【赛迪网-IT技术报道】2009年11月4日下午,赛迪网等媒体采访了金山软件助理总裁陈勇先生,围绕杀毒技术这一话题展开探讨。
病毒传播方式三大转变
今年的病毒相对于去年来说,在传播方式方面有三个改变:
第一个就是挂马还是病毒全部的主要途径,但是有明显的下降趋势,08年通过挂马传播病毒基本上占了整个互联网的85%,今年只占了45%。我们分析了一下主要下降有两个原因:一方面,今年的杀毒软件在集成方面有网络防护的功能。另一方面,就是挂马主要还是被少数的几个挂集团控制的,今年正好是对这方面逆反,为了国情和奥运会安保工作,打击得比较厉害,使挂马集团青黄不接。
第二个是正常软件下载比重提高,这个比重由去年的10%提高到40%,这个传播方式相对于挂马来说,有更强的隐蔽性,而且不容易监控和跟踪。
第三个是广告欺诈、钓鱼将会成为新的安全热点,传播方式很成熟,基本上是应用了一些互联网的营销传播。
解析挂马 网络小偷和偷车贼
偷自行车第一先踩点,踩点以后第二批人过去,开锁,就是我把你的钥匙撬开,但是他不负责偷自行车。第三个人负责把自行车推走,还有一部分人是干吗的?就是把偷来的自行车拿出去卖。按照这四各环节理解我们的挂马集团,他每个角色对应都非常吻合。
这里面的踩点就是黑客,包括提供一些攻击代码的黑客,这些黑客主要是在互联网上寻找一些有漏洞的网站,在我们看就是一些踩点的人是一样的。
踩完点以后做下载器,他做下载器以后卖给挂马集团,大概每一个是二三十万,他会把用户计算上的杀毒软件破坏掉,不会让你正常运行,并且把木马下载下来。
第三个就是木马工作室,木马工作室主要是做木马,木马运行起来以后主要目前就是偷游戏帐号。所以我们说下载器它要对抗的对象就是杀毒软件,而木马要对抗的对象是游戏。
最后一个环节就是偷到一些信息以后,拿去用。
这是一个用户被挂马工具的一个模型,首先是用户访问一些挂马网站,这些挂马网站往往都是一些正常的网站,或者比较知名的网站,像一些大公司的一些官网,或者一些比较知名的社区论坛,他们存在漏洞,被黑客利用了,被挂马。这些挂马网站都有一个隐性连接,会指向恶性网址,这些恶性网址往往被挂马控制,他里面会存在一些下载器。当用户机器出现漏洞的时候,碰到恶性软件,会把这个下载器下载到自己机器上去,然后下载完了以后用户会下载木马。
我们说挂马网站的数量是非常多的,目前据我们统计是百万计,并且频率很高,今天被挂马,发现以后把这个挂马去掉了,但是有新的网站被挂马。而恶意网站跟下载器是比较少的,现在是百到千数量计,木马有很多,基本上是千万计。所以我们说打击挂马这个攻击模型,或者说打击挂马这个集团,就是中间这个环节,技术层面去拦截这些恶意网站和下载器,而不是挂马网站。
云安全
一、云安全对我们传统的杀毒工具有很大帮助。
第一个帮助,它使得我们样本比以前会更多一些。我们也知道,去年年底的时候整个金山样本在1300万左右,今年我们达到了4700万。
第二个,鉴别能力提高到87%,这个鉴别能力不是像传统的只鉴定黑的,而是把白的也鉴定起来。
第三个,对于每一个鉴定出来的文件,这些未知文件详细时间,可以搜索到138位。
第四个就是海量白名单户,现在已经超过了两亿。
陈勇先生说:“这是金山云安全在安全杀毒技术的飞跃,第一个表现就是我们在Vb,安全认证来说,无论从数量和影响力来说,都是在国内最好的。
第二个我们今年也通过了AVC的一个国际认证。这里面Vb版,我着重想说一下RAP,讲的是对未知病毒的一个认证能力,我们基本上达到的69.3%,这也是一个很不错的成绩。”
二、云安全的应用。
其实从一个普通用户的安全需求,10年前我们就发现很简单,就两点,第一能包括我系统绝对安全,第二个你不要影响我系统正常运行。今天把它用另外一个语言翻译一下,他要求我们的杀毒软件又轻,又快,还要准。目前我们用在云安全的一个杀毒引擎做到一个应用的,就是我们金山在线杀毒,他能够做到整个客户端的687K,并且这个体积不会随着负担的样本数增多而增大,因为它是基于白名单匹配的,它只会跟你本地的文件受到编读而编读本。
第二个他很快,快于传统杀软5—10倍。
第三个,查杀能力能做到100%安全,所有被认为是不安全的文件,都可以把它放到服务端来分析。
三、云安全应用合作伙伴,百度,MSN。
其实作为云安全来说,云安全,首先你要解决用户的问题。所以今天我们做云安全有两个:
1、今天基于白名单的一个判定法的解决问题,做到真正的解决。
2、你的服务端要有强大的未知文件的自动分析能力。
毒霸2010新技术透露
关于毒霸2010版本,现在有一些网友,把杀毒软件发布和明星发布唱片做一个比较。也有人说今年第一家出版的应该是熊猫安全,他6月份出过的,早出有一个新版本,大家可以体验。然后毒霸现在等于是唯一没有出2010版本的,应该说很多网友是把毒霸跟周杰伦做比较,因为周杰伦09年唱片一直都没有出,到底他今年出不出唱片都很关心,也有一些网友关心,毒霸今年会不会出2010版?还有今年有多少机会出2010版,2010版会有革命性变动吗?
针对这一问题金山软件助理总裁陈勇先生称:
“首先,因为用户数据还是跟以前一样的,金山在保证用户安全性方面会有一些提高。这里面有两个技术点可以跟大家分享一下。”
一个是通过云安全对互联网安全检测以后,会把一些信息通过金山的一个客户端的杀毒引擎去体现出来。这个客户端的杀毒引擎,他通过能够对源头的一些病毒文件进行查杀,可以说他查杀效果会更好一些。为什么他查杀效果会更好一些?陈勇先生说:“我可以说得再细一点。其实今天病毒这么多,并不是人一个一个选出来的,今天看到的病毒木马大部分是木马生成器生成出来的,所以我们今天不是简单的查木马,而是查杀下载器。因为我们今天看到的木马是很少的,并且他安全性是更高的,他的特征会更小,他的性能也会更好,因为他的客户数量更少了。所以杀毒还是要从源头开始。”
另一个是云安全安全的另一个部分,基于白名单的杀毒引擎,也会放入到2010年版本里面去。
