主持人: | 各位网友大家好!今天我们请来了瑞星反病毒专家史瑀先生就“熊猫烧香”病毒问题进行访谈。史瑀是一位非常年轻的专家,但是在病毒方面是一个高手。“熊猫烧香”在2006年年末和2007年年初集中爆发给用户带来了很大的损失,它的特点是什么呢?
|
史瑀: | 我们最早拿到的样本是11月14号,随着“熊猫烧香”变种不断出现,1月9号的时候病毒上升的非常快,我们的客服中心每天接到的电话数量非常多,10号左右每天差不多1000个电话左右。目前为止数量有所下降,但仍然维持在几百。这个病毒和以前出现的维金变种很像也是感染可执行文件产品。但是“熊猫烧香”有一个新的发展,就是它会尝试用各种各样的手段综合传播。感染可执行文件是一方面,另外通过系统的漏洞、利用1月份出现的QQ的漏洞,这个漏洞在刚被发现以后两三天之内就被病毒作者利用进行传播这个病毒。这个病毒会通过局域网共享进行传播,主要是弱口令,比如用户管理员密码很简单,或者没有设置,“熊猫烧香”病毒自身带一个密码的字典,会拆解一些简单的密码,如果发现比较简单,它拆解到了会轻易的进入到你的电脑中。它可以自动完成挂马,就是一些网站有一些漏洞,黑客给这些网站嵌入一个页面代码,用户访问的时候会被感染。“熊猫烧香”会把这个过程自动化,感染计算机以后会搜索HTML等网页格式,把这些病毒代码嵌入这些网页上。我们检测过程中有几个大型网站已经受到这种攻击。所以相对于其它病毒这是最特殊的地方,也是它大规模传播的原因。 |
主持人: | 它有这么多传播手段,而且还自带了密码字典,那么病毒体大小相对于原先遇到的是比较大还是比较小呢? |
史瑀: | 对于感染型病毒来说比较大的,但是对于木马来说不算大。它应该算蠕虫病毒。 |
主持人: | “熊猫烧香”除了把可执行文件感染之外还有什么危害呢? |
史瑀: | 它感染的特征并不是破坏的最终表现,它的最终目的是从网站上比如盗QQ或者网络游戏的密码,这些木马病毒可以把用户的计算机密码发送给黑客,其实它背后是有经济利益的。 |
主持人: | 瑞星推出了专杀工具,是从什么角度对“熊猫烧香”病毒角绞杀的呢? |
史瑀: | 以前我们拿到一个样本就会升级一次专杀工具,但是后来发现病毒变种越来越多,所以我们从1.5版本引入了家族特征的专业技术,通过这个技术手段对“熊猫烧香”进行有效的查杀。只要用户电脑上内存中有“熊猫烧香”病毒的进程,我们可以通过专杀工具就可以找到,就可以清除掉。 |
主持人: | 瑞星推出这一系列的专杀工具过程中做了哪些详细的改进完善步骤呢? |
史瑀: | “熊猫烧香”病毒它会感染可执行文件,它会感染网页格式的,在网页中添加有害代码,我们的专杀工具可以修复感染EXT文件,还可以把嵌入代码删掉。这是其它专杀工具不能做到的,一些专杀工具不能对网页进行处理。我们当时去过用户的计算机那儿看,这是一个企业用户,整个网络感染了病毒,用的杀毒软件只对可执行文件进行查杀,但是它整个网络有一个中心的办公系统,是基于网页格式的,病毒杀掉以后,因为登陆的是网页格式的平台,马上又感染上了新的“熊猫烧香”病毒。另外国外杀毒软件对“熊猫烧香”病毒会直接删除被感染的文件也不会修复,我们在修复方面做了大量的工作。 |
主持人: | 维金病毒的时候许多可执行文件都很难修复,那么“熊猫烧香”病毒是否能把已经感染的文件修复呢? |
史瑀: | 维金病毒本身会覆盖一些原始数据,所以有些不能修复。但是“熊猫烧香”病毒只是把病毒的代码在最尾添加一个标记,清除的时候把这些代码还原是很容易做到的。 |
主持人: | 瑞星杀毒软件本身是否也能够对“熊猫烧香”病毒进行防杀? |
史瑀: | 这是肯定的。因为我们推“熊猫烧香”专杀工具,一般都是有些病毒在社会上流传比较广,或者大规模爆发了,因为瑞星作为国内知名厂商有这个责任去控制国内的疫情,所以对我们来说一般出现这种疫情会免费发放这种专杀工具。它是在杀毒软件之外免费给社会用户,或者是非瑞星用户使用的工具。瑞星杀毒软件本身用户正常升级是完全可以查杀这一病毒的。 |
主持人: | 瑞星杀毒软件对以前被破坏的文件也能恢复? |
史瑀: | 对。文件型病毒查杀都是要恢复文件的。只不过有些杀毒软件只能删除,不能恢复。 |
主持人: | 我印象里“熊猫烧香”很早就看到了,为什么会现在爆发这么严重? |
史瑀: | 这个病毒也没有在一个时间领域突然爆发,它是逐步逐步的越来越多。 |
主持人: | 是不是跟病毒作者逐步完善了病毒的感染手段有关? |
史瑀: | 我们现在已经拿到几百个变种,不排除有一些用户改了原始病毒,或者仿造病毒的传播特征或者是它的一些表现伪造一个熊猫烧香病毒,所以造成“熊猫烧香”的变种大量泛滥这是它传播比较多的原因。 |
主持人: | 从目前趋势来看“熊猫烧香”病毒这把香是否会烧的越来越旺? |
史瑀: | 很难说,通过网民的意识不断提高来说会有一定的遏制。但是现在又发现了两个类似“熊猫烧香”的变种病毒,一个是病毒图标变成人的头像,另外一个是金猪。它俩也是感染文件以后把被感染的文件图标变成这两个。现在很难说这两个病毒是不是“熊猫烧香”病毒作者做的,但是随着“熊猫烧香”病毒感染泛滥势必会有很多人学习或者模仿这种手段编写病毒。 |
主持人: | “熊猫烧香”病毒可以说是比较容易被大家利用,写出一些比较新的病毒变种。 |
史瑀: | 我们不排除“熊猫烧香”原代码已经被泄露,被大家改写。另外通过多手段同时传播可能会成为未来病毒的主要手段。 |
主持人: | 目前病毒主要传播手段有哪些呢? |
史瑀: | 主要是通过这几个手段,但是没有把这几个手段综合起来。 |
主持人: | 这是大家没有想到还是综合起来有什么困难吗? |
史瑀: | 以前病毒作者可能觉得一种传播手段就够了,以前编写病毒者是利用一种传播手段,他主要是想展现自己的病毒技术。而现在的病毒需要尽可能的扩大传播范围。所以能有多少种传播手段就会都用上。 |
主持人: | 是不是可以理解为这次“熊猫烧香”病毒已经不是个人行为,有很强的经济利益? |
史瑀: | 对。 |
主持人: | 是不是有人在支持“熊猫烧香”病毒作者呢? |
史瑀: | 这个很难说,但是确实有经济利益在里面。现在很多病毒都是有经济利益在里面的,现在病毒和流氓软件之间也有一定的连接的。 |
主持人: | 是作者之间互相合作还是背后有某些厂商的身影? |
史瑀: | 流氓软件一直是很严重的问题,去年我们推出卡卡上网安全以后,把有些杀毒技术放到流氓软件里,使得流氓软件也能够有效的被清除。同时,有许多大的厂商也注意改进了自己的软件,去掉了那些流氓软件的特征,所以现在它的危害程度降低了。但是有一些很小的流氓软件厂商因为本身就是要靠这个吃饭的。如果把它杀绝的话可能公司就倒闭了,所以有些小的流氓软件厂商干脆就直接转换成病毒,或者跟病毒合作获取经济利益,这是他们的一个发展方向。 |
主持人: | 这次“熊猫烧香”本身是不是还没有跟流氓软件挂钩? |
史瑀: | 我们主要发现的还是下载盗号木马的比较多。 |
主持人: | 在以前,使用某些流氓软件工具的时候发现它还是比较实用的,后来发现越来越难卸载,我们喜欢它功能的同时痛恨它不告而知的安装行为。 |
史瑀: | 有些软件推广方式,比如一个正常的软件,比如要看一个视频播放软件或者下载软件,这对我来说是很实用的功能,但是安装完了以后会发现跟这个功能毫不相干的软件,这些软件如果不安装这些下载软件的话可能永远不会装这个软件,但是通过强制安装或者捆绑强制安装的手段安装到用户计算机上就会有一个装机量。我们当时推出反流氓软件公司的时候也考虑到了这点。反流氓软件和杀毒软件唯一区别就是扫出这些软件以后会把名单列出来,让用户自己选择删除哪个。 |
主持人: | 有些流氓软件是几个流氓软件纠缠在一起,我只想使用其中一个软件的功能,用瑞星卡卡扫描以后是否可以呢? |
史瑀: | 可以,你自己可以指定卸载哪个软件。 |
主持人: | 那么如果一个流氓软件里有很多功能,只想使用其中一块功能这个有办法吗? |
史瑀: | 这个很难。因为有些软件本身弹出一些窗口,这很难处理的。如果它没有告知用户软件会弹广告,或者弹了广告用户不知道是软件弹的,以为是系统自动弹的软件,这种软件我们也会列出来,让用户选择到底是卸载还是不卸载。 |
主持人: | 流氓软件最重要的是没有相关的法律,所以很多厂商都谈到就是因为这一点造成没有办法把流氓软件完全的查杀,瑞星是否也有这方面的顾虑呢? |
史瑀: | 也有这方面的顾虑,但是安全厂商责任是保护用户的安全,我们觉得只要为用户做一些事情就没有错。 |
主持人: | 现在所采取的手段一个是方便用户,另外应该也是为防止法律上发生一些摩擦吧? |
史瑀: | 对。 |
主持人: | 瑞星杀毒软件目前杀毒引擎研发状况如何?是否在研制一些全新的引擎还是会做一些大的改动? |
史瑀: | 我们每年引擎都会做一些新的调整。今年的引擎是加了一个虚拟机的脱壳技术。目前很多病毒或者木马会通过一些加壳工具,瑞星脱壳技术会自动脱壳。 |
主持人: | 有些病毒会加了很多层壳,瑞星虚拟机也可以杀这种吗? |
史瑀: | 理论上是多壳处理。 |
主持人: | 虚拟机里会一直到爆出了病毒本相之后才会停止,是吧? |
史瑀: | 对。 |
主持人: | 在平常的网友讨论中,认为虚拟机占用的系统太大? |
史瑀: | 其实我们现在的虚拟机不是完整跑起来的虚拟机,我们的虚拟机只是让病毒完成脱壳过程,所以占用非常小,速度也很快。当然现在脱壳有两种方式,一种是硬脱壳,另外一种是虚拟脱壳,虚拟脱壳国内很少有厂商能完成。现在国内能够完成脱壳的虚拟机一个是微软在中国的一家公司,瑞星是国内上第四家能够完成编写脱壳操作系统的虚拟机厂商。我们在新版引擎中把虚拟机的核心技术拿出来用来脱壳。 |
主持人: | 我以前使用瑞星杀毒软件的时候总是有一些感觉,瑞星运行起来之后系统不像原来使用那么顺畅,后来看资源管理器占用不是非常大,为什么有这么明显的变化呢? |
史瑀: | 如果安装杀毒软件打开文件监控都会感觉到变慢一些。因为比如操作系统访问或者打开一个文件,打开之前先扫描病毒,如果发现这个文件是正常文件就放弃继续扫描,如果是病毒的话就直接删除这个文件。打个比方,以前乘坐飞机或者火车的时候不需要复杂的手续,上车很快,但是这样不安全。如果上火车之前加一道安检这样速度减慢一些但是肯定是安全的。所以为了安全必然要付出一些速度。 |
网友: | 听说最新的卡巴斯基在线升级免疫了“熊猫烧香”病毒,瑞星这方面有没有什么新的突破? |
史瑀: | 一个杀毒软件抵御所有的病毒是不可能的,而且一些国外杀毒软件不能完全发现“熊猫烧香”的病毒变种,因为“熊猫烧香”是感染可执行文件的,很多国外安全厂商做法是只把被感染的文件删除掉而不能修复文件。 |
主持人: | 国外软件为什么采取直接删除,他们在其它国家也是采取同样的方法处理病毒吗? |
史瑀: | 由于样本是从国内传播过去的,可能他们获取的信息量不足,或者本土化分析做的不够。 |
主持人: | 我私下了解到一些信息,有些国外杀毒厂商对“熊猫烧香”病毒体分析的过程到现在还没有结束。也许正是这种原因——也就是本地化不够,所以对病毒体进行分析的时候没有像国内厂商反应这么快。 |
史瑀: | 病毒分析的时候应该还有技术在里面。 |
主持人: | 这句话我是否可以理解为:对付国内病毒的时候国内厂商在病毒分析技术上比国外更优越? |
史瑀: | 从病毒获取反应来说,包括升级、包括查杀国内本土化都有绝对的优势。 |
主持人: | 这方面技术上我们是不是也能够领先于国外? |
史瑀: | 之前在国外的评测上我们也取得了不错的诚意。而且那个是以欧美的病毒样本进行测试的。 |
网友 : | 我使用的WIN2000操作系统,用瑞星专杀查杀病毒之后杀毒软件不久就挂掉了,计算机重新感染,针对这种情况都有可能是哪些原因造成的? |
史瑀: | “熊猫烧香”病毒之所以厉害它不管是感染执行文件,还可以通过弱密码和网页传播因为它的传播手段比较丰富,有可能杀完以后尤其是在局域网里的计算机,如果电脑存在漏洞杀了以后可能立即被感染回来。在瑞星网站上我们写了一些防范“熊猫烧香”的措施,如果有了安全措施以后会阻止“熊猫烧香”病毒再次感染。实际上“熊猫烧香”病毒也表现了我国大部分用户安全意识仍然不是很强。“熊猫烧香”病毒利用了很多用户,如果把漏洞及时补上“熊猫烧香”病毒会防范90%的。我们网站有一个在线杀毒,下载版和个人防火墙的下载版,但是发现很多人不知道防火墙和杀毒的区别。作为整体防护来说对于防范“熊猫烧香”是最有效的。 |
主持人: | 以前跟网友讨论的时候他们认为杀毒软件是从系统内部对系统进行保护,防火墙相当于给系统穿了一层保护壳? |
史瑀: | 杀毒软件主要是防杀病毒或者木马,或者是其它有害的程序。而防火墙主要是防止黑客攻击。 |
主持人: | 刚才网友提到有些病毒户把杀毒软件直接关闭掉,“熊猫烧香”这次体现这个特征了吗? |
史瑀: | 也有。而且这个特征越来越明显。这并不是“熊猫烧香”病毒里的特征,现在很多病毒都有这样的特征。从2006年8月份出现了大量这样的病毒,比如它会针对瑞星或者其它杀毒软件都会做一些操作。8月份我们发布了2006年第一次橙色安全警报。包括最近又出现了一些新的病毒,他们会利用一些杀毒软件的漏洞,比如把系统时间改成1980年,这样有一些杀毒软件立即失效。 |
主持人: | 病毒本身关闭杀毒软件还有很多手段,杀毒软件本身是一个非常大的目标,在这种情况下防范以后病毒采取新的手段来关闭杀毒软件是否有一劳永逸的方法? |
史瑀: | 这种东西没有一劳永逸的。而且杀毒软件是处于明处,只要我们的产品放出去,对一些分析人员或者对病毒编写者来说就相当于把原代码公开了,他们有足够的时间分析一个杀毒软件。对我们来说一个病毒出现我们分析可能需要几分钟或者几十分钟,所以对于我们来说,其实我们也做了相应的一些努力。比如说针对一些主流的方法采取一些防范措施。 |
网友: | 我的杀毒软件从2006升级到2007,瑞星的界面发生了一些变化,请问技术和功能上有哪些改变? |
史瑀: | 技术上主要是虚拟机脱壳引擎,在我们的引擎上做了一些更新,可以对付一些加壳或者变形的病毒。包括在2007版里面我们加了一个反流氓软件的卡卡安全助手3.0,这里面用到了一个技术是碎甲。目前有一类技术叫Rootkit,现在一些流氓软件一个是隐藏自身的文件,防止其它的杀毒软件找到这些文件,即便被找到了这些文件也可以把自己保护起来,让其它的操作系统或者其它软件无法对这些软件进行操作。瑞星碎甲系统相当于在系统中加载了一个驱动,把流氓软件的保护外壳打掉,使杀毒软件很轻易的查杀这些病毒。 |
网友: | 卡巴斯基声称自己能够不在升级情况下删除“熊猫烧香”病毒,国内软件都无法做到,瑞星怎么看? |
史瑀: | 瑞星已经针对这个事件发表了声明,在我们的网站上可以看到。 |
主持人: | 国外厂商有这样的说法是对自己的信任还是确实达到了这样的效果? |
史瑀: | 12月份光缆断裂的时候造成很多国外杀毒软件无法正常升级,对这个病毒的防范很差。瑞星当时发布了一个举措,为了保护国内用户的网络安全,推出了免费让用户可以到我们网站下载这个软件让用户免费使用。现在他们(某些国外厂商)发表一些不实的言论对我们进行攻击,实际上我们测试的过程中手里的几百个样本,国外的杀毒软件查毒率会漏掉很多并查不到。另外病毒会感染可执行文件和网页文件,我们用国外杀毒软件试了一下这个软件只能删除不能正常修复。另外它不能扫描掉被感染的网页,只能扫描到可执行文件,这是它防范起来的局限性。 |
主持人: | 我们的一款杀毒软件如果说不能及时升级病毒库,但是由于采取了有效的防范方法,是否就能够使得病毒不能传播? |
史瑀: | 这也是可以做到的。比如我们的软件有注册软件库等等,但这不是绝对的。因为主动型的防御需要用户参与,很多用户技术并不是很高,对这个不是很了解,他可能错误的选择,而这也容易感染病毒。另外“熊猫烧香”是主动感染的,不能百分之百的防范。所以当时他声称可以不升级对所有“熊猫烧香”进行免疫,我们认为是不太现实的。 |
网友: | 可不可以评论一下瑞星现在的技术和卡巴斯基技术有什么区别和差距? |
史瑀: | 我们的引擎不断升级以后我们也参加了一些国外的评测,包括德国的TUV认证,我们都参加了,也取得了不错的成绩。而且在测试过程中我们认为瑞星在对于本土的病毒或者说本土化做的更有优势。包括对病毒的一些处理,瑞星做的更细致一些。 |
主持人: | 刚才提到了主动防御,在今后瑞星有没有可能不是防御而是主动攻击病毒?因为以前都是病毒攻击我们,我们防,以后可不可以倒过来? |
史瑀: | 杀毒软件杀的过程就是攻击的过程。杀毒软件主动出击不太可能,因为它本身就是处于被动防范的位置。 |
主持人: | 是不是因为杀毒软件本身一开始定位就是防御? |
史瑀: | 对。其实攻和防都是杀毒软件能做到的。杀毒引擎就是攻击的过程。 |
主持人: | 马上到春节了,春节这一段和之前“熊猫烧香”发作的时间现在属于空档,这个时候专家有没有什么建议,或者再进行一些什么提前的准备防止以后大规模病毒的爆发? |
史瑀: | 我们在瑞星官方网站上放了针对“熊猫烧香”病毒的防范措施和查杀的手段。用户可以到上面看,这个防范措施对其它类的病毒防范也是非常的。用户可以按照这个操作一遍,包括瑞星杀毒软件里面有一个漏洞扫描功能,可以扫描一下计算机有没有漏洞,该打的补丁打上。另外春节期间有可能有人利用病毒诈骗,这也是我们需要防范的。通过电子邮件传播的病毒如果有附件的话用户不要轻易打开,包括通过QQ或者MSN连接发的文件也要跟对方确认一下是不是对方确实发的。 |
主持人: | 昨天我就有一个朋友发来一个邮件,是一个连接,我没有点,我先发短信询问了一下。结果,这果然是一个有问题的邮件。 |
史瑀: | 特别是一些大的节日前瑞星会发布一个预警,提醒用户应该从哪几方面做好安全防范措施,用户也可以关注一下我们发出的新闻。 |
主持人: | 现在已经出现两种新的类似于“熊猫烧香”的病毒,一个是金猪一个是人头像,这两个病毒春节期间会不会形成新的爆发? |
史瑀: | 很难说。“熊猫烧香”病毒已经比较泛滥了,比较有特点。病毒出现以后一定会有模仿者仿造它的传播手段或者工具手段编写一些仿造的程序。包括很早比如说2000年左右,或者99年末出现了一个尼姆达病毒也很泛滥,之后也有很人多效仿。“熊猫烧香”病毒也是基于这个轨迹来走的,很可能出现大量仿造“熊猫烧香”病毒的变种病毒出现。“熊猫烧香”病毒在我们监控过程中发现它自身也不断的更新,所以春节期间一定要做好安全防范的措施。 |
主持人: | “熊猫烧香”现在可能推出最后一个版本了,目前检测情况看是否有新的更新呢? |
史瑀: | 在我们实际检测过程中发现了这个版本之后出现了很多这样的病毒。 |
网友: | 瑞星对“熊猫烧香”病毒的查杀过程是怎样的,听说瑞星对“熊猫烧香”病毒分析了四天才解决这个问题? |
史瑀: | 当时有一个新闻说了四天,但是真正分析这个病毒不需要那么长时间,很短的时间。之所以加班四天主要是比如说有的时候下班发现有的人反应过来有新的变种,或者晚上有人突然说有新的变种发现了。包括专杀工具编写完了以后我们需要测试,这些都需要一定的时间。并不是说我们分析这个病毒需要四天的时间,这个时间太长了。而是整体的针对这个病毒的反应过程。因为有的时候有可能晚上突然有用户反应有新的变种,不少人感染了这时候要争取很短的时间内把它处理掉。 |
网友: | 为什么瑞星的价格要比卡巴斯基的贵,杀毒软件市场价格都由哪些因素决定? |
史瑀: | 很多因素,包括研发费用、市场策略。只能说让用户自己体验吧,到底瑞星值不值这个价格。现在光缆断裂瑞星定了免费到3月29号提供用户使用。 |
网友: | 瑞星抗打击能力怎么样,因为我发现国产软件太容易被病毒干掉,有什么好办法没有? |
史瑀: | 很多人反应Windows安全并不高,但是一些国际组织检测Windows安全是最高的,之所以被攻击是因为量比较大。所谓“树大招风吧”。我们在防杀,包括被病毒破坏这些我们都做了相应技术准备。国外之所以很少,主要是用户量比较小,一般病毒作者不会考虑这些,但是随着用户量大了以后一些新的病毒也会针对他们进行操作。 |
主持人: | 这种病毒专门针对杀毒工具进行攻击的现象是国内独有的还是国际上都是这样的? |
史瑀: | 我们发现国内病毒比国外发展还要快,因为很多国外新的技术趋势是我们去年就很早见识到了,所以这方面国内更有严重一些。 |
网友: | 瑞星在VISTA上面能用吗?前几天我在朋友那看到装上去监控不起作用? |
史瑀: | 现在的瑞星是可以支持VISTA系统的。 |
网友: | 瑞星以后的发展方向是被动防御还是主动防御? |
史瑀: | 未来都是主动防御和被动防御相结合的,单靠某一方面无法保证用户的电脑安全。 |
主持人: | 是不是被动防御为主,主动防御为辅? |
史瑀: | 现在提出主动防御都是基于行为判断。行为判断需要用户大量的交互式,特征码是对付病毒最有效的方式。 |
主持人: | 对于未知病毒怎么攻击呢?除了虚拟机技术之外还有什么其他的方法? |
史瑀: | 其实“熊猫烧香”病毒里我们已经有一个“家族”方面的查杀手段。而且这个我们也有申请专利。 |
主持人: | 今天非常感谢史瑀先生的光临。 |
史瑀: | 谢谢! |