面对病毒木马的游击战术,杀毒软件和传统杀毒技术的有效性正日渐丧失。
传统的杀毒技术简单来讲就是黑名单查杀技术,也就是说针对黑名单中所列的特征码比对匹配每一个文件,一致的就认为是病毒,不一致就认为是无害的。这种黑名单技术使用至今已有21年了,最早的特征码就是使用病毒的一些特征字串如病毒名等。使用比较普遍的特征码就是病毒传播的特征代码。此后,人工智能、机器学习、启发式扫描、行为检测、HIPS等概念层出不穷,但是病毒的感染则愈演愈烈。江民、金山、瑞星,先后推出2007年年度安全报告,在发布2007年病毒趋势和各自认定的“毒王”及十大病毒的同时,几乎无一例外地自曝,传统杀毒软件技术难以防范新病毒。这种自相矛盾的宣传值得每一个用户深思:到底是杀毒厂商集体俯卧撑?还是江湖郎中式的恐吓式宣传?
其实黑名单查杀技术有一个基本的假设就是杀毒厂商能够掌握所有的病毒样本!有了病毒样本才能分析、制作特征码,有了特征码才能查杀相应的病毒。而这个基本假设的有效性在病毒制造者采用的游击战术下已经开始加速下降。
病毒木马数量空前惊人
病毒木马数量空前惊人,杀毒软件面对的是病毒战争的汪洋大海。据杀毒厂商每年的疫情报告,病毒木马的数量每年的成长惊人!2007年度,金山公司报告查杀了病毒数量接近三十万,瑞星则说新病毒样本收集到超过九十一万,而趋势科技等国际级厂商更是超过百万。按照这些数字不难推算出每天新出现的被厂商查获的病毒木马高达三千多种!病毒木马越杀越多!
病毒样本的收集越来越困难
为了有效感染和窃取用户的私密信息或保密文件,病毒木马越来越多地使用看似合法的程序模块,在用户的机器上通过组装来完成。就如同我们
电影中常看到的,犯罪用的枪支首先被肢解成不易识别的零件,通过不同的途径运送,最后在罪案现场完成组装并实施犯罪。另外,更重要的改变是样本收集的难度。之前的病毒一般都是大规模爆发,所以样本的采集非常容易。而现在病毒木马会主动控制感染的数量在极少的规模,使得杀毒厂商很难收集到这种长尾病毒样本,而且收集成本也急剧上升。据业内专家透露,目前主流厂商大约只能收集到流行病毒木马的三分之一。
攻击者可利用杀毒软件更新时间差作恶
病毒码更新的时间差导致杀毒软件在最危险的病毒木马面前完全没有保护作用。一般厂商从拿到病毒样本到用户更新需要经过样本分析、特征码制作、特征码测试、上传、下载等步骤。这些步骤一般都需要经过两个小时才能保证其质量。结合之前的数据,在这两个小时内大约会出现至少两百多个新的无法查杀的病毒木马。而这还不计入从病毒产生到被厂商发现以天甚至是周来计的时间,并且病毒码是每分钟每秒钟时刻更新(而不是像目前一样厂商更新是一小时或一天)。概括来讲,即使安装了杀毒软件并且每分钟都时刻更新,仍然不能防御最新的也是最具威胁性的数百个病毒木马。墨者安全专家认为:杀毒软件自身也是问题多多。2007年“误杀”绝对是与安全相关的最流行的术语之一,另外,安全软件作为除了操作系统外安装量最大的软件,本身的安全漏洞也是层出不穷。集体做俯卧撑的杀毒杀流氓软件厂商们应该把重点放在如何有效面对病毒的游击战,用更有效的方式为用户的电脑免疫,为用户提供真正的价值;而不是盯着用户的钱包,利用恐吓的宣传对用户威逼利诱