黑客巧用互联网 熊猫略施小计擒木马bots

　　- bot是一种能执行外部命令的自动运行型木马

　　- 最近蠕虫Kelvir实施攻击的目标主要是创建能对成千上万的计算机实行远程控制的bot网络

　　-  熊猫软件自发布TruPrevent?主动防御技术以来，已利用该项技术检测到了2700多个新bot，同时也包括了大量其它各种类型的有害程序。

　　- 防范bots的最好方法是使用类似TruPreventTM的主动防御技术及其侦测处理系统，加强对未知威胁的防御。

　　近来，恶意程序的作者逐步改变了他们惯用的目标和伎俩。一方面，过去几个月内，制作以获取经济利益为目的的恶意程序继续呈上升趋势。另一方面，与传统方法(只用一种能快速传播的恶意代码)不同，他们开始尝试使用不同变种进行传播。例如，目前风靡一时的蠕虫Kelvir，其招数包括能在七天之内在你的电脑中复制大量病毒变种，从而使系统资源达到饱和。这使得各大安全厂商和用户都非常头痛，安全厂商不得不研发大量的病毒疫苗，而用户则几乎没有时间及时更新防病毒程序来对付它们。结果即是造成用户的计算机极易被任意一个新的恶意代码感染。

　　蠕虫Kelvir的真正目的是在被感染计算机上下载其它有害程序，尤其是象bots这样的有害程序。”Bots”是一种能执行外部命令的自动运行型木马。黑客可以利用这些木马在被感染计算机上任意妄为，如：偷窃数据，利用受感染机器攻击其他计算机，匿名发送垃圾邮件等等。

　　危险指数

　　“Bots”正在以飞快的速度进行传播。根据Earthlink的数据统计显示，全球20% 的计算机内含有”bot”。事实上，有一个秘密的地下”bot”市场，为那些“专业的垃圾邮件提供者”服务，而租用每个”bot” 一周的费用是3-4美分。

　　“Bots”也可以被用来对其他计算机进行DDoS拒绝服务攻击。根据SecurityFocus网站的一篇文章报导，一个美国公司的主管公开承认曾雇佣一些黑客使用DDoS攻击其他三个竞争对手。更严重的是，在2004年，Yahoo、 Microsoft和Google等知名网站一度也曾因受到利用Bots进行的DDoS攻击而崩溃的遭遇。

　　熊猫实验室的主管Luis Corrons先生如是说道：“在黑客手中”bots”是一种非常完美的工具，它简直就是万能的——能够执行所有类型的黑客行为，而不仅仅是使系统速度变慢或向Internet传播受感染信息。这些行为不只对计算机的存储空间有所影响，同样也对用户及企业的形象及其资源产生影响。例如，美国一家知名报纸报的国防部和参议院被抢劫数百台电脑的消息，就被用来发送大量的垃圾邮件。

　　“bots”对公司的危害

　　当一台计算机感染了”Bot”，对于计算机的任何一个用户来说是相当危险的，就像盗版软件一样，虽然bot这种恶意代码有许多其它的攻击层面。例如，’bots’可以侦察到程序的密码，然后向外非法传播。

　　然而，受bots攻击毒害最深的还是公司。Bots在企业网络环境下主要会造成以下几种危害：

　　- 敲诈企业

　　某些企业被一些有组织的黑客团伙敲诈，如果不能满足黑客的要求，就会攻击企业的信息系统使其发生阻塞。这类的行为主要影响到一些基于电子商务及互联网服务的公司。据电子杂志Rense.com报导，一个黑客曾以收取“保护费”的名义向英国的许多网站敲诈钱财，每年的费用高达5万美元。

　　- 窃取数据

　　一些bots会对你地击键进行记录，有目地性的记录并发送给黑客。这样黑客可以得到各种有价值的公司信息，用来进行网上银行诈骗或其它一些黑客攻击。这样的行为同样会损害到企业的名誉，像冒用公司的Email地址发送各种垃圾邮件。

　　- 消耗企业资源

　　当企业内部有大量计算机被bots感染时，会额外消耗企业内部的网络资源，如带宽、网络管理员的工作时间等等，从而影响到企业的生产力。

　　- 使其他恶意程序渗透进入企业网络

　　一般来说，一旦企业的网络被bots入侵，就等于为各种有害程序(间谍程序，广告程序，和其他病毒)的进入打开了后门。

　　如何有效防御bots

　　bot是一种用户对其入侵过程无法察觉的恶意代码。同样的，单一的bot病毒样本在计算机中同样难以被发觉。尽管大多数的反病毒软件能对成千上万的bot加以识别、检测并清除，但是更多新的bot不断出现，在安全公司还没有侦测到他们并进行相应的防范之前，那些bot就会进行秘密的传播。

　　Luis Corrons介绍说：“熊猫软件公司推出的TruPreventTM  主动防御技术自2004年8月发布以来，已阻止了2700多种新bot以及大量其它类型的有害程序。当我们决定研发TruPreventTM  主动防御技术时，就已经考虑到会有各种各样新的有害程序出现。传统的非主动防御的病毒检测机制仍旧是发现和清除已知威胁最有效的办法。但是，能有效防范非已知病毒的的主动防御技术是有益的补充，熊猫软件对已知的恶意程序对已有了有效的解决方案，但是TruPreventTM 技术的应用可以与之形成完美的互补。例如，当TruPreventTM技术发现了一个新的有害程序，它会立刻发送到熊猫实验室。这就使熊猫软件可以及时阻止程序的传播和防止其造成的破坏。更重要的是，熊猫软件可以比竞争对手更快的制作出针对性疫苗。”

　　关于熊猫软件病毒实验室

　　当收到可疑文件时，熊猫软件的技术人员便立即开始工作，他们对文件进行分析，并根据分类采取不同的行动，包括：反解压、宏扫描、代码分析等。如果该可疑文件确实包含了新的有害程序，熊猫工程师便会立即研究清除病毒和路径检测的方法，并迅速发送给所有用户。