回顾 2004 年恶意程序走势(二)

    Bagle和Netsky的作者都将染毒附件加密。使其很难被检测到。邮件正文中包含文本或图形式的密码，用户会得到与运行附件有关的一切信息。

    Mass－mailling是感染附件的技术。它于1999年第一次运用在Melissa上。从那以后已经被大多数攻击使用。无论如何，有两种方法可供选择。一种我们已经讨论过：互联网蠕虫，比如Lovesan, Welchia和Sasser通过系统直接感染。另一种在2004年更常见，它使用户直接连到含有恶意代码的网站。至于Mitgleider 木马代理，我们很早就讨论过，不止是这种病毒采用这种技术，许多蠕虫也已经使用了它。

    Netsky，例如,它会发一封包含一个链接的邮件，使用户的计算机连接到已被感染的计算机上。Bizex是第一个ICQ蠕虫。Bizex进入计算机通过ICQ向所有打开ICQ软件并且被感染的计算机发送链接，该链接包含蠕虫。用户一旦点击了该链接，将会从已被感染的网站下载蠕虫，并且周而复始地形成恶性循环。之后的Snapper和Wallon也使用同样的技术，用它下载被作者放置在网站上的木马。

    迄今，包含链接的电子邮件还没有被收件者视为可疑对象，与双击一个附件相比，许多人还是很容易点击链接的。另外，这种方法可以有效'逃避'很多企业在互联网网关上部署的防御：它们通常阻止可疑的扩展名(EXE，SCR等等),但是包含链接的电子邮件通过却未被注意到。无疑，这种方法将被继续使用，直到用户意识到点击恶意链接与点击附件具有相同的危害。

    我们已经注意到特洛伊木马间谍数量的显著增加，这些木马用于偷取机密金融数据。每周都有许多新变种出现，通常在形式和功能上都不同。其中一些只是键盘纪录，它们通过电子邮件给特洛伊木马作者或者控制者发送全部键盘纪录。更多的说明是特洛伊木马间谍提供对被感染计算机的完全控制，给远程服务器发送数据流并且通过这些服务器接收高级命令。

    这些被完全控制的计算机经常是木马编写者的目标。被感染的计算机频繁地合成网络蠕虫，经常使用IRC信道或者编写者存放新命令的站点。更复杂的特洛伊木马，像很多Agobot的变种，将全部感染的计算机组成一个独立的点对点网络。一旦建立了蠕虫网络，它们会被用于垃圾邮件分发，或DDoS攻击当中(就像被Wallon，Plexus，Zafi和Mydoom 执行的那些一样).

    我们也能够看见许许多多的木马下落者和木马下载者。它们的目标都是为了在已感染的计算机上安装其它的恶意代码，不管它是病毒，蠕虫还是其它木马。它们只是使用不同方法来达到它们的目的。