小張每日都會上網(wǎng)看股票行情、小李喜歡打網(wǎng)上聯(lián)機游戲、小美三不五時都會在淘寶買衣服，他們有個共同的特色：都是喜歡網(wǎng)絡交流的白領一族，也就是目前企業(yè)網(wǎng)絡威脅的最大來源：Web 惡意程序的”幕”后推手。中秋節(jié)與七夕情人節(jié)相繼到來，你擔心員工利用網(wǎng)絡購禮物時被暗中入侵嗎？打算用別致禮物給朋友和家人驚喜的人，在你利用網(wǎng)絡搜尋比價的同時，當心有釣魚網(wǎng)站利用你入侵，上周趨勢科技已經(jīng)偵測出相關病毒。

　　網(wǎng)關失守 9成以上病毒直達客戶端

　　趨勢科技指出，96%的病毒都是在“客戶端”這道安全最后防線才被發(fā)現(xiàn)，突顯出企業(yè)在網(wǎng)關端監(jiān)管的不足和員工安全意識的缺乏，尤其是在今天日益泛濫的 Web 威脅環(huán)境中，更是在“不知不覺”中鼠標一點，打開企業(yè)網(wǎng)絡大門迎接黑客臥底。

　　趨勢科技安全專家蔡?欽教授歸納目前web威脅病毒的特性如下：

　　40%的病毒會自我加密或采用特殊程序壓縮

　　平均病毒檔案大小為71Kbytes

　　90%的病毒以HTTP為傳播途徑

　　60%的病毒以SMTP為傳播途徑

　　皆與病毒自動下載器 (Downloader) 行為有關

　　50%的病毒會利用開機自動執(zhí)行或自動連上惡意網(wǎng)站下載病毒皆會產(chǎn)生其它病毒檔案 (Drop File)

通常造成使用者應用程序或操作系統(tǒng)運作不正常，以及郵件服務器繁忙或網(wǎng)絡流量增加

　　新一代僵尸程序利用Web 繁衍 鼠標一點即中毒

　　近來僵尸程序已跨入 Web 繁衍的時代。僵尸程序主控者指揮他們的僵尸程序搜尋應用程序與 Web 瀏覽器的安全弱點，伺機入侵計算機系統(tǒng)。受害的通常都是未定期更新或修補系統(tǒng)中的應用程序與瀏覽器的使用者。一旦成功利用這些弱點，僵尸程序主控者便會在遭入侵的瀏覽器所存取的網(wǎng)頁中插入一小段 HTML 程序代碼。當其它使用者瀏覽并按下內(nèi)含惡意 HTML 程序代碼的網(wǎng)頁時，通常就會將僵尸程序下載至他們的系統(tǒng)中而自己還渾然未覺。這種方法稱為”路過式下載 (drive-by download)”。被植入僵尸程序的計算機可能會受到僵尸程序主控者控制，用以竊取信息、散發(fā)垃圾郵件、安裝其它惡意檔案，甚至發(fā)動服務阻斷 (DoS) 攻擊等。

　　在Google最近發(fā)表的一份標題為 The Ghost in the Browser (瀏覽器中的魅影) 的技術白皮書中，研究人員強調(diào)，新一代的僵尸程序，需要使用者的反饋與互動才能成功繁衍，最常見的就是點按鼠標。

　　趨勢科技安全專家蔡?欽教授說：”如果網(wǎng)關端有防御機制，比如不讓員工接觸危險網(wǎng)頁、隔離未修補漏洞的計算機等等安全機制，就像海關人員在毒販販毒入境前，即限制入境，那么就可以做到零接觸、零感染、零威脅�！�

　　零接觸 零感染 零威脅 趨勢科技實時網(wǎng)頁信譽評等安全機制WRS

　　想要利用網(wǎng)絡搜索并買中秋節(jié)月餅的小明，進入登錄頁面時，忽然跳出網(wǎng)頁遭封鎖的警告窗口，這是 OfficeScan網(wǎng)頁信譽評級服務攔截到惡意鏈接所發(fā)出的訊息。惡意鏈接除了竊取身份證號、股票帳號等個人數(shù)據(jù)外，還有可能連結到僵尸網(wǎng)絡下載病毒下載器（Downloader），隨時更新病毒，進一步的竊取企業(yè)機密。

　　如果你沒有開瀏覽器，卻一直跳出攔截到惡意鏈接警告窗口，可別懷疑這個背后超過150部在線服務服務器，橫跨美國、歐洲、亞太四個資料中心的網(wǎng)頁信譽評級服務出亂子了，那可表示你可能被植入后門程序，且被暗中裝入病毒下載器，它會透過 HTTP 到各僵尸網(wǎng)絡下載各種變種病毒， OfficeScan 發(fā)現(xiàn)背景正執(zhí)行惡意鏈接，已經(jīng)幫你中斷鏈接，這就是趨勢科技新近推出的桌上型安全方案OfficeScan 8.0，這是第一個具備網(wǎng)站信譽技術的企業(yè)解決方案，也是第一個獲得 Microsoft ® Windows® Vista™ 認證的桌上型安全方案。

　　WRS 不同于“有害網(wǎng)站”的黑名單對比

　　以定期更新“已知網(wǎng)址黑名單”為主的靜態(tài)網(wǎng)址過濾技術， 并無法迅速辨識可能透過 XSS、XSRF、Syndication 或其它方式將病毒散播至一般正常網(wǎng)站的手法，針對“網(wǎng)站信譽”檢查必須配合網(wǎng)址過濾數(shù)據(jù)庫來進行，然而每天新增將近 5000 個網(wǎng)域意味著必須采取額外的措施來輔助這個重要組件。在這種情況下，唯有針對網(wǎng)站信譽采取更周全的稽查才能有效辨識惡意網(wǎng)站。

　　趨勢科技安全專家蔡?欽表示：“強大的 AJAX 程序代碼加上能發(fā)布在任何網(wǎng)站的自由彈性，使得 Web 1.0 時代合法網(wǎng)站與惡意網(wǎng)站之間的界限越來越模糊。WRS 在 In-the-Cloud (互聯(lián)網(wǎng)網(wǎng)關外) 層級進行合法性評估。這個先進的網(wǎng)站信譽評級服務并不是假定目前存在固定數(shù)量的”有害網(wǎng)站”，而是動態(tài)匯集、監(jiān)視以及評估一份完整的注冊網(wǎng)域名稱清單，這份清單儲存在趨勢科技的信譽數(shù)據(jù)庫，目前所含的資料已超過 3 億筆。

　　WRS 技術會依據(jù)這份網(wǎng)站名稱清單，針對檢查網(wǎng)域名稱注冊人信息 (注冊 IP 地址時必須提供的公開信息) 作檢查，以確認網(wǎng)站的合法性。在監(jiān)控如網(wǎng)站注冊人與網(wǎng)站主機位置等信息一段時間之后，便能產(chǎn)生有關特定網(wǎng)域可靠性的參考信息。舉例來說，經(jīng)常變換位置可能是網(wǎng)站安全性不高的重要指標，因為網(wǎng)絡罪犯會頻頻變更 IP 地址的實體位置以躲避偵測。此外，新網(wǎng)站如果吸引異常高數(shù)量的點擊率也會觸發(fā)紅色警戒，因為這可能是病毒產(chǎn)生的流量傳輸至特定網(wǎng)站的跡象。其它指標如地理位置，也能作為特定網(wǎng)站的可靠性或合法性的參考信息，并且應在評估網(wǎng)站信譽時納入考慮。當然，確認網(wǎng)站的信譽還包括參考其它已知網(wǎng)絡釣魚、網(wǎng)站嫁接以及其它惡意網(wǎng)址的數(shù)據(jù)庫來檢查網(wǎng)站。