主持人:2005年网络病毒的主要特点和特征是什么?面对的群体和对象和传统病毒病毒有什么不一样的地方?
方正安全防病毒产品经理郑友才先生
郑友才:现在间谍软件、广告软件这些方面大家都在提,05年防病毒在四个方面比较有意思,新、快、广、多,以前病毒制造者是一种自我炫耀或者自我展示。现在情况已经不同了,病毒的制造者和传播者已经不再单纯有这种简单的目的或者经济目的,经济目的是针对企业或者用户的口袋,经济目的演变成一种犯罪。
传播速度这块,传统的病毒通过传统的介质传播,这种传播方式非常慢。通过互联网,通过E-mail通过即时通讯已经远远超过传统的病毒传播。 大家都知道有一种僵尸网络,今年CNCERT/CC破获了一起僵尸网络,控制很多受控端,控制了三万个借点的僵尸网络,最后破获这起案件发现始作俑者是在河北。间谍软件、广告软件产生的危害非常多,我们可以看到很多用户比如说浏览网页过程安装一个小工具软件的时候,带着一些工具栏或者带着一些输入法,有时候装了一个插件,莫名其妙你在添加删除程序里面发现根本没有装过。
主持人:传统病毒在业内的厂商多年努力之后,是否会在2006年趋于平静,而不是主要的危害?
郑友才:不能说趋于平静,本身病毒的发展随着技术的发展带来不同的危害。以往只是简单的自我炫耀,现在逐渐成为一种网络犯罪,实际技术的发展过程到自己的利益驱使这样一个发展过程。
金锴:以往一些病毒的制作和传播者是以炫耀为主,以往你想开发一个商业软件一千个人使用比较有难度,但是开发一个病毒让一千个用户中病毒还是很容易的。去年发生一系列事件,包括大家关注的问题,比如像木马、网络钓鱼、广告软件、僵尸网络等等,它们现在慢慢演变为个人或者商业团体的商业行为。比如通过网络钓鱼的方式,可能给你个人银行帐户产生损失,包括刚才前面郑经理提到今年破获的僵尸网络,之所以被发现,是因为利用多个僵尸网络向同一个地址或者同昂一个企业发起攻击,这样很难讲在其中有没有商业行为在里面。现在慢慢从炫耀的行为转变为商业目的为主的行为,以前从一个个人的行为转变为团体的行为。这些都是从行为角度来讲,正在发生的趋势。
陈文萍:现在隐藏得更深,商业行为不会到处去炫耀。
金锴:以前是个人犯罪,现在变成有意识的犯罪,大家的目的已经有所差异了。现在间谍软件也是获取商业目的为主,通过其它方式,或者电子邮件地址,或者机密的个人信息,这些信息可以用作别的用途,你不知道它会用在什么地方。僵尸网络积累了三年才到今天的规模,它隐藏得很深,危害性更大。我们以前总是关注到单个用户的威胁,现在已经形成一个大范围甚至团体化、规模化的威胁。
主持人:僵尸网络为什么隐藏三年才发现?
金锴:一旦被控端发现异常,提交相应信息的话,安全厂商可以找到问题到底在哪里。僵尸网络通常会在机器中种一些类似木马的东西,僵尸计算机发出指令可以一直潜伏,僵尸网络一旦想发起攻击的时候,可能几万台设备向同一台设备发起攻击,导致拒绝式服务攻击。有一些新的产品,我们的优势是整体解决方案,现在有一款专门针对类似攻击的产品,也是解决僵尸网络的产品威胁。
主持人:明年还会出哪些新的热点,在一些新的病毒形式或者木马形式上?
金锴:对技术的预见比较难,防护措施往往滞后于新的攻击行为。无论是僵尸网络也好,无论是间谍也好,无论是网络钓鱼也好,一种新的威胁出来,针对这种新的技术攻击技术的出台往往可能需要一定的时间。大规模攻击的比如红色代码,在01年,补丁分发管理针对漏洞管理的产品真正出来是去年下半年到今年。未来肯定会有新的技术发生,我们相信我们自己的储备技术以及我们的应对能力是能够满足这样的要求。
陈文萍:作为厂商从自己的产品智能性方面大大加强。
主持人:请郑先生介绍一下新版的杀毒软件和安全网关有什么特点或者突破。
郑友才:新版2006提出双重防护概念,第一个是防病毒加防病毒软件,提供双重保护。防病毒我们对于病毒查杀是目的,广告软件和间谍软件已经产生很大的危害,我们在新版本里面对于非法拨号、网络钓鱼也做了完善。对于已知病毒的防护和未知病毒的防护,新的产品里面包括入侵技术,也是我们对未知病毒全面防护提供了解决方案。对于已知防护方式可以通过传统方式,通过特征比对的方式比较有效。平时运行的时候不会干扰其它程序,如果产生破坏的话,会干扰其它正常程序运行。如果产生恶意行为的话,我们可以把它判断为是一种未知威胁。
金锴:针对入侵技术我们一直在做宣传,很多厂商一直谈零天攻击,当它产生攻击的时候,任何厂商都无法响应。
郑友才:从漏洞产生到攻击发起,可能有一个时间段,这个时间段往往防病毒厂商或者其它安全厂商都没有解决方案。针对零天攻击,我们通过入侵技术进行防护。
金锴:入侵技术已经查出了一万个病毒,它的有效性是得到用户的认可,这方面我们不断有文章发表出来。
郑友才:最近发现新的病毒,拦截新的病毒,通过什么技术拦截的,很多未知病毒都是通过入侵技术得到拦截。
主持人:是不是可以不用做病毒上报和监测工作了?
金锴:对于未知威胁的防护,我们不能说百分之百完全防护。对于新病毒的出现,需要提升我们更多的防护能力。当一个病毒出现之后,我们还是要搜集它,可以让我们其它即使没有这个技术的用户,也可以通过用户对这个病毒进行防护。我们这个技术如果用户需要的话,我们可以和第三方厂商合作,解决未知病毒。
郑友才:现在我们的技术和第三方安全厂商的产品兼容,用户既买了其它品牌的杀毒软件,也可以用我们的技术。
PAGD是唯一一款支持六大互联网防护协议的,国内厂商提的和我们有很大的差别。我们在防病毒方面对协议进行扫描,并且对于内容过滤和外部过滤做得非常精确,可以根据图片的部位特征进行判断这个图片是不是属于非法的。PAGD对于恶意软件的防护做得非常好。对于网络钓鱼、广告软件、间谍软件以及非法的报告器,用户可以自由进行选用。
(责任编辑:luwei) |