恶意软件与反恶意软件二十年恩怨情仇

　　作者: 陈将, 　出处:IT专家网,　责任编辑: 张帅,　 2008-05-22 10:04

　　恶意软件和反恶意软件一直是互联网中相互促进又相互敌对的产物，从1988年第一个蠕虫的出现，到现在低调却更加带有目的性的木马病毒等恶意软禁，一场没有硝烟的战斗仍在继续。

　　【IT专家网独家】1988年，江湖上出现了一种叫做Morris蠕虫的程序，一时间兴风作浪，引起了网络界的恐慌。事后的调查表明，这种病毒并不是恶意攻击。这个程序的复制速度如此之快以至于在短时间之内破坏了那时还处于起步阶段的因特网。它的发明者Robert Morris Jr.当时也不是想故意攻击因特网，只是想知道联网的计算机的数量而已。

　　然而，20年之后，情形却发生了很大的变化。黑客更多的使用恶意程序出于不可告人的动机。这些人不仅仅是为了向世人炫耀其计算机能力，更重要的是借此获利。我们称之为拜金黑客。

　　这个世界似乎总是相对的，应运而生的是反恶意软件程序。从此网络世界似乎陷入了一场无尽的纷争，斗的不可开交，江湖不再安宁。以目前的情况看，好像是道高一尺魔高一丈。恶意软件正以超出我们想象的速度发展。

　　互联网的角落，挑衅者正在……：

　　也许恶意软件这个词根本不足以表达当前网络威胁的内涵。以前，病毒、蠕虫都擅长打游击战。它们进入计算机，感染文件，然后就被清除了。现在，病毒程序往往是在你不注意的时候静静地躲在你的系统中，并不是要破坏你的计算机或是文件。也不像臭名昭著的“我爱你”( ILOVEYOU)病毒一样大的危害，这一病毒在2000年破坏了数不清的Windows操作系统。

　　它们真的是这么善良吗?不，你错了。它们只是伺机而动，获取重要的密码或是信用卡帐号，或是把你的计算机变成垃圾邮件生成器，破坏你的用户和数据，而不是计算机本身。你甚至都不可能是主要目标。江湖上甚嚣尘上的谣言说，恶意软件其实不是网络犯罪集团的行为，而是恐怖分子或政府组织的行为。但是没有确凿的证据。

　　Melissa、ILOVEYOU 和Sasser恶意程序都曾造成了很大的损失。但是用户可以采取简单的措施防范感染恶意软件。譬如，不要打开使用邮件发送的可执行文件附件；不要使用漏洞百出的outlook。还有，使用实时更新的检测程序也可以降低感染的风险。

　　这些威胁任然萦绕在我们身边。譬如，以明信片形式传播的木马病毒，以社会热点新闻为题的邮件。还有一些用户不顾警告，喜欢点击网站上的不明浮动窗口。

　　但是真正的问题在于现有的侦查方法还不足以应对21世纪的恶意软件。过去他们使用的是以邮件附件，移动媒介作为传播方式。而现在恶意软件更多的是发生在你访问受到威胁的网站，一般包含有跨站脚本攻击或是没有防备的社会网络被人利用隐藏跨站请求伪装攻击。你以为自己是在访问目标网站，实际上你已经遭到攻击，最新的攻击代码已经注入到你的电脑中。

　　还有另外一个问题，被人们普遍认为安全的Macintosh电脑的操作系统也被黑客发现有很多漏洞，与此同时，windows的Vista也是漏洞百出。下一步呢?大多数的研究人员预测，下一个攻击目标就是移动电话用户。即将大规模爆发。

　　防御小组正在行动

　　根据赛门铁克公司的报告，2007年大概有70%的攻击被检测到。可以预计2008年我们将做的更好。有专家预计说，2009年病毒和木马的数量将达到1百万数量级。这些新生病毒将更难被检测到，这将给杀毒专家提出更高的要求，不仅要面临正在出现的病毒，还要与将要出现的病毒作斗争。

　　过去，杀毒软件只需要检测到病毒的简单样本，然后确定入侵者，将其送到天国就ok了。那只是以前的情况，时代变了。现在的恶意软件都很多变。它们时刻变化这样杀毒软件就难以识别它们的样本了。还有一个值得关注的趋势就是，这些恶意程序利用服务器端的变异，也就是在感染你的机器之前它们就已经实现变异，因此你的杀毒软件甚至难以发现这些程序携带了变异工具。

　　另外一个常见的恶意软件欺骗技巧就是隐藏在打包程序中。在你解压缩文件之后，在适当的时候，这些漏洞就会从文件中跳出来伤害你的电脑。还有的使用加密技术，基于脚本的攻击或是迷惑战术。

　　杀毒软件专家不断的分析新老病毒的各式各样的特征。你可能会想，这很困难。确实是这样。一些杀毒软件公司全天候的监视新的病毒特征升级你的杀毒库。

　　一个更现代和有效的处理恶意软件的方法就是不去管恶意程序长的什么样，而是去关注它们能做什么，这种技术叫做启发式杀毒技术。这个词本身的希腊文意思是“单凭经验的方法”。这种方法正如人脑的意识一样，是创造性和常识的结合体。在杀毒软件的大脑中，它强调更多的是行为准则而不是简单的形式匹配。

　　譬如，你的杀毒软件的扫描仪可能会发现有一款可疑的程序可以在未经用户允许的情况下打开outlook和Gmail邮箱收件人。扫描仪可能会自我分析，虽然这看起来不是太好，但却是正常的。

　　另外一个方法就是将可疑的程序放到虚拟的空间中这样来保护系统的其它部分。这叫做沙箱—继续工作，观察即将发生的事情。如果这些程序尝试在你的金融信息文件夹中捣鬼的话，我们就知道它们不是什么好东西了。有一些程序默认这一功能，有些需要管理人员自己设置。