瑞星工程师2009开发手记二:我们能否把病毒挡在电脑之外

    目前互联网上的病毒,有90%以上都是木马病毒,这些病毒一是快速更新、变种数量巨大,二是普遍加载对抗杀软的模块。“磁碟机”、“木马群”就是这类病毒,有的甚至几十分钟就升级一个新版本,比杀毒软件还勤快。



    我们在盯着病毒,病毒也在盯着我们,卡巴斯基每小时更新一次,够快了,但是病毒能半小时升级一次,换句话说,等它干完坏事,你杀不杀它已经无所谓了,因为已经有新的病毒替代了它的工作。



    更何况,全世界没有任何一款杀毒软件能将所有的病毒都干掉,或者是保证在和病毒的对抗中不被对方干掉。因此,增强样本收集和反应速度,增强主动防御能力,增强行为判断处理未知病毒的能力,这些都象各个不同的兵种,而杀毒软件需要的是协同作战,考量的是整体能力。



    不管是主动防御、行为判断还是“云安全”的样本收集和查杀,都是针对病毒进入电脑之后的处理方式,那么,我们能不能在IE入口等地方设置关卡,把一部分病毒挡在电脑之外呢?



    从病毒感染情况分析,绝大多数病毒都是通过网页挂马(码)方式传播的,这类病毒通常是由于系统或第三方软件存在漏洞被网页中的恶意代码利用,用户访问了被挂马的网页,然后恶意脚本开始执行,通过多次跳转最终下载病毒文件到本地运行。电脑感染病毒后,首页或hosts文件被恶意修改,指向病毒或挂马网站,用户杀毒后,再次浏览网页时会再次重复上面的流程,病毒再次感染电脑,亦或是病毒被更新了······



    还有另外一部分病毒是通过U盘、移动硬盘等存储介质、网络映射盘传播的。这类病毒利用系统的自动播放功能,该功能会自动调用autorun.inf文件(autorun.inf文件会自动运行指向的exe文件),病毒把该文件修改后将直接指向一个病毒文件,这样当双击打开盘符后,病毒会自动运行起来······



    针对这些,瑞星2009版加入了【木马入侵拦截】这个功能,我们试图斩断病毒最主要的传播途径(网页挂马、U盘、移动硬盘、网络映射盘等)。我们通过行为检测技术,检测网页中的恶意程序和恶意代码。克服了以前只能通过特征进行查杀的问题,和无法对加密变形的病毒脚本进行处理的问题。目前检查的内容:脚本执行对象、在执行前、执行中和最终的结果、执行动作的序列、执行动作的最终结果及其导致的结果、对U盘、移动移动硬盘、网络映射盘等外部存储介质上的可执行程序在运行时进行检查。



【木马入侵拦截-网站拦截】功能,将病毒最主要的传播途径屏蔽了,当用户访问被挂马的网页时,瑞星能直接拦截掉木马病毒的下载,而且不会影响网页正常浏览。



【木马入侵拦截-U盘拦截】功能,在U盘等存储介质中任何可执行程序运行之前会进行拦截,用户许可后才能执行,解决了通过自动播放加载病毒的传播方式。



    总之,我们希望对一个恶意网址的拦截弹框,取代对N个病毒的查杀和主防,尽量别把用户的电脑变成杀软和病毒的战场。在目前瑞星2009版公测期间,我们每天能截获数千条恶意网址记录,这些网址每天发布出来的新病毒,高达十几万个!

最后编辑瑞星工程师12 最后编辑于 2008-10-15 13:20:51
欢迎加入
瑞星杀毒软件QQ群 47032532
瑞星个人防火墙QQ群 204732153
瑞星路由安全卫士QQ群 213941034
瑞星安全WiFi QQ群 81864985
瑞星手机安全助手QQ群 64866930