫的4个变种。

　　另外，利益驱动的移动恶意软件在2007年有望增长。虽然Avert实验研究的恶意软件包括一些相对简单的木马，但是，outlook被J2ME/Redbrowser木马改变了。J2ME/Redbrowser是一个利用短消息服务信息试图访问无线访问协议(WAP)的木马程序。

　　事实上，代替检索WAP页面，该木马程序向有奖励的号码发送短消息服务信息，这样用户就会花费比计划更多的费用。第二个J2ME.Wesber出现在2006年后期，也是向有奖励的短消息服务号码发送消息。

　　2006年后期，在移动领域发现了大量的间谍软件。大量的间谍软件用来监控电话号码和短消息服务呼叫日志，或者通过向另一部电话转发拷贝盗取短消息服务信息。SymbOS/Flexispy.B间谍软件能够远程激活被感染设备的麦克风，允许有人偷听设备拥有者的谈话。其它的间谍软件能够激活摄相功能。迈克菲预测针对移动设备的商业性意义软件将在2007年有所增长。

　　广告软件将走向主流

　　在2006年，McAfeeAvert实验室发现商业性PUP不断增长，而且相关类型的恶意木马，特别是键盘记录程序、密码盗取者、僵尸网络以及后门程序表现出更大增长。另外，被恶意软件误用的商业软件和远程控制的广告软件、键盘记录程序和远程控制软件也在不断上升。然而，尽管社会、法律和技术挑战存在，但是，广告收入模式上的太多商业利益，迈克菲预测更多使用或试图使用广告软件的合法公司比多数现有的广告软件，会得到消费者更少的抵触。

　　身份盗取和数据损失将继续成为公众问题

　　根据美国联邦贸易委员会(U.S. FederalTradeCommission)的报告，每年大约有1000万美国人成为身份欺诈的牺牲者。这些犯罪的结果会导致电脑数据被盗、back-ups损失和信息系统被控制。

　　迈克菲预测身份欺诈牺牲者的数量将保持平稳，公司泄漏丢失或数据被盗，不断增长的网络犯罪以及零售商、处理器和ATM系统被黑以及包含有机密数据的笔记本电脑被盗，将继续成为公众担忧的话题。

　　McAfeeAvert实验室还预测未授权的信息传送将为企业带来更多数据损失和非遵从性风险。这些风险包括客户数据丢失、员工个人信息和可能的知识产权泄露渠道-应用程序、网络以及USB设备、打印机、传真和可移动介质。由于数据丢失防护(DLP)市场的成熟，迈克菲还预测归档和加密将增长。

　　僵尸网络将继续增长

　　僵尸网络、执行自动化任务的计算机程序在不断上升，但是，将从低级的通信机制Internet RelayChat(IRC)转向更少强迫式的方式。在过去几年里，有许多病毒编写者钟情于IRC威胁。这是由于IRC脚本语言所产生的动力，以及能够轻松协调由聊天室类型结构感染的计算机所造成的。

　　Mules将继续成为利用僵尸网络获取金钱的一个重要方面。这些在家办公类型的工作，提供看起来非常专业的站点、分类广告以及即时消息。这就是为什么如此多的僵尸网络可以在世界各地能够运行的关键原因所在。

　　为了利用盗取的信用卡证书获取物品(常常用于再销售)或现金，如果这些物品要到另一个国家，这些盗贼必须查看更加严格的规则。为了获取这些规则，他们在那些发起的国家采用mules。

　　寄生恶意软件正在回头

　　即使寄生类恶意软件在所有恶意软件只占有不到10%的份额(90%恶意软件都是静态的)，但是，它看起来好像有回头的迹象。寄生传染者是可以更改磁盘上现有文件的病毒，并且把代码注入文件所驻留的地方。

　　当用户运行受感染文件时，病毒就会运行。W32/Bacalid、W32/Polip和W32Detnat是三个在2006年发现的流行多形性寄生文件传染者，它们拥有盗取功能和试图从受控制站点上下载木马的功能。

　　另外，值得注意的是80%的恶意软件都是以打包、加密或者伪装的方式存在，试图掩盖它们的恶意目的。以伪装形式出现的寄生传染者的例子包括w32/Bacalid和w32/Polip。

　　11月初，McAfee Avert实验室还追踪和监控到了由W32/Kibik.a部署的payload。W32/Kibik.a是一个寄生的和包含rootkit启发式、行为检测和IP黑名单的零日攻击，W32/Kibik.a使有兴趣的企图在当今的竞争环境里生存下来。

　　从通过零日漏洞悄悄的安装到安静的驻留和运行，看起来像无辜的Google搜索;W32/Kibik.a可能成为2007年可扩展的远程控制恶意软件的新趋势。利用其隐秘的特色，到今天为止，只有很少的安全厂商能够检测或修复W32/Kibik.a，这不是令人感到惊奇的事情。

　　32位平台上的Rootkits将增长

　　虽然32位平台上的Rootkits将不断增长，但是，防护和修复能力也将随之增强。在64位平台上，特别是Vista，恶意软件的发展趋势很难预测，但是，一般情况下，McAfeeAvert实验室预测：

　　·至少在短期内，kernel-moderootkits将会减少，同时的，恶意软件编写者会发明新的技术破坏PatchGuard

　　·user-moderootkits将会增长，而且由于许多安全软件提供的更多高级启发式和行为技术会受PatchGuard影响，进行自我阻止。直到Vistaservicepack1出现，这种现象才会结束，微软什么时候能够提供新的API，取决于由安全厂商所要求修改的工作量和SP1的接受程序。

　　漏洞继续让人们担忧

　　2007年，公布漏洞的数量将会上升。到目前为止，微软在2006年已经发布了140个安全漏洞。由于fuzzers使用不断上升和给发现漏洞人的丰厚奖励，McAfeeAvert实验室预测漏洞的数量还将上升。今年，微软为关键漏洞所打的补丁数量比2004年和2005年两年的总和还要多。在2006年9月份，2004和2005 两年的62个关键漏洞的数量已经被打破。

　　McAfeeAvert实验室还注意到紧随微软补丁环节的零日攻击趋势。因为每个月只发布一次补丁，这使得黑客在每月周二补丁日之后，就可以发布零日攻击，最大化暴露漏洞。

　　McAfee Avert实验室的建议

　　为了防范以上威胁和恶意程序，McAfeeAvert实验室建议保持安全防护状态，无论是企业级用户，还是个人用户都要及时更新DAT文件，安装最新的补丁和部署多层安全机制，来检测和阻止攻击。(SY)