警告：傀儡软件为防侦测和删除可能被加密

　　作者：王飞

　　【eNet硅谷动力消息】美国东部时间11月14日(北京时间11月15日)消息：业内安全专家在星期一预测说，网络罪犯们为了保持对攻破的电脑的控制权，将把他们的恶意软件加密以防止那些恶意软件被杀毒软件侦测和删除。

　　国际科学研究学会(SRA International)的信息保全工程师Adam Meyers在计算机安全学会(Computer Security Institute)会议上称，在不久的将来，恶意软件将利用加密技术将自己隐藏起来以免被各种安全扫描软件和网络扫描软件侦测出来。

　　Meyers说：“我们即将进入加密时代，这些恶意软件进行加密之后，我们在侦测和调查傀儡网络时就非常困难了。”

　　傀儡软件一旦安装到某台计算机中，它一般会连接到因特网中继交谈(Internet Relay Chat)来接听命令。因此，安全软件公司通常可以通过IRC数据流量来检查电脑中是否存在傀儡软件，侵入窃密检测(intrusion detection，IDS)和协议分析器(protocol analyzers)都可以通过这种方式侦测出傀儡软件。

　　Meyers说：“傀儡软件制造者将设法躲过侵入窃密检测软件和Ethereal等协议分析器的检查，他们会设法将傀儡软件工作的过程变得更加迷惑不清。 这是一个不断交替发展的过程。安全保密方面又将花费很长的时间来研究开发新技术以应对加密的傀儡软件。”

　　傀儡软件问题是一种严重的计算机安全问题，目前的法律制裁仅仅是追到与其同步的水平。在本月早一些时候，当局宣布首次在美国实施了与傀儡软件问题相关的逮捕行动。10月，荷兰警方称三名涉嫌劫持了150万台电脑的犯罪嫌疑人已经被捕。

　　如果某台电脑在浏览了恶意网站或者被木马攻击之后被安装了傀儡软件，那么它就被称作一个“傀儡(zombie)”。由许多“傀儡”组成的网络就被称为“傀儡网络(botnet)”。 攻击者们可以通过远程发送指令的方式控制傀儡电脑，而傀儡电脑的用户还不知道发生了什么事。

　　傀儡网络建成之后，其所有者通常会将傀儡网络出租出去，用来传播垃圾电子邮件和通过实施钓鱼式攻击来窃取用户的敏感个人资料并进行诈骗。这些傀儡网络的所有人通常被称作“傀儡牧羊人”。傀儡网络还可能被用于勒索，网络罪犯们可能会以威胁的方式向在线服务商勒索钱财，否则就将向服务商的网站发起拒绝服务式攻击。

　　据Meyers称，傀儡软件制作者可以利用多种加密技术对傀儡软件进行加密，包括SSH、SSL、ROT-13以及另一种带版权的技术。 他说，要制造出这样一种加密过的傀儡软件要比制造出现在的这种傀儡软件要困难一些，但是也更有价值一些。

　　Meyers说：“他们确保傀儡软件安装以后工作的时间越长，得到的好处就越大，他们赚的钱就越多。”