小張每日都會(huì)上網(wǎng)看股票行情、小李喜歡打網(wǎng)上聯(lián)機(jī)游戲、小美三不五時(shí)都會(huì)在淘寶買衣服，他們有個(gè)共同的特色：都是喜歡網(wǎng)絡(luò)交流的白領(lǐng)一族，也就是目前企業(yè)網(wǎng)絡(luò)威脅的最大來源：Web 惡意程序的”幕”后推手。中秋節(jié)與七夕情人節(jié)相繼到來，你擔(dān)心員工利用網(wǎng)絡(luò)購禮物時(shí)被暗中入侵嗎？打算用別致禮物給朋友和家人驚喜的人，在你利用網(wǎng)絡(luò)搜尋比價(jià)的同時(shí)，當(dāng)心有釣魚網(wǎng)站利用你入侵，上周趨勢科技已經(jīng)偵測出相關(guān)病毒。

　　網(wǎng)關(guān)失守 9成以上病毒直達(dá)客戶端

　　趨勢科技指出，96%的病毒都是在“客戶端”這道安全最后防線才被發(fā)現(xiàn)，突顯出企業(yè)在網(wǎng)關(guān)端監(jiān)管的不足和員工安全意識(shí)的缺乏，尤其是在今天日益泛濫的 Web 威脅環(huán)境中，更是在“不知不覺”中鼠標(biāo)一點(diǎn)，打開企業(yè)網(wǎng)絡(luò)大門迎接黑客臥底。

　　趨勢科技安全專家蔡?欽教授歸納目前web威脅病毒的特性如下：

　　40%的病毒會(huì)自我加密或采用特殊程序壓縮

　　平均病毒檔案大小為71Kbytes

　　90%的病毒以HTTP為傳播途徑

　　60%的病毒以SMTP為傳播途徑

　　皆與病毒自動(dòng)下載器 (Downloader) 行為有關(guān)

　　50%的病毒會(huì)利用開機(jī)自動(dòng)執(zhí)行或自動(dòng)連上惡意網(wǎng)站下載病毒皆會(huì)產(chǎn)生其它病毒檔案 (Drop File)

通常造成使用者應(yīng)用程序或操作系統(tǒng)運(yùn)作不正常，以及郵件服務(wù)器繁忙或網(wǎng)絡(luò)流量增加

　　新一代僵尸程序利用Web 繁衍 鼠標(biāo)一點(diǎn)即中毒

　　近來僵尸程序已跨入 Web 繁衍的時(shí)代。僵尸程序主控者指揮他們的僵尸程序搜尋應(yīng)用程序與 Web 瀏覽器的安全弱點(diǎn)，伺機(jī)入侵計(jì)算機(jī)系統(tǒng)。受害的通常都是未定期更新或修補(bǔ)系統(tǒng)中的應(yīng)用程序與瀏覽器的使用者。一旦成功利用這些弱點(diǎn)，僵尸程序主控者便會(huì)在遭入侵的瀏覽器所存取的網(wǎng)頁中插入一小段 HTML 程序代碼。當(dāng)其它使用者瀏覽并按下內(nèi)含惡意 HTML 程序代碼的網(wǎng)頁時(shí)，通常就會(huì)將僵尸程序下載至他們的系統(tǒng)中而自己還渾然未覺。這種方法稱為”路過式下載 (drive-by download)”。被植入僵尸程序的計(jì)算機(jī)可能會(huì)受到僵尸程序主控者控制，用以竊取信息、散發(fā)垃圾郵件、安裝其它惡意檔案，甚至發(fā)動(dòng)服務(wù)阻斷 (DoS) 攻擊等。

　　在Google最近發(fā)表的一份標(biāo)題為 The Ghost in the Browser (瀏覽器中的魅影) 的技術(shù)白皮書中，研究人員強(qiáng)調(diào)，新一代的僵尸程序，需要使用者的反饋與互動(dòng)才能成功繁衍，最常見的就是點(diǎn)按鼠標(biāo)。

　　趨勢科技安全專家蔡?欽教授說：”如果網(wǎng)關(guān)端有防御機(jī)制，比如不讓員工接觸危險(xiǎn)網(wǎng)頁、隔離未修補(bǔ)漏洞的計(jì)算機(jī)等等安全機(jī)制，就像海關(guān)人員在毒販販毒入境前，即限制入境，那么就可以做到零接觸、零感染、零威脅�！�

　　零接觸 零感染 零威脅 趨勢科技實(shí)時(shí)網(wǎng)頁信譽(yù)評(píng)等安全機(jī)制WRS

　　想要利用網(wǎng)絡(luò)搜索并買中秋節(jié)月餅的小明，進(jìn)入登錄頁面時(shí)，忽然跳出網(wǎng)頁遭封鎖的警告窗口，這是 OfficeScan網(wǎng)頁信譽(yù)評(píng)級(jí)服務(wù)攔截到惡意鏈接所發(fā)出的訊息。惡意鏈接除了竊取身份證號(hào)、股票帳號(hào)等個(gè)人數(shù)據(jù)外，還有可能連結(jié)到僵尸網(wǎng)絡(luò)下載病毒下載器（Downloader），隨時(shí)更新病毒，進(jìn)一步的竊取企業(yè)機(jī)密。

　　如果你沒有開瀏覽器，卻一直跳出攔截到惡意鏈接警告窗口，可別懷疑這個(gè)背后超過150部在線服務(wù)服務(wù)器，橫跨美國、歐洲、亞太四個(gè)資料中心的網(wǎng)頁信譽(yù)評(píng)級(jí)服務(wù)出亂子了，那可表示你可能被植入后門程序，且被暗中裝入病毒下載器，它會(huì)透過 HTTP 到各僵尸網(wǎng)絡(luò)下載各種變種病毒， OfficeScan 發(fā)現(xiàn)背景正執(zhí)行惡意鏈接，已經(jīng)幫你中斷鏈接，這就是趨勢科技新近推出的桌上型安全方案OfficeScan 8.0，這是第一個(gè)具備網(wǎng)站信譽(yù)技術(shù)的企業(yè)解決方案，也是第一個(gè)獲得 Microsoft ® Windows® Vista™ 認(rèn)證的桌上型安全方案。

　　WRS 不同于“有害網(wǎng)站”的黑名單對(duì)比

　　以定期更新“已知網(wǎng)址黑名單”為主的靜態(tài)網(wǎng)址過濾技術(shù)， 并無法迅速辨識(shí)可能透過 XSS、XSRF、Syndication 或其它方式將病毒散播至一般正常網(wǎng)站的手法，針對(duì)“網(wǎng)站信譽(yù)”檢查必須配合網(wǎng)址過濾數(shù)據(jù)庫來進(jìn)行，然而每天新增將近 5000 個(gè)網(wǎng)域意味著必須采取額外的措施來輔助這個(gè)重要組件。在這種情況下，唯有針對(duì)網(wǎng)站信譽(yù)采取更周全的稽查才能有效辨識(shí)惡意網(wǎng)站。

　　趨勢科技安全專家蔡?欽表示：“強(qiáng)大的 AJAX 程序代碼加上能發(fā)布在任何網(wǎng)站的自由彈性，使得 Web 1.0 時(shí)代合法網(wǎng)站與惡意網(wǎng)站之間的界限越來越模糊。WRS 在 In-the-Cloud (互聯(lián)網(wǎng)網(wǎng)關(guān)外) 層級(jí)進(jìn)行合法性評(píng)估。這個(gè)先進(jìn)的網(wǎng)站信譽(yù)評(píng)級(jí)服務(wù)并不是假定目前存在固定數(shù)量的”有害網(wǎng)站”，而是動(dòng)態(tài)匯集、監(jiān)視以及評(píng)估一份完整的注冊網(wǎng)域名稱清單，這份清單儲(chǔ)存在趨勢科技的信譽(yù)數(shù)據(jù)庫，目前所含的資料已超過 3 億筆。

　　WRS 技術(shù)會(huì)依據(jù)這份網(wǎng)站名稱清單，針對(duì)檢查網(wǎng)域名稱注冊人信息 (注冊 IP 地址時(shí)必須提供的公開信息) 作檢查，以確認(rèn)網(wǎng)站的合法性。在監(jiān)控如網(wǎng)站注冊人與網(wǎng)站主機(jī)位置等信息一段時(shí)間之后，便能產(chǎn)生有關(guān)特定網(wǎng)域可靠性的參考信息。舉例來說，經(jīng)常變換位置可能是網(wǎng)站安全性不高的重要指標(biāo)，因?yàn)榫W(wǎng)絡(luò)罪犯會(huì)頻頻變更 IP 地址的實(shí)體位置以躲避偵測。此外，新網(wǎng)站如果吸引異常高數(shù)量的點(diǎn)擊率也會(huì)觸發(fā)紅色警戒，因?yàn)檫@可能是病毒產(chǎn)生的流量傳輸至特定網(wǎng)站的跡象。其它指標(biāo)如地理位置，也能作為特定網(wǎng)站的可靠性或合法性的參考信息，并且應(yīng)在評(píng)估網(wǎng)站信譽(yù)時(shí)納入考慮。當(dāng)然，確認(rèn)網(wǎng)站的信譽(yù)還包括參考其它已知網(wǎng)絡(luò)釣魚、網(wǎng)站嫁接以及其它惡意網(wǎng)址的數(shù)據(jù)庫來檢查網(wǎng)站。