基于獨家ASIC芯片加速技術，引領統一威脅管理(Unified Threat Management)領域的開拓者和市場領導者Fortinet(飛塔)公司，日前公布其FortiGate安全管理工具在2006年六月截獲的病毒威脅排名，大部分的病毒排名都在意料中(如Netsky.P，Grew.A以及臭名昭著的BetterInternet adware)但還是有兩種新發現的病毒擠入前十排名:W32/BagleZip.GL@mm和W32/BagleZip.FY@mm，尤其后者來勢洶洶，似乎是針對防病毒探測有備而來的，應格外謹慎關注。

　　依據Fortinet公司六月份的統計數字，FortiGate截獲的前十位病毒威脅排名依次為:依次為:W32/Netsky.P@mm(10 %)，HTML/Iframe_CID!exploit(9 %)，W32/Bagle.DY@mm(8 %)，W32/Grew.A!worm(7 %)，Adware/BetterInternet(5 %)，HTML/BankFraud.E!phish(4 %)，W32/BagleZip.GL@mm(3 %)，W32/BagleZip.FY@mm(2 %)，W32/MyTob.fam@mm(2 %)，Adware/ZangoSA(2 %)。

　　隱藏在zip文件背后中的Bagles病毒

　　Fortinet威脅響應小組從六月中旬開始已經多次做過關于新的Bagle病毒要爆發的報道(包括Bagle.FY, GL and GM病毒)。通常病毒爆發會發生在月初，然而，有趣的是此次Bagles病毒的習性稍微有些不同。EMEA應急響應智囊團負責人Guillaume Lovet指出:新出現的Bagles病毒是以一種密碼保護的zip文件方式出現在用戶的郵箱中，這樣通過防病毒郵件網關方式時，可以有效的防止文件自動解壓縮。密碼保護惡意文件的原理是:除非加密文件能夠被破解(該情況并不適用于zip標準加密文件)，否則防病毒掃描器探測不到(也掃描不到)加密文件的內部。

　　此外，Lovet還談到，密碼是保存在消息體內的一個附加圖片中;這主要是以防萬一防病毒公司的探測器通過分析消息體，自動的定向提取密碼。這樣密碼雖然被保護了，但是卻同樣容易自動被破解。另外，zip文檔不僅包含惡意軟件本身，還包括一個由隨機代碼組成的dll文件，因此該zip文檔不同于其他惡意軟件復制的例子。實際上，這完全取決于病毒有效的多態性，此外實現起來幾乎毫不費力:不同于以前的病毒復制，只是在dll文件中填充隨機垃圾代碼，并將最終改變生成的加密文檔。這樣有了不同于尋常蠕蟲病毒的加密機制，該隨機產生的dll文件只要調用一下zip庫就很容易生成實現了。

　　這可以看成是寄生蟲病毒的多態性，因為病毒主要利用了“主機”的資源來實現多態性的復制，而并非利用其自身的多態性加密機制。這樣使用圖形文件為加密的關鍵，而沒有藏在惡意軟件本身，病毒制造者可能會認為他們已經成功地瓦解了防病毒公司的防范。但事實并非如此，原因是zip加密技術的某些特征，使得掃描器能夠不破壞加密技術本身而識破這之間的混亂。一句話，防病毒公司卻始終保持著自身的優勢。

　　Fortinet病毒研究員也談到:若給出了加密zip文件的密碼，那么計算機用戶想要打開附帶密碼保護的zip文件的可能性將會高于一般的zip文件。此外，隨著郵件群發式病毒的發展趨勢，在未來的一段時間內，該系列病毒將會出現新的變數，值得留意。