一、新病毒数量成爆炸式增长
据瑞星全球反病毒监测网统计数据显示,新病毒的数量正在逐年递增,并且增长速度越来越快。
2004年上半年,瑞星截获新病毒11835个,2005年同期,新病毒数为26927个,而今年上半年,新截获的病毒数量飙升到了119402个,相当于过去几年截获病毒数量的总和。在今年病毒较为泛滥的时期,一天内截获的新病毒比2005年一个月截获的病毒还要多。
尽管新截获的病毒数量呈爆炸性增长,但其种类数并没有增加。老病毒的新变种占据了大部分。有时,在一天内就能够截获同一病毒的数十个不同变种。
对06上半年截获的新病毒分析统计,其组成部分与2005年基本类似,灰鸽子后门、盗号木马、波特类后门等病毒的变种仍然占到了绝大部分。造成变种病毒数量激增的原因主要有两个:
1、“加壳”手段被黑客广泛利用
所谓加壳,是一种通过一系列数学运算,将可执行程序文件或动态链接库文件的编码进行改变(目前还有一些加壳软件可以压缩、加密驱动程序),以达到缩小文件体积或加密程序编码的目的。“加壳”就像给病毒文件穿了“马甲”,对于识别能力不强的杀毒软件就会被这件“马甲”蒙蔽,而放过病毒。
当被加壳的程序运行时,外壳程序先被执行,然后由这个外壳程序负责将用户原有的程序在内存中解压缩,并把控制权交还给脱壳后的真正程序。一切操作自动完成,用户不知道也无需知道壳程序是如何运行的。一般情况下,加壳程序和未加壳程序的运行结果是一样的。
众所周知,目前杀毒软件主要依靠特征码技术查杀病毒。由于加壳软件会对源文件进行压缩、变形,使加密前后的特征码完全不同。对于脱壳能力不强的杀毒软件,对付此种病毒就需要添加多条不同的特征记录。而如果黑客再采用一种新的壳进行加密变形,则对于此类杀毒软件来说又是一个新的病毒,从而无法查杀。
从上半年瑞星截获的病毒样本统计,约有90%以上的病毒文件进行过“加壳”处理。而国内较为流行的“灰鸽子”木马,加壳率几乎达到100%。有些病毒为了躲避杀毒软件的查杀,甚至加了三、四层壳。
2、“免杀”技术开始被采用
所谓“免杀”,是指通过特殊技术处理,修改病毒文件,使已知病毒逃过杀毒软件的查杀。
目前,杀毒软件大多采用特征码技术进行查毒,当发现被扫描的文件中包含有杀毒软件病毒库中的特征时就会报告相应的病毒名称。目前,许多黑客和病毒制造者通过查找病毒文件中被杀毒软件扫描的特征部分,加以修改,使其特征值与杀毒软件的病毒库不匹配,从而躲过杀毒软件的查杀。
以上两点是2006年上半年病毒、木马所广泛采用的技术手段。
“魔高一尺,道高一丈”,各个反病毒厂商也在针对病毒的新特点进行着不懈的努力。
1、增强杀毒软件引擎的“脱壳”能力
由于目前大多数病毒都会采用“加壳”的手段进行自我保护,因此需要杀毒软件具有“脱壳”能力。脱壳引擎通过一些算法将“加壳加密”的病毒还原成原始状态,再对其原始状态进行查毒。
瑞星一直在“脱壳”技术上进行着不懈努力,经过长时间的技术积累,目前瑞星杀毒软件新的杀毒引擎已经进入到公测阶段,该引擎同时具备硬脱壳和虚拟脱壳的能力,支持目前常见的所有流行的壳程序,并且能够对加了多层壳的病毒进行查杀。
2、Generic和“变种共性特征比对”技术将被大量采用
Generic技术是广谱查毒技术的一种,其主要是针对变种病毒的查杀。有时用杀毒软件扫描病毒时会报出以“gen”作为结尾的名称,如“Backdoor.Gpigeon.gen”,就是使用了这一技术。病毒分析工程师通过对大量病毒样本特征进行分析,提取出它们之间相同的特征值,从而对一个群族的病毒进行查杀。
“变种共性特征比对”技术是瑞星独家研发的一种新的广谱查毒技术,它与Generic技术存在相似之处,也是对大量病毒样本进行特征分析,提取相同的特征。但是“变种共性特征比对”具有更强的抗“免杀”能力和智能判断能力。往往,黑客用技术手段能够绕开Generic技术的查杀,却不能逃脱“变种共性特征比对”技术的检测。同时“变种共性特征比对”还可以报告出病毒变种与该病毒家族的相似程度,查毒结果更为精确。目前,“变种共性特征比对”技术已经全面应用于“瑞星听诊器 4.3版”及以上版本当中,对“灰鸽子(Backdoor.Gpigeon)”等木马的变种识别率能够达到九成以上。
3、“虚拟机技术”将在成为检测未知病毒的主要手段
无论病毒文件如何修改,其病毒的破坏行为都是不变的。“虚拟机技术”是指用软件模拟出一个虚拟机的计算机(包含虚拟的CPU、内存、硬盘等),让被检测的文件在虚拟机中执行,对病毒在虚拟机中的行为进行判断,一旦发现符合病毒的特征就给予告警。
目前,真正采用虚拟机技术进行病毒查杀的软件全世界只有为数不多的几家。瑞星早在几年前就已经开始对虚拟机技术的研究,并已将该技术运用到产品当中。而具有虚拟程度更高,更加智能化的虚拟机系统也在研发当中。
