反病毒之路将向何处去?
刘旭在“第九届中国信息安全大会”的讲话
刘旭 : 大家对病毒和防病毒应该都是非常熟悉了,在病毒出现10多年来,大家现在也广泛在应用防病毒产品,我想全国几乎绝大部分的用户都配备了杀毒软件,那么既然大家配备了杀毒软件,那么现在病毒的危害性是否有所下降?或者我能否成功遏制这样一些病毒呢?我们看一下现实的情况,首先我跟大家讲,目前病毒的危害情况是相当严峻的。
刘旭 : 国家计算机病毒应急处理中心07年中国计算机病毒疫情调查技术分析报告中显示,我国计算机病毒感染率07年高达91.47%,也就是说10台计算机有9台以上的计算机被感染,是相当高的,而且实际上我们从这张图上可以看出,这张图是国家计算机病毒应急处理中心从2001年到2007年调查的一个曲线图,我们可以看出2007年是高居首位。
刘旭 : 病毒感染三次以上的用户数量达到53.64%。现在计算机病毒一个非常显著的特点就是病毒的数量急剧增加,也就是病毒泛滥。说话看一下国外的情况,在今年的3月20号,美国一家著名的媒体就发布了一篇文章,在这篇文章里面他采访的主要是国外的几家公司,其中一家是德国的防病毒测试实验室,根据它的统计可能新出现的病毒数可能大大超过大家的想象,根据他们的统计,去年新增的病毒超过550万种,这是06年的4倍,是05年的15倍。根据这家公司的统计,今年头两个月他们新发现的病毒数量就超过100万个。而在同一篇文章中还预测了一个数据,现在新增的病毒数量每小时是2000-3000种,这个数量是非常非常可怕的。这个预测图是从1985年开始统计的,可以看出1985年到2003年几乎是在同一水平线上,从04年这条线开始抬头,到06、07年我们看到这条线已经非常非常高了。
刘旭 : 据F-Secure介绍,现在每天都能收集到2.5万个左右的恶意软件样本,为历史最高水平,照此下去,各类病毒木马数将在08年底突破1000万。
刘旭 : 我们再看一下卡巴斯基最近的预测,卡巴斯基07年总共发现了222万种新病毒,跟刚才德国那家公司相比的话少了一半,是06年的4倍,这跟德国这家公司是一样的,都说是4倍,根据他的分析师预测,08年新增病毒数将超过2000万种,这个数是07年的10倍,也就是说现在病毒数的增长要快于前几年。
刘旭 : 我们应该来看一下几乎国际上绝大部分防病毒公司都有一致的看法,08年新增的病毒数量将超过1000万种。我们刚才说了病毒数量现在是急剧增加,那么为什么会急剧增加呢?那么我们下面介绍一下病毒的特点。
刘旭 : 病毒的特点最关键的一点,为什么现在比原先大很多,而且还在快速增长,最主要的首要是病毒编写目的不同。以前的病毒是“损人不利己”的,现在的病毒的一个特点,现在绝大部分的病毒或者新出现的病毒大都是以“以盈利为主要目的”的。由于这样的目的不同,所以导致了病毒的特点有很大的不同。
刘旭 : 那么我们来看一下一下现在病毒的第二个特点,叫病毒编写的组织化。以前病毒编写绝大部分是个人行为,现在越来越多的是团伙行为,甚至一些病毒是企业行为。那么我们来看一下,比如说大家熟知的木马软件,也可以把它归为病毒类,把它归为恶意程序类的话,实际上它就是非常典型的企业行为。
刘旭 : 那么另外一个特点,现在的病毒已经形成产业链。病毒上游可能会提供一些加壳工具、免杀工具,下游利用这些工具对病毒进行加工,以逃避杀毒软件的查杀;上游编写病毒,下游销售病毒。
刘旭 : 另外病毒现在有一个非常突出的特点,叫多变种、小批量感染。为什么会这样呢?就是说以前的病毒编写者利用一种病毒感染所有计算机。但是采用这种方式一旦病毒被发现,杀毒软件升级后就可能全部被查杀掉,这样的话,病毒的生存能力就不是很强,而现在,病毒编写者为了避免编写的所有病毒被杀毒软件全部清除,采用不断变种病毒的方式进行感染。即使某些变种病毒被杀毒软件清除,仍然保持相当多的病毒不被清除。这样的话,杀毒软件可能发现其中一些变种,但是它有可能清除不完全。
刘旭 : 变种要需要大量的人力物力,大家知道很著名的熊猫烧香病毒,它在短短的几个月里面编写了几百万个,投入了大量的人力物力,那么这样他们也意识到了这是一个很复杂的过程,所以现在他要进行对病毒编写自动化。以前病毒主要是手工编写,现在已经开始自动化,利用自动加壳机和自动免杀机自动生成。这样就能使得这个病毒有比较好的生存能力。我们国内某些网站被病毒感染,这个网站会每隔59分钟病毒就自动升级。也就是说你头59分钟用户访问这个网站的话,感染的是这个病毒,下一个59分钟感染的是另外一个病毒,之所以选择59分钟,病毒编辑者认为现在的杀毒软件升级再频繁,你升级的间隔至少在1个小时以上,而我相信现在还有很多杀毒软件厂商还没有达到一天24小时,那么这种他就能确保他的病毒不可能被全部清除。
刘旭 : 第六个特点,病毒数量呈几何级数增长。以前的病毒数量非常非常少,以前像06年一年只有几种病毒,后面就变成了几十种。大家使用杀毒软件,最早的时候杀毒软件厂商怎么说呢?要求用户说半年内必须升级,后面说你三个月必须升级,为什么?就是说在这个时间段里面病毒数量增加了很多,而现在要求用户是每天升级,主要原因就是病毒数量在急剧增加,数量太多。
刘旭 : 另外一个特点,病毒的危害性更大,以前病毒主要是破坏计算机信息以及一些数据,那么你如果采取备份的方式就可以避免或者降低损失。那么现在是以商业兴为目的,比如说窃取商业秘密、金融财产、虚拟财产为主,这样直接造成的损失更大,而且这一旦遭受损失,就很难以挽回。以前说的是亡羊补牢,那么亡羊补牢的效果究竟有多少作用?这是一个很大的问题,因为就算你亡羊补牢你还是损失了一些东西。
刘旭 : 90年代初病毒都具有发作时期,而现在的病毒都不再这样。比如说计算机病毒之所以被称为病毒,是因为它与生物病毒有很多类似之处,它也有潜伏期,也有发作期。比如著名CIH病毒(1.2版本),发作日为每年4月26日,即使计算机被CIH感染,只要将计算机的时钟调过4月26日,病毒也不会发作,也就不会破坏用户的信息。再比如“黑色星期五”病毒,其发作日是十三号同时是星期五的日子。也就是说你跃过这个发作日,即使病毒在你的机器里面也不会发作。那么现在的病毒没有这种说法了,一旦被病毒感染,病毒将随时窃取用户的主要信息和财产,损失可能立即造成。比如说你采取的是QQ,机器里存在盗号木马,你刚一使用QQ,你的帐号就已经被盗了。
刘旭 : 病毒现在有这么多特点,那么我们看一看作为主要防范病毒的工具,实际上就是杀毒软件,而我认为杀毒软件现在还面临着很大的尴尬。杀毒软件主要的特点是什么?它主要是利用病毒特征码发现病毒,而病毒的特征码是从病毒体里面提取出来的,比如防病毒发现了这是一个病毒,那就从病毒体里面提炼出几段或者一段代码,然后他就跟机器里面的文件做比对,发现相同的就是会报这是病毒。这就注定了杀毒软件只能发现反病毒公司已经收集到的病毒,对于未收集到的病毒没有防范能力。当前,病毒是呈几何级数的增长,因此在任何一个时刻,病毒软件不能防范病毒的数量非常多。
刘旭 : 杀毒软件的尴尬最关键的一点,就是因为它的这种方式是滞后于病毒的,而病毒是在层出不穷的发展的,这已经成为了其致命的缺陷。为什么?也就是你刚提供给用户,你就发现自己已经滞后于病毒了。
刘旭 : 下面介绍一下杀毒软件遏制病毒能力相对下降。另外是杀毒软件保护用户财产能力相对下降。我们说它保护财产的能力已经相对下降了,而现在发现病毒也越来越困难了。
刘旭 : 因为现在有些病毒编写者会招聘一些高精尖专业技术人员,尤其现在杀病毒软件跟操作系统也有兼容性问题,所以通常情况下有很多病毒是不会被杀毒软件发现的。另外杀毒软件处理病毒的能力已经逼近当前电脑的极限,现在病毒库大概就要占到好几个G。
刘旭 : 后面主要介绍主动防御技术,这已经成为了未来反病毒技术的主要方向。也就是说,杀毒软件主要是靠特征值来看的,那么我们能不能从他们的行为中察看到它是一个病毒呢?也就是说病毒分析人员可以分析出这是一个病毒,那能不能把它的识别做到自动化、智能化呢?我们认为是可以的。主动防御技术的三大判定原则,这不是具有监控程序动作就能成为主动防御,一如HIPS系统就不是主动防御技术,它只是动作报警器。主要防御技术作为下一代反病毒与其他反病毒技术一样,它必须对程序是否有病毒作出明确的结论。
刘旭 : 我们公司发布了主动防御技术,到目前为止我们在网上已经测试了三年,对著名的熊猫烧香病毒,当然这个病毒感染的非常厉害,熊猫烧香病毒是2006年编写、传播的,而我们对它的防御非常好。
刘旭 : 我们认为主动防御技术我们认为是未来防范计算机病毒的出路。我的讲话到此为止,谢谢大家。
