《迈克菲威胁报告》为您提供了有关基于电子邮件和Web的威胁的最新统计和分析信息。此报告由McAfee Avert Labs的研究人员编写，每季度发布一次。McAfee Avert Labs研究人员遍布世界各地，他们以独特的视角分析当前存在的威胁，这些威胁可能来自美国乃至世界各地，并将影响个人及企业用户。我们将分析过去三个月中出现的主要安全问题，请立即加入我们吧。看完本报告后，您可以在迈克菲威胁中心查找更多信息。您还会找到第一季度的威胁报告。

　　我们发现，2009年第二季度的垃圾邮件制造量不但从先前的下降趋势之中快速恢复，而且达到了历史最高水平。僵尸计算机(由垃圾邮件制造者控制并通过其发送邮件的计算机)的数量也创下历史新高。我们按国家/地区与主题对产出的垃圾邮件进行了细分。

　　在网络上，合法站点和恶意站点上的恶意软件仍在利用浏览器的漏洞。僵尸网络“捕获”并控制计算机以窃取数据和发送垃圾邮件。 Twitter已成为攻击者们热衷的攻击对象。它是目前社交网络工具中的宠儿，恶意软件作者十分清楚对其进行攻击的巨大潜力。您的这种全新的在线生活方式确实带来不小的问题，为此，“Twitter漏洞月”将如期举办。Twitter还在伊朗大选及其余波中扮演了“黑客活动分子”的角色。

　　在恶意软件方面，我们发现窃取密码的特洛伊木马程序增长迅速，它们的主要攻击目标是您的银行数据。这些程序简单、隐秘，而且比以前更容易生成。一些网站(主要位于俄罗斯)会提供特洛伊木马程序制作工具，即便是初级攻击者也可以通过购买这些工具来窃取数据。 AutoRun恶意软件也很容易创建，这要“归功”于那些免费提供的编译器和打包程序。

　　垃圾邮件发生反弹

　　如果经济形势能像第二季度的垃圾邮件那样反弹，我们的退休帐户将会更加令人欣慰。垃圾邮件自上一季度后开始发生反弹，其数量激增近 80%。上季度的垃圾邮件与之前季度相比发生了大幅下降，其主要原因是 McColo ISP的关闭。但是，本季度垃圾邮件增长迅猛，已经达到了历史最高水平。我们的监测数据显示， 2008年第2季度垃圾邮件的增长曾创下最高纪录，然而，本季度的增长已超过其10%。在《七月垃圾邮件报告》中，我们曾指出第一季度新出现的僵尸计算机将成为未来走势的先行指标;这一预测现已得到证实。

　　需要特别提到的是垃圾邮件在六月中的活动。六月份制造的垃圾邮件数量又创历史新高，超过之前高点2008年10月20%以上。

　　垃圾邮件在邮件总数中所占的比重也在本季度创下纪录，我们估计所占比例高达 92%，超过了去年二、三季度的最高纪录91%。

　　或许，垃圾邮件是经济的“先行指标”，我们很快就会走出困境，迎来下一个春天。希望这种美好的愿望成为现实，然而，我们可以确定的是垃圾邮件已经卷土重来，而且来势汹涌。

　　图 1: 全球垃圾邮件数量及其占邮件总量的比重

　　新的僵尸计算机

　　我们在本季度发现了大约 1400万台新的僵尸计算机。这又是一项新的纪录，并且打破了上季度创下的纪录(在上季度大约出现了1200万台新的僵尸计算机)。这个数字意味着每天都会新增15万台僵尸计算机，而这些系统将有可能向您的计算机发送垃圾邮件和其他恶意内容。根据僵尸计算机当前的发展趋势，不难预测垃圾邮件的数量在下个季度还将持续增长。

　　图 2: 新的发送垃圾邮件的僵尸计算机(按月划分)

　　新的僵尸计算机(按国家/地区划分)

　　从按国家/地区划分的僵尸计算机分布情况来看，前10榜单仍然由一些“惯犯”构成。本季度唯一新加入这一集团的国家是意大利;然而，这并不是意大利首次出现在前10榜单中。

　　本季度，仅美国就制造了大约210万台新的僵尸计算机，比上季度增加了33%。而本季度韩国的僵尸计算机产量更创下了最高的季度增长率(高达45%)，为这一集团“贡献”了超过50万台新的僵尸计算机。

　　意大利的僵尸计算机产量在本季度也增长了将近一倍。虽然全球的僵尸计算机数量都在增加，但中国和俄罗斯(两个僵尸计算机制造大国)新增的僵尸计算机数量却有所下降。

　　图 3:新增僵尸计算机数量最多的前10个国家 /地区(按季度划分)。在攻击者的控制下，这些系统将向数百万电子邮件地址发送垃圾邮件。

　　垃圾邮件(按国家/地区划分)

　　相比上一季度，排名前 10位的国家/地区所制造的垃圾邮件占总量的百分比下降了5%，这表明越来越多的国家/地区加入了垃圾邮件制造的行列。但是，有65%的垃圾邮件仍然来自这10个国家/地区，从而使其在这一领域继续占据主导地位。

　　美国的垃圾邮件制造者可能正面临经济危机的考验。他们的垃圾邮件产量占总量的百分比由上一季度的35%回落到25%。但是，垃圾邮件的数量比上一季度增长了大约80%，因此美国制造的垃圾邮件数量比预计增长了25%左右。

　　巴西、土耳其和波兰的垃圾邮件所占的比重以及总产量均有明显增长下榜一个季度后，西班牙重新回到前10榜单。此外，我们还要“欢迎”捷克共和国加入这个不太光彩的行列。

　　图4: 仅仅十个国家的垃圾邮件产量便占到了全球垃圾邮件总量的65%左右。

　　垃圾邮件(按主题划分)

　　您当地的药剂师一定异常忙碌，因为处方药垃圾邮件本季度增长迅猛，占到了我们传感器所收集到的垃圾邮件总量的60%。

　　图5:按类型划分的电子邮件。一直很流行的处方药垃圾邮件本季度增长了一倍以上，占我们监测到的垃圾邮件总量的60%。

　　图6:这家“药店”发送了当今的大部分垃圾邮件。

　　我们当今所见的大部分垃圾邮件均宣称来自于一家加拿大药店。此网站通常链接到已于中国注册机构注册的中国或俄罗斯URL。此类垃圾邮件有一个显著特点，即它宣称是经收件人请求才进行发送或是由朋友发送的(通常来自新闻稿或邮寄列表)。这种类型的垃圾邮件及其所有衍生的垃圾邮件占到了当前常见垃圾邮件总量的60%。虽然也存在许多其他的垃圾邮件活动，但如果未安装适当的垃圾邮件过滤器，处方药垃圾邮件将是最令人头痛的一种垃圾邮件。

　　Web攻击改变了目标

　　上个季度，我们看到许多关于浏览器漏洞利用的新闻报道，这主要“归功”于Conficker蠕虫。但是在本季度，关注的焦点似乎又回到了网站攻击上面。您可以在下面的图7中看到这种转变，该图显示了每日发现的利用浏览器漏洞的新网页数量。

　　在本季度，很多合法网站遭到了攻击，其中许多攻击都使用标准SQL注入和密码窃取来获取访问权限。攻击者通常会插入经过掩饰的脚本，以便将用户重定向至恶意域或恶意域集，然后尝试引诱用户安装载荷或在用户的Web浏览工具集中寻找未修补的漏洞。

　　图7:每天发现的利用浏览器漏洞的网页

　　一些攻击受到了媒体的关注，其中包括四月末首次出现、五月末达到高峰的Gumblar攻击。此后又出现了Martuz和Beladen攻击。媒体也对成千上万合法网站受到感染的情况进行了大肆宣扬。不论实际数量有多少，这些攻击无非是将用户重定向到我们早已发现的那些提供主要恶意软件的站点。有趣的是，这些恶意域在被关闭很久以后，却继续高居Google恶意域搜索结果排行榜的榜首。其持久的生命力恰恰折射出，许多合法Web服务器发现这些攻击并消除其危害所花费的漫长时间。

　　Gumblar也让我们看到，这些恶意网站、服务器和网址如何被各种活动频繁地重复使用。在监视和跟踪Gumblar时，我们还发现了数个与此攻击相关联的域。我们在此攻击中发现的71%的域已经受到关注，并且已在其他攻击中使用。而另外13%的域在用于当前攻击之前，已经“赢得”了我们的“TrustSource恶意网站信誉”。(“TrustedSource恶意网站信誉”标签基于可辨别网站是否存在潜在危害的高级行为分析。)

　　图8: 按类型划分的Gumblar站点

　　本季度的整体Web威胁情况如何?抛开四月份引起媒体大量关注的Conficker影响不谈，我们可以看到，相比上一季度，具有恶意网站信誉的URL的增长速度略有下降。恶意域的演变是导致这种下降的原因之一。以前，我们往往能够在许多恶意域注册时立即将其识别并采取相应的保护措施。现在，这种方式在多数情况下依然奏效，尽管我们发现恶意域用来注册的方法以及它们与之关联的站点都有了新的趋势。随着网络犯罪分子不断适应跟踪和检测托管服务的安全技术以及这些技术所支持的活动类型，攻击者开始采用新的方式来隐藏自己。这导致我们可以根据注册情况识别出的恶意域的数量有所下降。然而，本季度出现的峰值均与可通过域注册方法和其他预测指标轻松识别的恶意域相关;由此可见，我们所使用的传统关联方法仍然十分有效。

　　图9:每天报告的新增恶意网站

　　恶意Web服务器的位置并未发生明显的改变。(请参见下面的图10。)但是，当我们将注意力从单个服务器转移到这些服务器所托管的域和URL时，地理视角将发生转变。(请参见下面的图11。)图中出现了一些新的国家，包括澳大利亚和巴哈马。巴哈马的每台恶意Web服务器平均产生1482个恶意URL。本季度，我们加大了对位于中美洲和加勒比海地区的恶意服务器的调查力度。

　　图10: 恶意Web服务器的分布。

　　图11:恶意URL总量的分布

　　来自您身边的威胁

　　另外一种Web威胁来自保护不足的家庭计算机。这些系统可能被感染并受外部人员的控制，他们将其作为“雇佣的僵尸网络”的一部分，用来发送垃圾邮件，窃取家庭用户的信息等等。我们还发现，家庭用户设置了各种远程访问服务、匿名工具和类似的服务，以便从包括企业网络在内的任何位置访问其家庭计算机。在本季度我们关注了驻留在这些系统上的网站。我们排除了所有未托管活动、广告网站的家庭计算机。在托管活动站点的计算机中，我们发现大多数计算机正在为垃圾邮件 URL提供服务，对此我们并不感到意外。

　　图12: 基于家庭计算机的网站(按用途划分)

　　恶意软件和潜在有害程序

　　图13:每天新增的提供恶意软件和潜在有害程序的网站

　　除了围绕Conficker的争论之外，本季度获得“恶意网站信誉”标签的网站数量与上季度相比略有下降。但本季度的结束阶段却并不平静。在最后几周内，我们发现SQL和iframe注入、搜索引擎优化、下载器、欺骗程序、恶意防病毒(Anti-virus, AV)软件等攻击异常活跃。例如，迈克尔·杰克逊去世后，与新闻相关的垃圾邮件和恶意软件数量均有所增长。攻击者立即利用搜索引擎的优势，试图将用户重定向至恶意的AV网站或受感染的Flash视频。此外，这些服务器还通过搜索可成功感染访问者的攻击，扩大了攻击的范围。

　　通过从Web服务器下载的恶意软件和潜在有害程序(Potentially Unwanted Programs, PUP)的类型，我们可以看出，在程序流行程度方面本季度与上季度区别不大。一般PUP占据了通过web下载的程序的很大一部分。

　　图14: 恶意软件和PUP下载流行程度(按类型划分)

　　Web 2.0和Twitter

　　在本季度，随着法航空难、伊朗大选、法拉 ·福西特和迈克尔·杰克逊去世等重大事件的相继发生，人们开始了解到Web 2.0所发挥的重大作用。而问题是Web 2.0是否真的已经成熟。在流行天王去世的消息发布后，Facebook和Twitter都出现过流量暴增的情况。这些活动曾一度使与该新闻事件相关的安全风险难以控制。随着这种新的通信形式在全球范围内的进一步推广，恶意软件作者和网络钓鱼者也会紧跟潮流。

　　社交网站上存在一些明显的安全风险。其中许多风险都与人们不经考虑便运行的大量功能和应用程序有关。这种漫不经心的态度使得各种蠕虫、钓鱼攻击和其他恶意活动有机可乘。例如，许多社交网络工具能够为用户执行各种任务(从监控银行帐户到阻止他人以及对他人隐身)。关键在于，许多此类“工具”要求用户输入用户名和密码。但不幸的是，许多人对于Web 2.0提供的交互式体验感到如此轻松惬意，以至于忘记了在线安全的基本常识。一旦攻击者获得了帐户凭据，他们便可完全拥有受害者好友的访问权限，并可发动各种恶意攻击。这种现象为“友善之火(friendly fire)”一词赋予了新的含义。

　　于2006年问世的Twitter现已风靡全球。它是如今Internet上使用最频繁的应用程序之一，居于Internet流量排行榜第27位(由Alexa排名)。因此，恶意软件、网络钓鱼和诈骗活动迟早都会利用和攻击Twitter及其用户。此外，Twitter已成为企业和消费者经常使用的工具;攻击者可以利用其高曝光度将使用者定向至各种URL。由于用来“喋喋不休”的空间十分有限，许多使空间最大化的方法(特别是TinyURL)广为流行。(TinyURL是一种Web服务，能够将较长的URL替换为较短的别名，而浏览器能够通过此别名重定向至完整的地址。)虽然 、TinyURL是一种非常有用的服务，但用户在尝试访问页面前并不清楚将被重定向到何处。因此，经过掩饰的地址使用户丧失了查看搜索结果和新闻链接时的谨慎态度，而他们只能依靠网关和桌面机的安全措施为其提供保护。

　　四月份，该微型博客平台遭遇了各种JavaScript蠕虫的攻击，这些攻击利用跨站点脚本(Cross-site Scripting, XSS)漏洞来感染其他用户的资料。当Twitter用户资料开始发布鼓励人们访问StalkDaily.com(Twitter的竞争对手之一)的消息时，第一个警报出现了。现年 17岁的Mikeyy Mooney创建了该Twitter克隆网站，并声称对此次攻击负责：“我编写了 XSS的代码，当它自动更新用户的资料和状态时，就充当了蠕虫的角色，之后它会感染查看用户资料的其他用户。坦诚的说，我这样做是因为自己无聊。我平常喜欢查找网站的漏洞，但并不想搞破坏。散布一款蠕虫病毒或其他一些病毒，不但能够使其他开发者意识到存在的问题，而且有利于提高我本人及网站的知名度。”

　　在Twitter宣布已解决此问题的几小时后，另一款类似的蠕虫又侵入了该社区。感染过程与前者相同：查看受感染的用户资料后，蠕虫开始执行并在查看者的资料中注入代码，以传播病毒。第二天又发生了两起攻击，迫使Twitter工作人员删除了10000个传播蠕虫的帐户。

　　几天后，exqSoft Solutions(一家自定义Web应用程序开发公司)的创始人兼CEO Travis Rowland证实，他已聘请Mooney到其公司工作，并且Mooney已接受了这份工作。这一消息令人感到震惊和遗憾，因为编写恶意代码的行为不应起到求职信或推荐信的作用。

　　与此同时，还出现了效仿这些“知名”蠕虫的新病毒变种。

　　Twitter遭到黑客攻击

　　一个黑客宣称已获得Twitter员工帐户的管理访问权限，这已是本年度第二次发生此类事件。

　　四月份，一个化名“黑客克罗尔”的匿名法国黑客在一个法国在线论坛上发布了一些屏幕截图。这些图像明显是在黑客登录到Twitter产品经理Jason Goldman的帐户时抓取的。

　　图15:Twitter遭到黑客获取管理员帐户访问权限的攻击。

　　营销工具还是垃圾邮件发送工具?

　　如果对 Twitter提供的服务在现在和将来的影响力表示怀疑，只需搜索Internet上出现的某些服务即可。

　　图16a、16b和16c：Twitter上到处都是销售机会，然而，他们是在推销还是散布垃圾信息?许多服务都要求用户泄露登录信息，这终究不是一个好方法。

　　Twitter垃圾邮件

　　毫无疑问，垃圾邮件将无处不在。它已将黑手伸向了Twitter。

　　图 17a和 17b：Twitter垃圾邮件将传送类似于上面实例中所示的消息。

　　Twitter成为漏洞研究目标

　　“Apple漏洞月”和“PHP漏洞月”结束一段时间后，定于今年7月举办的“Twitter漏洞月” (Month of Twitter Bugs, MoTB)将如期而至。我们等待着不可避免的跨站点脚本(XSS)和跨站点请求签名(Cross-site Request Forgery, CSRF)漏洞的出现，这些漏洞使Twitter用户处于恶意黑客攻击的危险之中。

　　推出此项目的Raff Aviv在其网站上写道：“每天我都将在twitpwn.com网站上公布一个第三方Twitter服务中的新漏洞。由于这些漏洞可能被攻击者利用来制造针对 Twitter的蠕虫病毒，在公布漏洞之前，我将给第三方服务供应商和Twitter至少24小时的时间来解决漏洞问题。”

　　我们很高兴看到，Twitter能够在外力的推动下去解决潜在的漏洞并降低其广大用户的风险，尽管我们并不认为这种提前24小时的通知是一种负责任的披露。以往的经验告诉我们，如果不安装修补程序，大量使用Web 2.0技术的高流量网站将会被网络黑客所利用。

　　黑客行动主义归来

　　本季度中，Twitter在伊朗大选后的风波中发挥了作用。Twitter用户传播了有关抗议政府的信息。Twitter也成为分发拒绝服务攻击工具和联合攻击一些伊朗新闻站点的渠道。

　　图18：伊朗人利用Twitter向当权者发起抗议。

　　无论政治倾向如何，使用Twitter传播信息和协调行动都显示了社交网络工具(Twitter及一般社交网络工具)的巨大能量。

　　图19：Twitter和其他社交网络工具已形成一股强大的力量。

　　Twitter可能是目前社交网络工具中的宠儿，但它并不是唯一的选择。Facebook仍然是一项受用户和恶意软件编写者欢迎的服务。Avert Labs注意到，以Facebook用户为攻击目标的主要恶意软件Koobface的数量有所增加。(请参见下面的图20。)该恶意软件仍然是我们所追踪的最流行的威胁之一。

　　图20：每月发现的独特Koobface二进制文件。五月的威胁数量大幅上升。

　　网络钓鱼

　　本季度，我们发现采用外语针对外国银行进行网络钓鱼的URL数量有所增加。我们还注意到一些使用不同套件和方法的网站一同建立起来;这些套件是多语言的。例如，我们发现了一个用来生成1784个网络钓鱼网站的套件。该套件的法语版共生成了 214个网络钓鱼网站。在5月28日，我们发现新网络钓鱼URL的数量急剧上升。其中许多URL都分布在各个地区，并且使用不同的套件。

　　图21：每天新发现的网络钓鱼站点。5月28日，网络钓鱼者发起了最猛烈的攻击。

　　美国仍是拥有网络钓鱼站点最多的国家。而某些国家拥有更多“危险”的站点。这和我们每次检测的情况大致相同。

　　图22：网络钓鱼网站的分布。

　　恶意软件：网络犯罪的真实面目

　　在许多方面，网络犯罪已经随计算机以及人们使用计算机的方式一同演变。在计算机和Internet发展的最初阶段，我们就发现了恶意软件和网络犯罪，只是当时我们没有使用这些术语进行定义。病毒攻击了引导扇区，它们是寄生性的，并且主要通过软盘进行传播。诈骗活动和垃圾邮件也是很早以前就已出现，其目的和今天一样，即出售东西。当互联网的使用呈爆炸性增长时，恶意软件和网络犯罪也随着用户行为的变化而不断演变。现在，许多人的生活已经和计算机的使用密切相关。无论是在线支付帐单、撰写博客或与他人在Facebook和Twitter进行交流，人们及其身份数据都是数字的。恶意软件作者和网络犯罪分子完全了解这一发展趋势，并且始终与其同步发展(或者说一切都在其意料之中)。他们目前使用的工具和服务反映了他们对发展趋势的理解，同时，网络犯罪已经逐渐演变成一个服务行业。

　　窃取密码的特洛伊木马程序增长迅速窃取密码的特洛伊木马程序一直是网络罪犯分子青睐的工具之一。在Internet上，用来编写特洛伊木马程序的工具比比皆是，并且有许多网站专门将此类工具作为服务进行出售。它们的功能很简单：窃取密码。正是特洛伊木马程序本身的复杂性使其如此成功。

　　图23：密码窃取恶意软件的增长

　　窃取密码的特洛伊木马程序最常用的感染途径如下：用户打开电子邮件附件，而该附件从恶意网站下载恶意软件。一旦安装了恶意软件后，特洛伊木马程序就会从大量程序中收集用户名和密码，如Internet Explorer、FTP会话和许多在线游戏(包括魔兽世界)。所窃取的身份数据会发送到一台由网络犯罪分子运行的服务器上，然后这些网络犯罪分子以各种方式(包括在网上进行拍卖或批量销售)将其出售给买家。

　　Avert Labs已经注意到这些恶意程序的日益复杂性。它们比以往更加隐秘，并且常常有自我保护机制以确保能够在受侵扰的PC上生存下来。在本质上，这些恶意程序的攻击范围也越来越广泛。在前些年，特洛伊木马程序专门攻击一些组织机构。然而，最近它们已经从许多不同的目标中收集到越来越多的数据，从而大大提高了其有效性。既然能够从各种目标收集数据，何必要将目标局限于银行或游戏呢?

　　图24：窃取密码的主要病毒变种(按名称和季度划分)

　　Zeus

　　这位天神一定极其愤怒。 Zeus(也称为Zbot和WSNPoem)是一个用于编写窃取密码的特洛伊木马程序的生成器应用程序。此程序包括一个基于Web脚本语言PHP的控制面板和一个Windows可执行文件，用以构建恶意软件。生成的文件可以窃取数据和凭据、捕获HTTP和HTTPS流量、抓取屏幕截图、将日志发送到远程位置，并且还可以充当代理服务器。该生成器可以对已经编码的日志进行解密。Zeus用户可以找到各种选项，如漏洞包、高级命令和控制界面。

　　Zeus在这个事件频发的季度中大展拳脚：

　　. 4月 1.2.4.x版本热卖

　　. 其俄罗斯作者增加了针对初学者的服务。(参见图25。)

　　图25: Zeus作者提供了额外的奖励。

　　. Roman Hüssy是瑞士一位21岁的IT专家，他运作的Zeustracker网站上列出了使用Zeus的Internet服务器。Hüssy注意到，那 100000个意外受感染系统大部分位于波兰和西班牙。僵尸主控机使用“毁掉操作系统”的惯用方法断开感染的计算机与Internet的连接。这种竞争者之间的对抗或自愿行为是为了消除踪迹么?两种可能性似乎都说得通。

　　图 26：正在出售的“新鲜” Zeus日志。

　　. ZeuEsta再次现身网络。这项服务的订阅者会收到一个特定的iframe，然后可以将其添加到他们侵入或了解的陷阱网站中。该iframe会将受害者重定向到ZeuEsta网页，以便用恶意软件将其感染。订阅者还可以获得对个人管理面板的受密码保护的访问权限，以便查看日志、网络僵尸和漏洞统计数据以及发出命令等等。通过Liberty Reserve每月支付100美元的费用即可获得ZeuEsta托管服务。

　　图 27：ZeuEsta服务使网络犯罪分子能够轻松从事犯罪活动。

　　将犯罪软件作为一种服务

　　Zeus的案例表明网络犯罪正朝着服务化的方向发展。“如果您有恶意软件，他们就有易受攻击的计算机! ”

　　有些网络犯罪分子会将他人编写的恶意软件安装到他们控制的受侵扰的计算机上。

　　图 28a和 28b：只需支付140美元即可将您的恶意软件安装到1000台计算机上。

　　联邦贸易委员会已经成功惩治了另一个网络犯罪分子。FTC(Federal Trade Commission，联邦贸易委员会)已经关闭了不符合要求的Internet服务提供商Pricewert LLC，该提供商使用许多名称，其中包括 3FN.net、 Triple Fiber Network和APS Communication。该联邦机构指出，这家公司招募、公开支持并积极参与了垃圾邮件、儿童色情及其他有害电子内容的分发活动。在俄勒冈州务卿办公室公司部门网站上搜索时，我们发现Pricewert于2003年9月在波特兰市注册，旗下有两家伯利兹城公司。 FTC在其备忘录中逐项列出了3FN托管的非法内容：恶意僵尸网络软件、儿童色情内容、虚假防病毒产品、非法网上药店以及盗版音乐和软件。10 FTC还介绍了3FN员工利用crutop.nu论坛招揽新客户的情况。通过查询 Alexa.com，我们获知这些网站的主要访问者是俄罗斯人和乌克兰人。

　　图29a和29b：FTC关闭了不符合要求的ISP，其从事的非法活动主要受到了俄罗斯人和乌克兰人的关注。

　　AutoRun恶意软件

　　在Avert Labs每天监测到的恶意软件中，基于USB和闪存的恶意软件(也称作AutoRun恶意软件)仍然是最为流行的系列之一。用户喜欢方便的设备，而恶意软件编写者喜欢用户数据。考虑到AutoRun恶意软件能够感染的设备类型( USB记忆棒、数码相框和更大的存储设备)，还真不能低估其对消费者和企业用户数据的危害。要了解有关AutoRun感染以及如何对其进行防范的详细信息，请阅读报告《基于AutoRun的恶意软件的兴起》，其作者是Avert Labs印度班加罗尔办公室的研究人员。

　　图30：每月发现的独特AutoRun恶意软件二进制文件。

　　在图30中我们可以看到，一些月份中AutoRun恶意软件的新版本增长迅猛。尽管有些起伏，但总体还是呈上升趋势。 AutoRun功能为恶意软件编写者提供了极大的便利。(省去了很多点击操作。)该Windows功能独自使20世纪80年代的手持恶意软件传播模型再次焕发了活力。流行的特洛伊木马程序系列(如PWS-OnlineGames和PWS-Gamania)以前需要用户单击一个可执行文件，而现在可使用AutoRun媒介通过可移动驱动器进行传播。寄生病毒系列(如W32/Sality和W32/Virut)也在集成此感染媒介方面取得了一定的成功。

　　图31：USB寄生病毒 W32/Sality和W32/Virut的增长。

　　我们一直在关注使用AutoRun作为感染媒介的恶意软件的惊人增长速度。下面是反映AutoRun恶意软件猖獗程度的一个示例：下面的图 32显示了迈克菲全球病毒分布图中的数据，该图提供了在使用迈克菲防病毒软件的计算机上检测到的病毒的统计数据。

　　图32：迈克菲的全球病毒分布图将AutoRun恶意软件(此列表中称为Generic!atr)排在首位。

　　上一季度，Conficker蠕虫吸引了媒体的大量关注。但与我们最后报告的AutoRun病毒相比，它便黯然失色。虽然本季度Conficker活动略有增长，但还远不能撼动AutoRun病毒的主导地位。

　　图33：AutoRun感染继续使Conficker蠕虫相形见绌，尽管后者受到媒体广泛关注。

　　本季度中，我们曾在30天内发现了超过2700万受感染的文件中存在AutoRun恶意软件，使其一举成为全球检测到的活动最猖獗的恶意软件。试想一下数百万连接到Internet的计算机以及其他安全供应商检测到的基于AutoRun的威胁，您就会明白问题有多么严重。用于创建此系列绝大部分恶意软件的编译器和打包程序都是现成可用的，而且合法软件生产商往往也使用这些工具。

　　图34a和34b：本季度合法打包程序(上)和编译器(下)的广泛传播使攻击者可以轻松准备用于分发的AutoRun蠕虫。

　　从UPX和 AutoIt(用于创建AutoRun恶意软件)的广泛传播，我们可以得出什么结论?简言之，主要归功于它们都是免费开源的程序。例如，用于创建基于 AutoIt的蠕虫的源代码在 Internet上比比皆是;此外，可以轻松对使用AutoIt 3.2x和更早版本编译的文件进行反编译，以获得原始脚本。这为编写全新及更新的恶意软件版本提供了极大的方便。

　　过去， Microsoft曾通过增强的安全功能解决了许多流行的感染媒介问题，如通过引导扇区、 Office宏、脚本和电子邮件客户端传播病毒的问题。基于 AutoRun的病毒感染日益猖獗， Microsoft如果能在未来的Windows更新中解决这项被恶意利用的便捷功能带来的问题，情况将大有不同。

　　关于 McAfee Avert Labs

　　McAfee Avert Labs是 McAfee Inc.的全球研究团队。Avert Labs对安全有非常全面且深厚的研究，其下的多个研究团队致力于恶意软件、潜在有害程序、主机入侵、网络入侵、移动恶意软件以及各种本地化漏洞的披露。这种广泛的研究还使得迈克菲的研究人员能继续改进安全技术和更好地保护公众。

　　关于迈克菲 (McAfee, Inc.)

　　McAfee, Inc.总部位于美国加利福尼亚州的圣克拉拉，是全球最大的专注于安全技术的公司。迈克菲始终致力于应对全球最严峻的安全挑战。迈克菲提供经实践验证的前瞻性解决方案和服务，保护全球的系统和网络，使用户能够更安全地联网并在Web上浏览及购物。迈克菲凭借屡获殊荣的研究团队，为家庭用户、企业、公共部门以及服务提供商提供创新产品和强大保护，使他们能够遵从法规、保护数据、防范破坏、发现漏洞以及不断监控安全问题和提高安全性。 http://www.mcafee.com/cn。