主持人:前阵子还有一个热点,包括到现在好像还没有定论,就是说“灰鸽子”的事情,业内普遍认为是病毒,但包括作者本人或者有些专家说不能是病毒,是一种远程控制软件,咱们怎么认定它是一种病毒的?
戴硕:因为对一些病毒软件界定是比较模糊的,我们现在反病毒组是这样认定的,如果一个用户被安装了远程软件的控制端,如果安装了必须有明显的提示,最终的目的只有一个用户在被控制的时候必须知情,而且要方便的卸载,如果用户不愿意被控制,他必须要有从用户端进入远程用户的功能,而且用户也是可以下载用户端的,这是正常的远程控制的基本作用。
“灰鸽子”的不同版本非常非常多,从“灰鸽子”官方网站上购买下载的一些版本,我们经过检测可以算是正常的远程控制软件,但是另一方面江民公司会监控很多网络地址,从这些地址上监控有没有病毒,我们这些新增的病毒目前有超过半数是灰鸽子病毒,这些木马自动进入用户系统之后用户是毫不知情的,而且甚至还用了一些技术隐藏自身。就是说如果没有一定的专业知识是根本无法检测到灰鸽子的存在,所以对于这类的我们认为是病毒。
对于“灰鸽子”的问题处理也比较谨慎,在每天添加十几个甚至几十个变种之外,我们在我们的检测库里放了一些正规的灰鸽子版本,我们每天病毒库在发布之前都要扫描一些白名单的程序。
主持人:实际上这个软件现在已经被滥用了。我看在江民2005年十大病毒排行榜上“灰鸽子”排在第二,为什么觉得它的危害性非常高呢,就是因为它变种很多吗,或者它的隐蔽性很强?
戴硕:主要是两方面,一方面是功能方面,这个远程控制功能是非常强大的,基本上市面上看到的一些常用的远程控制软件的功能它全都有,包括远程文件操作、远程桌面查看、远程打开摄像头,这些功能它是全部都具备的,病毒功能非常强大。
另外一方面,就是它的变种数量非常多。刚才我也提到了在最近一两个月之内我们监测网上新出现的病毒里面灰鸽子将近一半。
主持人:刚刚说到变种,我知道现在有一个病毒木马的生成器,这个东西是怎么实现的?
戴硕:生成器很早以前就有,比如说像窃取信息的一个木马,他窃取到信息要发送出去,通常的发送方式是电子邮件发送,这个东西是一个参数,生成器实际上就是可以让使用者比如说输入他的电子邮件,他把电子邮件就存储到这个新生成的样本里面,通过这个窃取一些信息。
主持人:就是说只是把后门的指向改了。
戴硕:实际上内部一些特征码是没有变的,实际上变的只是一些参数和数据。
主持人:现在有一个叫说法,因为微软这边的漏洞一公布,那些针对漏洞的木马马上就会出现,时间越来越短,号称0day,这方面我们江民这边有什么考虑,怎样应对这种挑战?
戴硕:近些年随着重大漏洞爆发,后面的病毒马上就会出现,比如冲击波、振荡波、极速波等等,对于江民公司来说这些年也在不断的加大对这些安全漏洞的关注力度。实际上在一个重大病毒出现之前是有征兆的,不是无端的一个病毒就一下子过去了,刚才说的病毒都是这样的,特别是今年2005年的时候极速波用的漏洞,实际上病毒本身在出现前五天左右江民公司就已经在网站上发布警告了,说有可能会出现一些类似于振荡波这样的病毒出现,实际上做出这样的警告,我们是随时关注国内、国外的安全网站。
无论是微软发现的补丁漏洞还是没有发现的,我们都会及时反应,他发布我们就知道,然后去分析危险最大的可能是什么,然后基于这个来做。
还有0day,通常漏洞利用方式就是说有人在一些安全论坛贴出来了,或者微软发布了一个漏洞补丁,然后大家才知道有这么一个漏洞,然后他们就研究,进而利用这些漏洞的有害代码,是相当长的时间,但是所谓相当长也是相对的,因为现在一个星期之内这个就出现了,0day实际上是一个恶意代码,就是发现漏洞当天就已经有利用这个漏洞的攻击代码,这个周期是0,就是0day,实际上0day对国内的用户影响并不是很大,整体的影响都是比较小的,因为这个东西的技术含量比较高的。
0day一般在出现不久以后也会被发到一些论坛上,这些安全论坛是我们每天都比较要注意的,所以还是会在比较短的周期内发现。
主持人:今年国家计算机病毒应急中心曾经发了一个分析报告,说2005年计算机病毒感染率有下降的趋势,比去年下降,去年可能是85.57%,今年是80%,总的来说个人感觉今年好像并不是很太平,因为有好多新的病毒和新的网络威胁出现,为什么会出现下降的趋势呢,为什么会是这样的数据表现出来呢?
戴硕:应该是有几点原因吧:
首先一点,80%这个数字也已经很高了,所以说病毒感染这么一个形式也是不容乐观的。
另外,从技术上,因为2004年有一个特征是邮件病毒非常泛滥,因为出现像网络天空、雏鹰等等都是邮件病毒。2004年应该说是比较罕见的邮件病毒年,让大家原来从来不知道什么是邮件病毒,到最后是习以为常,这也是2004年邮件病毒感染率比较高的原因。
2005年很多人知道了邮件病毒这么一种现象,同时安全意识也提高了,同时对2005年抑制病毒蔓延有相对比较好的策略。
另外一点,从微软的漏洞来讲,因为2004年爆发有一个0411很严重的系统漏洞,结果也导致了2004年五一期间有一个“震荡波”出来,震荡波的传播能力还是很厉害的。2005年也有一个极速波,但是极速波漏洞和2004年振荡波漏洞相比危害程度会略逊一筹,就是自身的主动传播能力差一些。
曹凌翔:另外一个原因,就是国家加大了计算机病毒防范力度,今年从十大病毒排行可以看出来,今年是木马年,是木马病毒占主流,去年是蠕虫病毒。
(责任编辑:刘鹏) |