中国IT实验室11月30日 消息:近日,在“2008反病毒技术发展趋势研讨会”上,金山毒霸技术总监陈睿向记者表示,“木马已经成为现代网络安全的主要威胁,但由于目前多数杀毒厂商仍使用反病毒的成熟技术来反木马,导致木马的清除难度是传统电脑病毒的数倍。”
陈睿指出,为什么现在很多用户仍然抱怨病毒杀不掉,因为用户并不明白,并非病毒杀不掉,而是木马杀不掉,或者是流氓软件清理不干净。陈睿表示,对木马的防御技术现在远远不如反病毒技术成熟。其实任何工作都是这样做,一个新的需求出现后,一般先采用成熟的技术进行应对,现在木马正处于这样一个阶段,现在所有厂商试图用反病毒成熟技术查杀脱壳木马,它对于木马的效果远远不如病毒。陈睿从三个方面剖析了木马为何比病毒更难清除:
第一、特征码对木马作用非常小
因为木马传播是手工投放,手工投放会经常改程序,强调的是小范围多次入侵。今天投放完了以后,明天可以把程序改一改再投放,特征码作为一种静态识别技术对于改程序适应面很窄。
第二、启发式搜索对木马作用也不大
因为它更多是基于人工智能分类,举个例子,虽然不知道你是不是病毒,他觉得你像,为什么觉得你像,是类似于推理觉得像,基于过去对病毒数据的分析,这个就要求我们查杀对象技术具有相似性,但是木马没有固定的技术特点,因为木马的共性主要是在社会工程学,它欺骗伪装,这些都不能用一个很固定的技术特点来界定,所以启发式搜索对木马识别率较低。
第三、给我们造成巨大困扰的就是木马作者很“勤奋”
因为他们有巨大的商业利益驱动,一个木马传播一次收回来十几万,再传播一次就二十万,所以木马的更新非常快。“犯罪的利润要比抓贼的利润高”。
随着互联网应用的发展木马的比例越来越高,但是反病毒厂商对木马的防御能力一直在徘徊中前进,随着木马的发展和木马的比例包括木马对用户的危害越来越高,各大杀毒厂商均推出了以“防御”为主的解决方案。
以金山毒霸为例,金山毒霸2008在原有数据流杀毒的基础上,提出了全新的“病毒库+主动防御+互联网可信认证技术”为一体的“三维互联网防御体系”,即在病毒库和主动防御的基础上,采用了全新的“互联网可信认证”技术,近而大大提高了对未知木马病毒防御能力。
陈睿指出,在现有技术水平下要提升木马的防御能力只能提高两个关键点,第一个是特征码的识别率,第二个是如何减少恶意识别对用户的骚扰,尽可能做到自动判定。金山毒霸2008提出的“三维互联网防御体系”即在“病毒库+主动防御”的基础上,增加了“可信认证技术”,当用户的系统遇到无法准确判断其性质的可疑行为时,即链接金山毒霸的服务器,通过“毒霸互联网可信认证中心”瞬间即可完成判断以及后续的处理工作,大大提高了对木马的识别能力,因而一方面避免了对普通用户的困扰,又能够有效地堵塞安全漏洞,进而增强对木马的查杀能力,也提升了对未知木马病毒的响应速度。
而作为金山毒霸的“互联网可信认证中心”,首先通过“网络蜘蛛”的技术,将互联网上每秒钟内刚生成的可执行文件全部“抓”回来,然后通过自动以及人工的分析,以秒为单位对服务端的可信认证中心及病毒库进行刷新;一旦在客户端遇到可疑行为,依据特征码不能够判定的,马上链接至服务端进行判定。这样一来不但提升了杀毒软件对新病毒的响应速度,而且也增强了杀毒软件的查杀病毒的能力,可以说是一举两得。
