今年造成損害最嚴(yán)重的惡意程序當(dāng)屬M(fèi)ydoom.a (2004年2月) 和 Sasser.a (2004年5月)。在惡意程序領(lǐng)域最重要的變化包括互聯(lián)網(wǎng)犯罪化。惡意代碼編寫者和黑客轉(zhuǎn)而創(chuàng)控網(wǎng)絡(luò)傀儡機(jī)，以支持垃圾郵件發(fā)布者。另一方面，反病毒產(chǎn)品廠商的反應(yīng)更加迅速，而在全球范圍內(nèi)立法強(qiáng)化機(jī)構(gòu)終于將注意力集中到網(wǎng)絡(luò)犯罪方面。2004年是在抓捕網(wǎng)絡(luò)罪犯方面創(chuàng)紀(jì)錄的一年。

•     廣告軟件(AdWare) 成為最大的安全難題之一；

•     Email 數(shù)據(jù)被垃圾郵件阻塞。在絕大多數(shù)情況下，沒(méi)有垃圾郵件過(guò)濾程序，email系統(tǒng)不可能正常工作；

•     對(duì)互聯(lián)網(wǎng)銀行發(fā)動(dòng)了成功的攻擊；

•     大量的互聯(lián)網(wǎng)敲詐事件(伴隨著敲詐的DDoS 攻擊)；

•     反病毒產(chǎn)品提供對(duì)廣告發(fā)布程序的抗御；

•     對(duì)來(lái)自新的惡意程序的威脅的反應(yīng)時(shí)間成為評(píng)價(jià)反病毒產(chǎn)品的最主要的標(biāo)準(zhǔn)；

•     涌現(xiàn)出許多反垃圾郵件產(chǎn)品，使用這類產(chǎn)品成為郵件服務(wù)商的特定標(biāo)準(zhǔn)；

•     成功查明并拘捕了約100名黑客，其中三人在美國(guó)聯(lián)邦調(diào)查局(FBI)急欲抓捕名單的前20名內(nèi)。

    惡意程序在2004年的發(fā)展

    每一代惡意程序的編寫者都站在前輩的肩膀上。因此，毫不奇怪，前些年播下的惡意程序的種子在2004年結(jié)出了果實(shí)。Lovesan“普及”了通過(guò)互聯(lián)網(wǎng)直接利用系統(tǒng)漏洞感染捕獲傀儡機(jī)，向Windows升級(jí)服務(wù)器發(fā)動(dòng)分布式拒絕服務(wù)[DDoS]攻擊的方式。Sobig.f通過(guò)利用垃圾郵件技術(shù)傳播，突破了所有先前的記錄(在其流行高峰期，電郵的Sobig病毒感染率達(dá)到10﹪)，并成為“慢燃燒”方式的先驅(qū)：其每個(gè)新蠕蟲變種創(chuàng)建一個(gè)受感染的計(jì)算機(jī)網(wǎng)絡(luò)，該網(wǎng)絡(luò)可用做繼續(xù)流行傳播的平臺(tái)。當(dāng)2003 年9月Swen 病毒開始傳播時(shí)，看著就像另一個(gè)大量郵件發(fā)送者，然而，它成功完成了“社會(huì)工程”。此處的社會(huì)工程是指一種描述安全性的、依賴人際交流的非技術(shù)分支的特別方式：對(duì)病毒和蠕蟲，它表示欺詐無(wú)警覺(jué)的用戶，使其運(yùn)行被感染的附件。Swen 假扮成可堵住微軟的所有漏洞的補(bǔ)丁，巧妙利用了用戶的不斷增長(zhǎng)的、防范對(duì)操作系統(tǒng)的攻擊的需求。

    在2004年，上述技術(shù)得到了成功的延續(xù)和發(fā)展。

    利用操作系統(tǒng)的漏洞在用戶的網(wǎng)絡(luò)中植入后門程序并迅速傳播已成為眾所周知的伎倆。惡意代碼的編寫者已悟到，可通過(guò)一般的應(yīng)用和操作系統(tǒng)的漏洞獲得潛在的“助手”。2004年出現(xiàn)的一些攻擊，如Sasser、Padobot及Bobax 都將操作系統(tǒng)的漏洞做為其發(fā)動(dòng)攻擊的裝置，通過(guò)互聯(lián)網(wǎng)從一臺(tái)計(jì)算機(jī)直接傳播給另一臺(tái)計(jì)算機(jī)，而沒(méi)有應(yīng)用“傳統(tǒng)的”病毒技術(shù)。另一方面，Plexus 及大量 Bagle、Netsky 和 Mydoom 變種 既利用操作系統(tǒng)的漏洞，也應(yīng)用其它感染方法[如大量郵件和利用網(wǎng)絡(luò)資源，包括P2P網(wǎng)絡(luò)]。

    許多如今最成功的威脅[“成功”系就惡意代碼編寫者的觀點(diǎn)而言] 都是將不同種類的威脅捆綁在一起。這類漸增的捆綁包括將一種木馬或其它病毒相捆綁。典型的木馬通過(guò)某個(gè)病毒或蠕蟲傳播并植入系統(tǒng)，其自身沒(méi)有繁殖能力，因而通常被認(rèn)為比病毒或蠕蟲的危險(xiǎn)性要小。現(xiàn)在的木馬程序的作用可能既危險(xiǎn)又惡果深遠(yuǎn)，不僅變得更為老道，而且被更多的惡意程序利用。

    2004年新年典禮還未結(jié)束，木馬Trojan proxy Mitgleider 就在屏幕上出現(xiàn)了。數(shù)以千計(jì)的 ICQ 用戶收到了指向含有該木馬的網(wǎng)站的鏈接，Mitgleider 利用了微軟視窗 IE 的兩個(gè)漏洞之一，在用戶不知的情況下在感染的計(jì)算機(jī)上下載安裝代理服務(wù)器，而后打開計(jì)算機(jī)的一個(gè)端口，允許收發(fā)郵件，最終使該機(jī)變成噴吐“zombies”垃圾郵件的幫兇。Mitgleider 建立了分級(jí)代理木馬，使惡意程序與垃圾郵件分發(fā)密切聯(lián)系，并開創(chuàng)了將大量郵件與受感染的網(wǎng)站相聯(lián)系的趨勢(shì)。

    在Mitgleider 之后，大多數(shù)較嚴(yán)重的威脅都利用了Trojans. Bagle。這個(gè)蠕蟲與Mitgleider 似乎是出自一人之手，不是安裝木馬代理就是從互聯(lián)網(wǎng)下載木馬。該蠕蟲是Mitgleider 的簡(jiǎn)單改進(jìn)版，包括通過(guò)電子郵件傳播。Bagle通過(guò)感染Mitglieder的計(jì)算機(jī)分發(fā)，這是2004年惡意代碼威脅的另一個(gè)重要特性：利用木馬程序在網(wǎng)絡(luò)上“播種”計(jì)算機(jī)，做為日后流行的平臺(tái)。利用這一技術(shù)獲得巨大成功的不僅有Bagle，還有Netsky、Mydoom等危害較大的威脅。在這些蠕蟲中每出現(xiàn)一個(gè)成功的變種，就會(huì)增加一批被感染的計(jì)算機(jī)：一旦達(dá)到“臨界質(zhì)量”，就出現(xiàn)一次新的流行。這是在Mydoom的成功背后的主要的因素，并使之超越Sobig而成為到目前為止流行最強(qiáng)的蠕蟲。Mydoom也是一個(gè)前面關(guān)于惡意程序“捆綁”的好佐證，它有效地利用了一個(gè)聰明的社會(huì)工程模塊，對(duì)“www.sco.com”發(fā)動(dòng)了DDoS攻擊，將SCO網(wǎng)站沖垮達(dá)數(shù)月之久，并將一個(gè)木馬程序植入受到攻擊的計(jì)算機(jī)，使之被許多copycat激活利用。