贝壳CEO陈睿：木马比我们想象的狡猾

　　9月21日，前金山软件CTO、金山贝壳安全技术有限公司的CEO陈睿，在金山互联网安全公司召开的云查杀媒体见面会上，就“云查杀”与“云安全”向业内人士分享了自己的观点，并详细介绍了具有“100%云查杀”的新产品《金山贝壳木马专杀》。

　　贝壳安全技术有限公司CEO 陈睿

　　《金山贝壳木马专杀》这一产品在今年6月发布，年底将推出2010新版，是深度整合云查杀、云防御的新一代互联网安全产品。

　　陈睿以从事病毒行业7年来的经验，从多角度分享了目前木马泛滥的原因，深度剖析了反病毒木马领域面临的问题，以下是贝壳安全技术有限公司CEO陈睿在这次媒体见面会上的精彩观点。

　　病毒只是占互联网威胁的3%

　　从08到09年的病毒和木马趋势来看，仍然是一个爆炸式增长的当量，但是病毒比例正在进一步降低，现在病毒只占互联网威胁的3%。这个数字放到五年前，是无法想象的，病毒数量当时要远远多于木马。但是现在病毒仅占了3%的比例，而病毒数量仍然在迅速增长，反映出木马的数量和增长速度远远高于病毒。

　　另外，现在新木马更新的速度越来越快，更新次数也越来越频繁。05年，为了更好的扼杀木马，金山毒霸每天三次升级，病毒库的更新频率在行业内遥遥领先，而到后来一天三次、一天五次、一天十二次，直到每小时一次，面临的情况仍然是跟着木马跑，看谁更新速度更快，但是很明显，木马病毒的更新速度远高于杀毒软件更新频率。所以，单纯靠传统的查杀模式已经出现了问题，而《金山贝壳木马专杀》可以完美的解决这一问题。

　　木马也玩精准投放

　　现在行业里比较流行的一个词是精准广告，而看看眼下木马的越发精准和科学的投放，已经越来越接近广告模式，危害性更大。

　　现在网络威胁大多是挂马，比如在某个网游玩家比较喜欢的论坛，别有用心的人就会想尽一切办法去挂马，因为这个论坛的用户群比较固定，木马也就更直截了当的针对网游玩家和他的帐号。之所以这么干，是因为木马的投入也是有成本的，自然是希望每一个木马都放在能盗号的机器上。

　　目前，利用搜索引擎这种方式投放木马的效率非常高，尤其是那些网游辅助工具，都是网游玩家喜闻乐见的，玩家去搜索引擎搜索这个工具后，却不经意间下载下来一堆木马。所以很多游戏玩家不知道帐号怎么就被盗了，都是跟这些有关系。

　　例如：魔兽。在google搜索一下，出来的的结果中可能就有木马，用户没有辨别直观的能力，《金山贝壳》就针对这个做了一个专题，提醒用户注意。

　　另外木马还会利用邮件和IM进行针对性欺骗。现在木马作者也一样思维比较灵活，过去更多是通过程序去做，而现在可能是雇人人工投放，比如雇人跟你聊天、给你发美女图、我们以为这是机器，其实是真人，而在二级城市雇人的成本是非常低的。

　　免杀是木马的必修课

　　现在在网上搜“免杀”，教免杀的教程比教防木马的都多。而且还有一个趋势：越来越多的专业人士加入木马和木马免杀行列。

　　据了解，目前木马这个行业在技术方面的独立分工已经做的非常成熟，过去做一个木马你可能要独立面对很多问题，如：要能盗号、能架服务端、能升级、能免杀，更甚者要能抢先杀掉杀毒软件。但是现在已经没有了这些问题，因为行业已经有细致的分工，downloader已经不需要你自己做，他可以帮你干很多事，你写木马的人只需要写木马就OK，而且加壳这些都是由更专业的人士提供。

　　木马为了获得生存，发布之前都会在所有的杀毒软件环境下运行一遍，保证不被识别后才可以上市销售，所以免杀已经成为木马的必修课。

　　而针对免杀，所有安全软件都面临着力不从心的严重问题，表现在以下几个方面：

　　1、木马库非常容易突破百兆，如果我们查杀100个木马，特征库就得100个，而且还不够。

　　2、跟木马拼更新也不够，因为它比较小，也没有什么测试，而杀毒软件就面临着会不会出Bug的问题。

　　3、样本太多，无法精细分析，包括误报和漏报都很严重，为什么会这样?还是样本太多，分析比较难。

　　4、样本无法及时获取，对新木马的响应速度慢，一个木马盗号只需要十几秒钟，但是一个木马从取得样本到变成用户机器上可以更新的病毒库，时间却很长。

　　所以当一个新木马出现的时候，就很容易出现一些受害者，而安全软件对于新木马的识别是不大靠谱的，因为所有新木马在推出之前，都会用现在市面上流行的安全软件进行扫描，如果扫出来他们就再改，改到你扫不出来为止，尽力的追求免杀的效果。所以虽然所有安全软件都做了通杀，虚拟机等功能，但是都用不上。

　　比如说一个木马加了一个壳，这个壳很奇怪，我们认为加壳的大部分不是好东西，我们就报这个壳，然后木马就换一个壳，结果用了这个壳的正常软件就给误报了。最后发现相当于你端着枪走进人群打坏人，坏人没打着，伤着好人了。

　　敌暗我明，主动防御敌不过免杀

　　卡巴8.0主动防御出来时，对木马非常有效，正式发布以后，发现越来越不像想象中那么好了。原因就是敌暗我明，相当于你摆一个靶子，敌人一个月就可以把你轻松攻破，但是杀毒软件又不可能一个月换一个杀毒方案，这就是问题。

　　所以安全软件继续目前的技术框架，面临情况只有两个字，被动。主要原因有以下几个方面：

　　第一、木马对于互联网的理解领先于安全软件。其实病毒和木马一贯是先驱者，像当年蠕虫传播的时候，他们是非常有互联网思想的，后来就把这种方式，我们称之为病毒行销。没有互联网的时候，当贼的都是比较低调的，因为他知道，一旦被你发现，你很容易把它杀掉，安全本质上是对抗战，攻防战。

　　第二、主动防御类似于马奇诺防线。例如：保险箱的尴尬。07年的时候，金山毒霸、360、瑞星基本上同时推出了类似保险箱的产品，这个产品每家厂商都是经过半年以上的研发，而且技术都是不错的，但是到现在，保险箱一点用没有，因为现在所有木马都可以登陆保险箱，这是非常讽刺的。所以说，具体技术也好，主动防御也好，都类似于马奇诺防线，他非要绕过你，那怕在地上挖个洞都要吃定你。

　　第三、传统鉴定手段能不能满足现在吞吐量的要求。目前对木马的判断，基本上都是每天识别几百个木马，加入一天100个，一年也就三万个，和木马的增长速度比起来不值一提。

　　第四、为什么那么占资源呢?因为它复杂。现在的杀毒软件跟五年的杀毒软件复杂度完全不一样的，因为它面临的问题要多的多。对于木马来说，成本比较低，被杀了是应该的，躲过了则是万幸;而对于用户来说，杀毒软件保护了你再多次，但是只要中了一个毒，用户还是说你这个不行那个不行，所以我们尽量做的完善，占用更多的资源也是无奈之举。