3.常用应用软件超出了IT的控制范围

　　研究专家们还发现对僵尸网络抵御能力最弱的是人们用在公司计算机上的应用软件，这些应用软件经常超出了IT的控制范围。他们使用这些应用软件到处传递各种敏感数据，包括医疗记录，财务数据等等。

　　安全厂商Palo Alto Networks最近发布的2009年度春季应用软件使用和风险报告分析了超过60个大型企业的企业级应用软件的使用和流量，这些企业的类型涵盖金融服务，制造业，卫生保健，政府机构，零售和教育部门。从2008年8月到12月的评估描述了将近90万用户的行为。研究成果包括：

　　在494种应用软件中有超过一半(57%)的应用软件会绕过安全体系架构--会使用端到端，端口80或端口443。这些应用程序的某些代表包括微软的SharePoint, Microsoft Groove和一系列软件升级服务(Microsoft Update, Apple Update, Adobe Update)，以及Pandora和Yoics这样的最终用户应用软件。

　　不被企业IT认可(CGIProxy, PHProxy, Hopster)的代理服务器和远程桌面系统访问通道应用软件(LogMeIn!, RDP, PCAnywhere)也在调研中被发现，比例分别为81%和95%。调研中还发现了诸如SH, TOR, GPass, Gbridge, and SwIPe这样的加密通道应用软件。

　　P2P结构所占的比例为92%，BitTorrent和Gnutella是所发现的最常用的21种变种中的一份子。以浏览器为基础的文件共享中，YouSendit就占到了76%。MediaFire是22种变种中最常见的。

　　据报告称，总的来说企业在防火墙，入侵检测系统，代理和URL过滤产品上的支出每年超过了60亿美元。这些产品都号称能执行应用程序控制。分析显示100%的企业都设置了防火墙，87%的企业还配置了1种或多种防火墙辅助工具(代理，入侵检测系统，URL过滤)--但是仍然不能对通过网络的应用软件流量执行有效控制。

　　因此木马病毒的制造者能相对容易的利用应用软件，包括建立僵尸网络。

　　4.社交网络扩大了攻击面

　　Facebook, Twitter和Myspace这样的社交网络的使用率日渐增高，他们很容易被黑客利用，企业IT部门也很难对其进行监控。

　　举例来说，今年2月在华盛顿特区举行的ShmooCon安全大会上，研究专家Nathan Hamiel和Shawn Moyer表示，在社交网络上用户可以轻而易举的上传和交换图片，文本，音乐和其他内容，黑客就是利用这些网站的自然属性来轻松发动攻击。

　　在针对这些程序的攻击中，黑客利用社交网络欺骗用户点击开放式链接，然后将木马植入用户的计算机，用户的计算机就这样成为这些黑客僵尸网络中的肉鸡。

　　对用户的培训仍然是关键的防御手段

　　亚特兰大的安全厂商Damballa, Inc.研究副总裁Gunter Ollmann表示，近年来企业IT部门在侦测制破坏性后果的不知名木马病毒方面取得了不错的效果。近两年，IT部门配置了大范围的侦测和防御技术，每个防御层都能更好的抵御某种攻击。

　　但Ollmann也强调说"风险越常见，保护措施效果就会越好，但是这些坏家伙也非常清楚这些防御措施的工作原理，因此他们使用的手段也更加狡猾，比如目标型社交工程攻击。使用入侵检测系统和AV代理在发现已知木马上占到很高比例"。

　　Ollmann和其他专家都提供了同样的建议：由于攻击者在利用社交工程伎俩上如此的成功，他们以虚假的大标题来诱骗用户带你及恶意链接--对此最好的防御方式之一就是对这些用户进行培训。

　　专家称，调研显示有防范意识的用户每次上线时，被诱骗下载制造僵尸代码的可能性就会比较小。