围剿病毒的终极方法–杀毒人民战争

日期: 2008-06-24 来源:TechTarget中国

  2007年病毒量大概比2006年增长了近30倍,接近30万种,其中70%是恶意木马程序,每天感染的用户接近100万。


  由于计算机软件的脆弱性与互联网的开放性,我们将与病毒长久共存。


  而且,病毒主要朝着能更好地隐蔽自己并对抗反病毒手段的方向发展。同时,病毒正在被某些人利用,并与其他功能相结合进行有目的的活动。


  病毒的花样不断翻新,编程手段越来越高,防不胜防。特别是Internet的广泛应用,促进了病毒的空前活跃,网络蠕虫病毒传播更快更广,Windows病毒更加复杂,带有黑客性质的病毒和特洛伊木马等有害代码大量涌现。


  计算机是人类发明的,计算机病毒也是人类制造的,人类在方便自己的同时,也在攻击着人类自己。


  与此同时,对各类病毒的“追杀”也从来没有停止过。


  病毒源起


  20世纪60年代初,美国贝尔实验室里,三个年轻的程序员编写了一个名为“磁芯大战”的游戏,游戏中通过复制自身来摆脱对方的控制,这就是所谓“病毒”的第一个雏形。


  20世纪70年代,美国作家雷恩在其出版的《P1的青春》一书中,构思了一种能够自我复制的计算机程序,并第一次称之为“计算机病毒”。


  1983年11月,在国际计算机安全学术研讨会上,美国计算机专家首次将病毒程序在VAX/750计算机上进行了实验,世界上第一个计算机病毒就这样出生在实验室中。


  20世纪80年代后期,巴基斯坦有两个以编软件为生的兄弟,他们为了打击那些盗版软件的使用者,设计出了一个名为“巴基斯坦智囊”的病毒,该病毒只传染软盘引导。这就是世界上流行的第一个真正的病毒。


  而如今,对计算机病毒的制造与应用已到了一个“全新的阶段”。


  以木马为例,有相当多的黑客利用的是攻击系统漏洞的方式。黑客们现在已经不喜欢在网站上挂木马,在他们看来这种行为太小儿科了,他们已经发明出了各种各样更高级的批量抓“肉鸡”的方式,也就是在互联网上扫描存在漏洞的机器,加以远程控制,速度可以达到一小时抓几万台。


  在中国,计算机用户的安全意识都不够强,由于大量使用盗版软件,安全漏洞非常多。在这种情况下,用户的机器很容易变成“肉鸡”。变成“肉鸡”后,就有可能被境内的一些黑客集团利用,也有可能被境外的利益集团利用。


  黑客异化


  若干年前,一提到黑客,人们脑海里联想起的是“痴迷于技术,戴着啤酒瓶一般厚眼镜的狂人”,或者“自由出没于美国五角大楼网络的幽灵”。


  不管怎样,黑客最初的含义只关乎技术,偶尔流传出的“恶作剧”程序也往往是出于对技术执著的崇拜。


  即便是到了上世纪90年代,席卷全球的“CIH病毒”始作俑者——台湾大学生陈盈豪的“作案”动机也“单纯得可爱”,仅仅是为了让一款在广告上吹嘘“百分百防毒”的杀毒软件出洋相。


  而在中国大陆,“黑客”一词一再被异化,最先是与“中国红客联盟”等组织捆绑在一起的“爱国精神”,然后是商业利益,到现在则几乎成了网络“偷窃”、“抢劫”的代名词。


  回顾近年来爆发的众多恶意程序,从“熊猫烧香”到“灰鸽子”,从“AV终结者”到“机器狗”,从“网络窃贼”到“磁碟机”,没有一个不是直接冲着攫取暴利而来。“熊猫烧香”贩卖者王磊在落网时曾哀叹:“这是个比房地产来钱还快的暴利产业。”据说去年底某程序员光是靠出售其发现的微软“ANI光标漏洞”就获利800万元。


  拿弹弓打邻居家玻璃的顽童已经不在了,现在当“黑客”纯粹是个敛财的门路。利益的驱动正是这个黑色产业能持续并日益壮大的最大原动力。


  木马屠城


  “黑客”内涵沦落的同时,以往流行的以破坏系统为目的的蠕虫等病毒,由于没有“钱途”而乏人问津,取而代之的是以获取利益为动机的木马的肆虐。


  据统计,2007年病毒量大概比2006年增长了近30倍,接近30万种,其中70%是恶意的木马程序,每天感染的用户接近100万。


  或许在大多数人看来,木马也是一种病毒,实际上木马并不完全具备病毒的复制传播、潜伏、感染文件等特征。但木马对电脑用户的侵害比病毒更甚,并且黑手直接伸向用户的“腰包”。


  木马程序之所以肆虐,还与它在传播渠道上的“革新”有着必然联系。以前木马主要通过系统漏洞、植入网页、捆绑软件等途径进行传播,而现在,传播木马者瞄上了第三方软件漏洞,目前最流行的迅雷、暴风影音等软件几乎无一幸免。这些软件动辄拥有数千万用户,给木马肆虐提供了最佳渠道,而用户对此往往毫不知情。


  除此之外,木马传播者还渗透到了U盘的生产线上,在U盘出厂之前就把木马植入了U盘的AUTORUN程序中,用户一旦插入U盘,即便不进行任何操作,都会“中招”,同样,盗版光盘也成为植入的目标。更有甚者,一些木马制造者发起针对局域网的攻击,把中了木马的机器伪装成局域网中的服务器,然后再向局域网中的电脑成员发送木马……


  正邪失衡


  当金钱成为互联网安全危害者的惟一信仰,一切就变得复杂起来——自古以来,凡是有利益的地方,纷争就不会休止。而在这场正义与邪恶的较量中,永远不会有最后的赢家。种种迹象表明:随着互联网安全形势的嬗变,邪恶的一方似乎正占据上风。


  2007年初,“熊猫烧香”袭来,短短三个月时间,数百万台电脑被侵入,尽管其设计者已经身陷牢狱,但其变种依然没有绝迹。最近湖北警方更透露,对“熊猫烧香”相关嫌疑人的抓捕还在持续。


  还是2007年,“灰鸽子”开始肆虐,感染电脑上百万台,在经过多家杀毒厂商的联合剿杀后曾一度停止开发,但没过多久,“灰鸽子”重新低调开张。


  而进入2008年,最新爆发的“磁碟机”木马更是几乎让所有杀毒软件“集体失语”,凡是感染者均会自动将杀毒软件强行关闭,当用户试图进入安全模式时,会造成蓝屏。这次对杀毒厂商的“集体检阅”让正邪势力的天平倾斜。


  由于木马制作技术的门槛大幅度降低,单个木马变种数量开始暴增。一个熟练的杀毒工程师每天可以分析40~50个样本,而现在每天出现在网络上的病毒样本平均多达3000~4000个。敌我之间的力量对比太过悬殊,杀毒厂商疲于奔命。


  一份安全报告指出,如果不能从根本上解决问题,这种对比悬殊可能产生两个后果:1.传统的样本采集渠道不堪重负,在短时间内收集不到必需的样本;2.受限于现有的样本分析能力,海量的样本将让工程师无所适从。


  人民战争


  传统杀毒软件赖以生存的查杀机制是基于样本分析的特征码扫描技术,当恶意程序逐步占据主导地位时,这种技术开始面临严峻挑战。


  很多专家都注意到了这一点,有分析师甚至因此作出了“杀毒软件将死”的预测。来自YankeeGroup研究机构的AndrewJaquith表示,多变种木马的传播不再是曾经的线性传播,而是完全遵循“长尾理论”来制造持续性危害,绝大多数被变种病毒感染的计算机都在长尾尾部,“如果维持现状,未来杀毒软件可能会变得无用”。


  种种迹象表明,杀毒厂商可能被自己数十年构建的安全体系所束缚,木马泛滥时代的到来加速了矛盾的激化。


  怎么办?难道用户面对木马的威胁只能束手就擒?


  魔高一尺,道高一丈,以“360安全卫士”为代表的一批杀毒厂商的“人民战争理论”,让我们又找到了围剿病毒的路径和方向。


  什么是“杀毒人民战争”?就是发动群众发现病毒,发动群众查杀病毒。


  单靠杀毒厂商的力量是无法分析完所有木马样本的,需要全体用户一起来互帮互助,让那些有能力分析木马和恶意软件的技术人员都能贡献他们的力量。从此,查杀病毒进入了轰轰烈烈的“全民战争”阶段。任何一个人发现了新的木马变种,都可以立即向“总部”进行举报,与此同时,各地的网络高手会群起而攻之,直到找到最有效的“绞杀工具”,并将这种工具在网络上共享。


  360软件平台中集合了用户反馈机制,可以迅速发现木马的流行趋势。一旦有流行病毒小范围发作,第一时间就能捕获,而不是等到它大规模肆虐后才能发现。


  人类终将有一天能消灭所有电脑病毒吗?我们不得而知。但有一点是肯定的,在与病毒的较量中,正义的力量将变得更为强大。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐