小张每日都会上网看股票行情、小李喜欢打网上联机游戏、小美三不五时都会在淘宝买衣服，他们有个共同的特色：都是喜欢网络交流的白领一族，也就是目前企业网络威胁的最大来源：Web 恶意程序的”幕”后推手。中秋节与七夕情人节相继到来，你担心员工利用网络购礼物时被暗中入侵吗？打算用别致礼物给朋友和家人惊喜的人，在你利用网络搜寻比价的同时，当心有钓鱼网站利用你入侵，上周趋势科技已经侦测出相关病毒。

　　网关失守 9成以上病毒直达客户端

　　趋势科技指出，96%的病毒都是在“客户端”这道安全最后防线才被发现，突显出企业在网关端监管的不足和员工安全意识的缺乏，尤其是在今天日益泛滥的 Web 威胁环境中，更是在“不知不觉”中鼠标一点，打开企业网络大门迎接黑客卧底。

　　趋势科技安全专家蔡昇钦教授归纳目前web威胁病毒的特性如下：

　　40%的病毒会自我加密或采用特殊程序压缩

　　平均病毒档案大小为71Kbytes

　　90%的病毒以HTTP为传播途径

　　60%的病毒以SMTP为传播途径

　　皆与病毒自动下载器 (Downloader) 行为有关

　　50%的病毒会利用开机自动执行或自动连上恶意网站下载病毒皆会产生其它病毒档案 (Drop File)

    通常造成使用者应用程序或操作系统运作不正常，以及邮件服务器繁忙或网络流量增加

　　新一代僵尸程序利用Web 繁衍 鼠标一点即中毒

　　近来僵尸程序已跨入 Web 繁衍的时代。僵尸程序主控者指挥他们的僵尸程序搜寻应用程序与 Web 浏览器的安全弱点，伺机入侵计算机系统。受害的通常都是未定期更新或修补系统中的应用程序与浏览器的使用者。一旦成功利用这些弱点，僵尸程序主控者便会在遭入侵的浏览器所存取的网页中插入一小段 HTML 程序代码。当其它使用者浏览并按下内含恶意 HTML 程序代码的网页时，通常就会将僵尸程序下载至他们的系统中而自己还浑然未觉。这种方法称为”路过式下载 (drive-by download)”。被植入僵尸程序的计算机可能会受到僵尸程序主控者控制，用以窃取信息、散发垃圾邮件、安装其它恶意档案，甚至发动服务阻断 (DoS) 攻击等。

　　在Google最近发表的一份标题为 The Ghost in the Browser (浏览器中的魅影) 的技术白皮书中，研究人员强调，新一代的僵尸程序，需要使用者的反馈与互动才能成功繁衍，最常见的就是点按鼠标。

　　趋势科技安全专家蔡昇钦教授说：”如果网关端有防御机制，比如不让员工接触危险网页、隔离未修补漏洞的计算机等等安全机制，就像海关人员在毒贩贩毒入境前，即限制入境，那么就可以做到零接触、零感染、零威胁。”

　　零接触 零感染 零威胁 趋势科技实时网页信誉评等安全机制WRS

　　想要利用网络搜索并买中秋节月饼的小明，进入登录页面时，忽然跳出网页遭封锁的警告窗口，这是 OfficeScan网页信誉评级服务拦截到恶意链接所发出的讯息。恶意链接除了窃取身份证号、股票帐号等个人数据外，还有可能连结到僵尸网络下载病毒下载器（Downloader），随时更新病毒，进一步的窃取企业机密。

　　如果你没有开浏览器，却一直跳出拦截到恶意链接警告窗口，可别怀疑这个背后超过150部在线服务服务器，横跨美国、欧洲、亚太四个资料中心的网页信誉评级服务出乱子了，那可表示你可能被植入后门程序，且被暗中装入病毒下载器，它会透过 HTTP 到各僵尸网络下载各种变种病毒， OfficeScan 发现背景正执行恶意链接，已经帮你中断链接，这就是趋势科技新近推出的桌上型安全方案OfficeScan 8.0，这是第一个具备网站信誉技术的企业解决方案，也是第一个获得 Microsoft ® Windows® Vista™ 认证的桌上型安全方案。

　　WRS 不同于“有害网站”的黑名单对比

　　以定期更新“已知网址黑名单”为主的静态网址过滤技术， 并无法迅速辨识可能透过 XSS、XSRF、Syndication 或其它方式将病毒散播至一般正常网站的手法，针对“网站信誉”检查必须配合网址过滤数据库来进行，然而每天新增将近 5000 个网域意味着必须采取额外的措施来辅助这个重要组件。在这种情况下，唯有针对网站信誉采取更周全的稽查才能有效辨识恶意网站。

　　趋势科技安全专家蔡昇钦表示：“强大的 AJAX 程序代码加上能发布在任何网站的自由弹性，使得 Web 1.0 时代合法网站与恶意网站之间的界限越来越模糊。WRS 在 In-the-Cloud (互联网网关外) 层级进行合法性评估。这个先进的网站信誉评级服务并不是假定目前存在固定数量的”有害网站”，而是动态汇集、监视以及评估一份完整的注册网域名称清单，这份清单储存在趋势科技的信誉数据库，目前所含的资料已超过 3 亿笔。

　　WRS 技术会依据这份网站名称清单，针对检查网域名称注册人信息 (注册 IP 地址时必须提供的公开信息) 作检查，以确认网站的合法性。在监控如网站注册人与网站主机位置等信息一段时间之后，便能产生有关特定网域可靠性的参考信息。举例来说，经常变换位置可能是网站安全性不高的重要指标，因为网络罪犯会频频变更 IP 地址的实体位置以躲避侦测。此外，新网站如果吸引异常高数量的点击率也会触发红色警戒，因为这可能是病毒产生的流量传输至特定网站的迹象。其它指标如地理位置，也能作为特定网站的可靠性或合法性的参考信息，并且应在评估网站信誉时纳入考虑。当然，确认网站的信誉还包括参考其它已知网络钓鱼、网站嫁接以及其它恶意网址的数据库来检查网站。