据瑞星反病毒专家介绍,一些“流氓软件”甚至采用了病毒经常使用的技术。比如将自身复制到系统目录下在后台运行;修改注册表启动项目实现开机自动运行;开启双进程互相监控,防止用户删除;自动监控Hosts表,发现自己网站被屏蔽后自动修改;挂系统钩子获取用户键盘操作,收集用户信息;有些还会干扰杀毒软件的正常运行,甚至直接关闭杀毒软件。
由于“流氓软件”存在其特殊性,它是由正规商业公司发布,并且具有一定的实用功能。因此安全厂商不能将此类程序简单地当作病毒进行查杀。
因此针对于用户反映及其强烈的“反流氓软件”事件,6月14日,瑞星作为国内最大的信息安全厂商,对外发出“相关厂商制作软件应该自律”的呼吁,次日(15日)瑞星对外发布了倡议书,提出了8条自律。
6月24日,北京市网络行业协会联合瑞星、新浪、搜狐等16家网络和软件企业联合草拟了《软件产品行为安全自律公约》,用行业规范来制约“流氓软件”的发展。
6月28日,瑞星推出的“卡卡安全助手”(http://tool.ikaka.com)开始公测,用技术手段来解决“流氓软件”问题。
《软件产品行为安全自律公约》和“卡卡安全助手”虽然可以在很大程度上制约“流氓软件”的发展,但瑞星专家认为与流氓软件的斗争仍然会是一个长期的过程,它需要有关监管部门、软件厂商和社会的共同努力。
报告节选四:杀毒软件+防火墙+安全助手=安全
《瑞星报告》指出,木马病毒、后门程序以及“流氓软件”已经成为用户信息安全的主要威胁,同时通过系统漏洞、即时通讯类软件(IM)、电子邮件传播的蠕虫病毒,特别是未知病毒所带来的危害仍然不容忽视。
针对目前的安全状况,瑞星安全专家指出,未来的杀毒软件将越来越重视对未知病毒的查杀,杀毒软件应以“特征码”查杀为基础,“行为判断”为补充,最终实现“主动防御”未知病毒。
目前反病毒软件的核心技术还都是特征码技术,它是全球防毒领域十几年来通行的技术手段,它是以特征值扫描法为理论基础,从电脑病毒中提取病毒特征值构成病毒特征库,然后和用户电脑中的文件或程序进行比对,从而判断该文件或程序是否染毒。
与此同时,一些新的查杀未知病毒技术也在不断发展。比如瑞星基于“行为判断”,开发出的“危险行为监控”、“行为自动分析和诊断”等技术。这些技术从动态和静态两个角度来判定程序的行为特征,可以识别大部分未被截获的未知病毒和变种。
同时,安全专家还特别强调,传统的“杀毒软件+防火墙”的模式已经不能完全满足保护用户信息安全的需要,“杀毒软件+防火墙+卡卡安全助手”的组合将成为新的标准。
瑞星反病毒工程师认为,目前“流氓软件”的危害已经不亚于病毒所带来的危害。由于其存在管理上的漏洞,“杀毒软件+个人防火墙软件”的组合无法对其进行处理,因此瑞星推出了“卡卡安全助手”作为它们的补充。
“卡卡安全助手”真正地将权力交还给用户。借助这个工具,那些强迫、欺骗、隐瞒用户安装的“流氓软件”将完全暴光在用户的“删除按钮”下,由用户决定是否安装、使用,还是彻底删除。
报告节选五:2005年上半年十大病毒排行(中国大陆地区)
2005对用户造成破坏最大的十大病毒排行如下:
1、 袋子木马释放器(TrojanDroper.Worm.Bagz)
2、 瑞波(Backdoor.Rbot)
3、 灰鸽子(Backdoor.Gpigeon)
4、 传奇木马(Trojan.PSW.LMir)
5、 波特后门(Backdoor.Sdbot)
6、 高波(Backdoor.Agobot)
7、 网络天空(Worm.Netsky)
8、 首页(Trojan.Win32.StartPage)
9、 爱情后门(Worm.Email.LovGate)
10、麦托(Worm.Mytob)
