2009-2010中國互聯網病毒木馬漏殺問題研究報告
【51CTO.com 綜合消息】“漏殺”問題關乎中國互聯網安全
為什么95.6%的電腦上安裝了安全軟件,每年仍然有約百萬病毒木馬被“漏殺”?百萬被“漏殺”病毒木馬將直接影響到千萬中國網民網絡的正常使用,同時給中國互聯網帶來的經濟損失也將超過十億。在病毒木馬爆炸式增長的今天,安全軟件的“漏殺”問題越發凸顯,不容忽視。
金山毒霸安全實驗室對2009年1月2010年4月的部分典型病毒木馬生存周期的觀察分析,以及自2010年4月以來,金山毒霸2011用戶執行病毒掃描過程中查詢云安全服務器的結果,進行為其一年多的深入研究分析,最后形成了《中國互聯網病毒木馬漏殺問題的研究報告》。希望能夠借此讓“漏殺”問題引發安全行業以及用戶的關注。
漏殺問題的現狀——近三成網民電腦中存在漏殺病毒
1、年漏殺病毒木馬數量過百萬
據金山毒霸安全實驗室最新數據顯示,2009年新增病毒木馬數量超過2000萬個,如今每天新增的病毒木馬數量相當于2005年一年的數據,病毒木馬傳播的速度驚人。
面對每年病毒木馬數量的爆炸式增長,傳統的安全軟件的病毒識別查殺方法已經力不從心。據調查,一個業務熟練的病毒分析員一天可以分析100個病毒,若按這個思路處理病毒,安全廠商一年能夠處理的病毒上限將在300萬-500萬種,即使使用簡單的自動化樣本分析系統,傳統的安全軟件每天處理新增病毒樣本的數量已經遠遠不能滿足于新增病毒的數量,漏殺問題也不可避免。據金山云安全服務器監測到的數據,2009年被各種安全軟件漏殺且漏殺期1-7天的病毒木馬超過100萬個,占到新增病毒的5%。
2、95.6%安裝了殺毒軟件的電腦,其中30%電腦中存在漏殺病毒
據國家計算機網絡應急技術處理協調中心發布的最新調查數據顯示,2009年95.6%的電腦上安裝了各種各樣的安全軟件。但金山毒霸安全實驗室通過對1000位名用戶電腦樣本調查,其中包括100名上門訪問調查樣本,以及對新安裝金山毒霸2011進行安全掃描的用戶的數據統計,發現安裝了安全軟件,但仍然存在異常的用戶超過30%,這個比例相當驚人。安全軟件若無法檢測到,用戶完全不知道自己的電腦已經處于危險之中。
3、危險期越長危害越大,最長可達一個月
互聯網每天都會出現許多新程序文件,當一個新生的程序文件在互聯網出現時,傳統安全廠商及傳統基于用戶規模 云安全技術無法及時監測。只有該程序文件分布到一定的廣度,比如監測系統發現某個程序文件在不同地區的不同電腦中出現,被用戶舉報為可疑程序。安全廠商才會分析該程序文件是否具有惡意行為,這個文件從出現到被殺毒廠商報告為惡意程序,再到這個病毒文件從互聯網消失,這是病毒木馬的危險期。在此階段,傳統安全軟件對這種新生的惡意程序會熟視無睹,并報告用戶電腦為安全,用戶也缺少相應的防御能力。
金山毒霸安全實驗室分析了流行病毒木馬的生存周期,觀察病毒被檢測到,至這個病毒從互聯網消失的動態變化,發現存在以下規律:超過78%的病毒木馬只有兩周的生存時間,隨著時間的延長,生存率顯著下降,超過一個月仍在產生危害的病毒木馬不到5%。
圖 病毒長期生存周期觀察
圖病毒各生存周期的分布圖
上述數據表明,當病毒被安全軟件檢測到大約30天后,已不會對網絡產生大的危害。同時還表明,殺毒軟件必須加快響應速度,縮短漏殺期,才能更好地保護網民度過”危險期”。
當某惡意程序被一家安全軟件公司報告為威脅時,在較短的時間內,會有更多安全軟件對其進行查殺。而惡意軟件傳播者,在發現自己的程序被安全軟件檢測到時,也會及時對病毒木馬進行更新或免殺,舊版本病毒在傳播過程中逐步自然消亡。 #p#
漏殺病毒的危害——給中國互聯網帶來的經濟損失過十億
據金山毒霸安全實驗室研究結果顯示,按照每年百萬級別的漏殺病毒木馬計算,根據對漏殺期病毒木馬感染用戶電腦數量的分析,在病毒木馬的漏殺期,每年將有千萬級別的用戶感染這些被“漏殺”的病毒木馬。
一旦電腦上中木馬,而最新的安全軟件也不能成功查殺時,漏殺就發生了,這時網民的電腦就會面臨威脅。主要危害包括虛擬財產的損失;個人隱私數據被竊取;商業秘密被泄露;電腦軟件系統故障頻繁,影響生產或其它正常應用。
使用金山毒霸2011進行病毒掃描的用戶報告了系統的異常現象描述,這部分比例占到云安全查詢量的30%。異常現象包括主頁被強行鎖定、桌面莫名其妙多出幾個快捷方式總也刪不掉、系統文件被破壞,用戶隱私數據被盜對用戶來講更是不可見的嚴重損失。
圖金山毒霸2011反饋的異常現象統計
金山毒霸安全實驗室分析了云安全服務器的查詢結果,發現在被其他安全軟件漏殺的病毒木馬中,其主要類型有盜號木馬11%、后門程序71%、木馬下載器7%、黑客程序8%、廣告間諜軟件3%。從中我們看出,以盜取用戶隱私信息和虛擬財產的木馬占漏殺病毒的絕大多數。而這些病毒的背后都有商業運作的痕跡,部分持續更新的病毒木馬甚至購買帶寬進行商業發行。這些病毒的分發渠道,往往和色情網站、共享軟件、中小軟件下載站、部分網址導航站相互勾結。
#p#
漏殺產生的原因——安全軟件技術理念革新迫在眉睫
金山毒霸安全實驗室研究顯示,漏殺產生的根本原因是傳統安全軟件無法適應病毒生產、傳播的全面互聯網化,是傳統的病毒識別方法跟不上病毒的快速增長。具體來講有這幾點:
1、病毒黑色產業鏈的利益驅使。病毒木馬早已形成互聯網黑色產業,其非法收入每年可數千萬人民幣,有足夠的利益吸引眾多從業者和殺毒廠商打持久戰。這兩年還出現過為帶數字簽名的病毒木馬,這是更加明顯的商業化制毒販毒行為。
2、病毒木馬的傳播規律符合“長尾定律”。數量龐大的病毒木馬只感染有限數量的機器,可以減少被殺毒廠商捕獲的機會,延長病毒木馬的生存周期,有的木馬甚至可以長期潛伏,只有少量的蠕蟲病毒能散播的很廣。
3、病毒木馬作者對抗殺毒軟件加劇。病毒木馬制作者、傳播者在發布新病毒或對老病毒進行改造之前,會針對各種主流安全軟件最新版本對病毒木馬進行免殺處理,保證新版病毒不被最新安全軟件檢測到。一個可以被主流安全軟件檢測到的病毒,不具備商業牟利的基本條件。
4、傳統的病毒識別方法決定了“漏殺”必然存在。傳統的病毒識別方法是只在電腦上檢查病毒文件(一般稱之為黑文件),而病毒文件的數量卻在每天以萬種的速度遞增,黑文件不斷增加。傳統識別方法,決定了沒有哪個殺毒廠商能收集到或識別出所有病毒。
5、傳統云安全,特別是依賴用戶規模的云安全技術同樣無法避免漏殺期。其原理根據用戶電腦新文件統計學分布特征進行初步判斷。對于一些新起步的云安全廠商,其定性判斷依賴后臺服務器自動使用其他殺毒軟件掃描結果定性,具有反映遲緩、漏殺誤殺嚴重的硬傷。
6、傳統安全軟件的更新周期過長,通常是以小時為單位。將新的病毒特征分發到數以千萬計的客戶端需要消耗相當長的時間,而某一種病毒木馬的更新代價卻要小得多。比如,那些釋放后門程序的黑客只需要一條命令就可以讓客戶端瞬間更新版本,需要的帶寬也遠小于殺毒軟件。 #p#
漏殺問題的解決思路——可信云安全將有效解決病毒木馬漏殺問題
分析漏殺產生的根源,是傳統殺毒軟件以及傳統的云安全技術已經無法適應計算機病毒木馬的快速增長,需要從技術理念、查殺方法上進行根本的革新。
傳統的病毒識別方法是只檢測“黑”文件(病毒文件),而“黑”文件的數量卻是日新增數萬種,安全軟件永遠沒有能力收集完所有的病毒文件。這一點,從各廠商每年公布的病毒統計報告就可以看出,沒有任何兩個廠商收集的病毒數量完全一致。
解決漏殺問題,必須采取全新的病毒鑒別理念。一個重要的突破是“可信云安全”,其理論基礎是,用戶電腦上的正常程序(“白”文件)可以被近乎完全的識別出來,只有非白的文件才會對用戶有威脅,把非白文件隔離,系統就安全了。
作為全新的可信云安全殺毒軟件,主要可以依靠三個重要的特征庫:本地正常文件白名單庫+本地流行病毒特征庫+云端海量特征庫,高效快速的完成病毒程序的鑒定和清除,同時盡可能消除誤報或漏報。
另外,傳統安全軟件解決漏殺是靠更新頻率,從原來的每天升級改進到每小時升級,但都必須依賴客戶端下載升級。而“可信云安全”的體系并不依賴于客戶端升級,云服務器以分鐘級更新特征庫,客戶端只要能聯網就能得到最新的病毒防御能力。這種快速響應能力是傳統安全軟件無法做到的,這一點也在很大程度上縮短了漏殺期的存在,最大限度的解決了漏殺問題。
