位于美國舊金山海灣地區(qū)的安全廠商FireEye Inc公司的高級安全研究專家Alex Lanstein表示，這是因為這些病毒的始作俑者就是想要制造新聞，讓人知道他們的計算機被感染了。舉例來說，Cimbot是一種用來建立僵尸網(wǎng)絡的木馬病毒，目前它占到世界上兜售垃圾郵件的15%。

亞特蘭大的安全廠商Purewire Inc公司的首席研究專家保羅.羅伊發(fā)現(xiàn)了僵尸網(wǎng)絡逃脫網(wǎng)絡監(jiān)控進行操作的幾個其他案例。在他參與的Project ZeroPack項目中，他發(fā)現(xiàn)自動混淆技術能允許這些壞家伙以服務器端多形態(tài)的表象去活動。對于有規(guī)律的木馬變種，傳統(tǒng)的防病毒廠商要跟上正確的AV簽名就愈加的困難。Waledac僵尸網(wǎng)絡就是利用這種方法取得的成功。

同時羅伊還表示，黑客們從集中型的命令與控制僵尸網(wǎng)絡結(jié)構(gòu)遷移到以更加對等為基礎的體系架構(gòu)。這是很不幸的，因為對于集中型更強的結(jié)構(gòu)，至少安全研究專家還有一個大的目標可以瞄準。而P2P的方式意味著目標變的更加細化而很難被逐一消滅。

羅伊還強調(diào)說：""Conficker.C, Storm和Waledec病毒都已經(jīng)從集中型體系架構(gòu)轉(zhuǎn)向了P2P類型的體系架構(gòu)"。

2.木馬病毒可以自我防護
Cryptography Research的總裁兼首席科學家Paul Kocher表示，安全專家在試圖追蹤和關閉僵尸網(wǎng)絡的過程中所遭遇的問題是用來構(gòu)建僵尸網(wǎng)絡的新型蠕蟲正在使用強大的密碼系統(tǒng)來保護他們的命令和控制中心。

Kocher表示"你可能習慣去追蹤僵尸網(wǎng)絡如何獲取命令，將假冒的命令傳播出來，這么做變得越來越困難了"。

更加新型的僵尸網(wǎng)絡也更擅長扼殺計算機的安全控制。

"我們還發(fā)現(xiàn)在構(gòu)建僵尸網(wǎng)絡的蠕蟲病毒中采用了更加狡猾的方式來逃避偵測"Kocher表示"從復制到復制這些蠕蟲病毒有了更加多樣化的改變。這就讓反病毒專家在設計簽名來阻斷這些病毒的過程變得更加困難"。

3.常用應用軟件超出了IT的控制范圍
研究專家們還發(fā)現(xiàn)對僵尸網(wǎng)絡抵御能力最弱的是人們用在公司計算機上的應用軟件，這些應用軟件經(jīng)常超出了IT的控制范圍。他們使用這些應用軟件到處傳遞各種敏感數(shù)據(jù)，包括醫(yī)療記錄，財務數(shù)據(jù)等等。

安全廠商Palo Alto Networks最近發(fā)布的2009年度春季應用軟件使用和風險報告分析了超過60個大型企業(yè)的企業(yè)級應用軟件的使用和流量，這些企業(yè)的類型涵蓋金融服務，制造業(yè)，衛(wèi)生保健，政府機構(gòu)，零售和教育部門。從2008年8月到12月的評估描述了將近90萬用戶的行為。研究成果包括：

在494種應用軟件中有超過一半（57%）的應用軟件會繞過安全體系架構(gòu)–會使用端到端，端口80或端口443。這些應用程序的某些代表包括微軟的SharePoint, Microsoft Groove和一系列軟件升級服務（Microsoft Update, Apple Update, Adobe Update），以及Pandora和Yoics這樣的最終用戶應用軟件。

不被企業(yè)IT認可（CGIProxy, PHProxy, Hopster）的代理服務器和遠程桌面系統(tǒng)訪問通道應用軟件(LogMeIn!, RDP, PCAnywhere)也在調(diào)研中被發(fā)現(xiàn)，比例分別為81%和95%。調(diào)研中還發(fā)現(xiàn)了諸如SH, TOR, GPass, Gbridge, and SwIPe這樣的加密通道應用軟件。

P2P結(jié)構(gòu)所占的比例為92%，BitTorrent和Gnutella是所發(fā)現(xiàn)的最常用的21種變種中的一份子。以瀏覽器為基礎的文件共享中，YouSendit就占到了76%。MediaFire是22種變種中最常見的。

據(jù)報告稱，總的來說企業(yè)在防火墻，入侵檢測系統(tǒng)，代理和URL過濾產(chǎn)品上的支出每年超過了60億美元。這些產(chǎn)品都號稱能執(zhí)行應用程序控制。分析顯示100%的企業(yè)都設置了防火墻，87%的企業(yè)還配置了1種或多種防火墻輔助工具（代理，入侵檢測系統(tǒng)，URL過濾）–但是仍然不能對通過網(wǎng)絡的應用軟件流量執(zhí)行有效控制。

因此木馬病毒的制造者能相對容易的利用應用軟件，包括建立僵尸網(wǎng)絡。

4.社交網(wǎng)絡擴大了攻擊面
Facebook, Twitter和Myspace這樣的社交網(wǎng)絡的使用率日漸增高，他們很容易被黑客利用，企業(yè)IT部門也很難對其進行監(jiān)控。

舉例來說，今年2月在華盛頓特區(qū)舉行的ShmooCon安全大會上，研究專家Nathan Hamiel和Shawn Moyer表示，在社交網(wǎng)絡上用戶可以輕而易舉的上傳和交換圖片，文本，音樂和其他內(nèi)容，黑客就是利用這些網(wǎng)站的自然屬性來輕松發(fā)動攻擊。

在針對這些程序的攻擊中，黑客利用社交網(wǎng)絡欺騙用戶點擊開放式鏈接，然后將木馬植入用戶的計算機，用戶的計算機就這樣成為這些黑客僵尸網(wǎng)絡中的肉雞。

對用戶的培訓仍然是關鍵的防御手段
亞特蘭大的安全廠商Damballa, Inc.研究副總裁Gunter Ollmann表示，近年來企業(yè)IT部門在偵測制破壞性后果的不知名木馬病毒方面取得了不錯的效果。近兩年，IT部門配置了大范圍的偵測和防御技術，每個防御層都能更好的抵御某種攻擊。

但Ollmann也強調(diào)說"風險越常見，保護措施效果就會越好，但是這些壞家伙也非常清楚這些防御措施的工作原理，因此他們使用的手段也更加狡猾，比如目標型社交工程攻擊。使用入侵檢測系統(tǒng)和AV代理在發(fā)現(xiàn)已知木馬上占到很高比例"。

Ollmann和其他專家都提供了同樣的建議：由于攻擊者在利用社交工程伎倆上如此的成功，他們以虛假的大標題來誘騙用戶帶你及惡意鏈接–對此最好的防御方式之一就是對這些用戶進行培訓。

專家稱，調(diào)研顯示有防范意識的用戶每次上線時，被誘騙下載制造僵尸代碼的可能性就會比較小。

yajing