安全月月谈:第七期

  今天很荣幸邀请到瑞星公司的工程师唐威先生,来到太平洋电脑网的直播间,来跟我们分析和讨论一下,关于2009年病毒疫情的报告。

全国首测!瑞星全功能安全软件2010纵览

  在上市之前,瑞星2010系列经过了众多网友的“暴力”公测,瑞星研发人员针对网友们反映的问题进行了新增或改进。可以说,瑞星2010是在广大网友与瑞星研发人员共同努力下打造的一款全新的划时代产品。那么它到底表现如何呢?笔者将向你全面介绍与评测瑞星全功能安全软件2010。

  唐威,瑞星公司高级安全工程师。从事安全及反病毒工作多年,撰写过电脑病毒和网络安全相关文章数百篇,曾在瑞星互联网安全技术大会上进行分论坛演讲,在电脑病毒和网络安全方面有深入的研究。
  安全月月谈是瑞星携手太平洋电脑网共同推出的安全信息平台。
  安全月月谈让你获取最新的安全信息动态、防治病毒木马的资讯,使信息更加安全稳固。走在安全的前沿,就在安全月月谈。
  •   主持人:大家好,我是太平洋电脑网的主编林纪雄,今天很荣幸邀请到瑞星公司的工程师唐威先生,来到太平洋电脑网的直播间,来跟我们分析和讨论一下,关于2009年病毒疫情的报告。

      瑞星刚好在过去的几天,开了一个关于瑞星云安全的技术大会,那是第二届了,去年开的第一届,这个技术大会里面有一些报告,是关于今年的病毒疫情,我们也看到一个数据,比如说今年我们的一些木马网站,在1-3月份它会有一个逐渐晋升的过程,然后到了4月份它会有一个狂降的过程,从这个数据来看,是什么原因造成了这样一种现象?

      唐 威:实际上您说的这个还不太完整,从我们瑞星云安全技术来看的话,2、3月份可能木马网站它的攻击次数是最高的,3月份以后有一个大幅度的下降,然后到了7、8月份的时候,这个数据又上去了,然后是逐渐下降,到目前为止,第三季度的时候,整个数据呈一个比较平稳的状态,原因实际上从年初那会看的话,该放的假都放完了,寒假也过了,寒假期间,2、3月份应该还在放假期间,可能学生的活跃度比较高,这样的话,按照我们以往的规律,一个寒假,一个暑假,这都是病毒和木马网站爆发的一个高峰时段,所以我们拦到的木马网站的数量也是比较多的,这是一方面的原因。

      另外一方面,随着我们09版在前年年底发布的,随着09年升级的升级,因为我们在产品中加了对于木马的拦截,应该说这个效果是不错的,再随着假期的结束,我们发现在挂马网站我们拦截到的数据有大幅度下降,下降的比例应该是非常高。

      这个情况应该持续了很长时间,都是比较平稳的状况,随着7月份,我们都知道像Office的零日漏洞,以及视频组建MPEG的漏洞,再结合着很多像跨平台的应用专软件,第三方软件应用的爆发,导致这些零日漏洞进行攻击的事情很多,而用户在那会儿,因为是零日漏洞他们没有办法进行防范,所以在7月份的时候,我们检测到的数据又呈一个比较大幅度上升的趋势,虽然上升了,但是因为我们最近对于挂马网站拦截力度也是比较强的,从我们的功能推出来,我们就经过了很多次实际的测验,一旦有零日漏洞的挂马网站出现以后,瑞星用户不需要升级就可以把这个网站给它拦截掉,所以说,瑞星用户不比为这些东西所担心,而且利用漏洞攻击,实际上是一个很久远的事情,我们能够看到从7月份以后整体的数据,又是一个比较大幅度的下降,直到目前为止,挂马网站已经处于一个比较平稳的状态。

      主持人:是这样的,我们提到零日漏洞,有些观众朋友,他们可能不太清楚什么叫零日漏洞,您可以给他们解释一下吗?

      唐 威:可以,零日漏洞,零就是数字零,就是这个意思,从字面上我们完全可以理解它的意思,比如说刚才我提到的0ffice 5WC 漏洞,实际漏洞针对程序而言,它这个程序在设备上有一些不完善的地方,而这个不完善的地方被黑客发现了,并且利用这个漏洞进行攻击,而在这种情况下,零日漏洞的意思就是黑客它在厂商之前发现了漏洞,利用零日漏洞进行攻击。

      主持人:就是利用一个时间差?

      唐 威:对,这段时间叫零日漏洞,我们作为用户存在这样的,因为没有办法解决,实际上就是这么一个情况。

      主持人:事实上,现在挂马,在不断的反复,有时候高,有时候低,近几年,从07、08、09年,你们的检测数据来说,从整体的形式上是上升的?

      唐 威:从这几年的情况来看,上升的趋势应该是非常明显的,像以前可能大家还不太清楚挂马网站,这样一个概念,随着互联网的变化,大家可能都有一个印象。所以说从数据来看的话,像以前我们比较关注的,像传统的软件病毒一直到后来的木马病毒,像灰鸽子之类的家族类病毒,而到现在,随着现在的病毒有了一个完整的,工业化链条的产生,像刚才咱们谈到零日漏洞,实际上是整个链条最开始的一步。

      主持人:其实一个环节。

      唐 威:对,这个病毒到底是怎么传播的?它是通过我们挂马网站,非常简单的技术就能达到大面积扩散、大面积传播,最后一步就是病毒的下载,盗号,包括黑客装备袭击你的系统,应该是从07年一直到09年,总体的数据都在不断上升,而且从病毒它传播的方式来看的话,通过这种网页,也就是现在的挂马网站,从以前的非主流,它自己在四年以前,可能这种传播方式占的很少,目前看的话,应该有90%的木马病毒都是利用这种方式传播的。

      主持人:关于这种传播的方式,刚才唐威给我们解释了一下,现在我们想知道的是,为什么病毒疫情报告里面,关于挂马网站,这些加重的地方有一些地域之分,我们看到在北京、广东、浙江,这三个地方它是特别特别高,而且达到了59%的一个比例呢?

      唐 威:这个情况实际上也比较好理解,因为我以前曾经也给大家提到过,电脑病毒它跟自然界病毒基本上有很大的相似度,因为自然界的病毒也分地域性,像国内的一种病毒,国内人数有这种病毒的就极少,所以说这种情况,官方网站由于其他黑客的主动攻击,或者存放木马病毒的服务器比较集中在这三个城市,主要因为这几个省事互联网的普及程度和应用程度是非常好的,尤其是年轻人,对于电脑的应用程度也是非常高,比如说我们日常的工作,基本上都是在网上进行的,如果说脱离了这个网络,估计整个公司的运作将会受到致命的影响。当然今年,这个事情实际上都有发生,因为好几个省事曾经出现了大规模的网络瘫痪事件,导致了什么样的影响,实际上从另外一个层面,可以说你这个地区经济越发达,你的计算机,或者是互联网普及度越高,你使用的用户基数就越大,这样的话,黑客为了使他每一次攻击的成本下降,比如说我举一个很简单的例子,比如我做了一个新病毒,我可能花了一万块钱,黑客他要回本,他怎么办?他的目前要让更多的人去感染病毒,如果说在一个非常边远的小山村,他去传播这种病毒。

      主持人:电脑也不多?

      唐 威:对。

      主持人:所以说要感染它,就要多覆盖群众,才能针对他的产业链里面所需要的那些利益人群?

      唐 威:对,没错。这样的话,像这种互联网普及非常高的地区,第一、从技术层面来说的话,它相对简单一点;第二、它攻击的成功率也是非常高的;第三、由于前面这两个原因,他的回报率也是比较高。所以说这三个省市发现的木马地址,这种服务器相对是比较集中的。

      主持人:对于木马病毒,测试类的网页报告来说,很多人说如果中了木马病毒,或者是…,你可能是去了一些不该进的网站,是一些没有经过认证的网站,在这方面您是怎么看的?

      唐 威:怎么说呢?正确,但不是百分之百,因为通过我们的检测,我们发现每天,基本上每天我们都可以发现有很多大型网站也会被挂,但由于大型网站整体的安全机制比较完善,有很多专业的安全维护人员在工作,所以说他们解决这种挂马的时间是非常短的,比如说大秦网站,它发现被挂马以后,可能几分钟以后就恢复了、解决了,而针对那些缺乏维护的,我发现一些中小型的企业网站,可能公司本身就没有管理人员,他是托管的这种模式,而管理人员又缺乏对于这个官网的维护,这就会导致他们被挂马比较多,前这种都是被动挂马的。第三个,比如说赌博网站、色情网站,钓鱼网站之类的,它主要的目的本身就是传播病毒,因为它的网站本身是不合法的色情网、或者赌博网站。

      主持人:像他们那个可能有一个阴暗的过程,因为他本身经营的都是非法的东西。

      唐 威:这个网站它要升级的话,就要通过它的点击量,他通过在网站本身种植这种病毒代码,让用户访问这个网站,下载的时候感染它,就很容易能实现他的赢利。举个例子,前一段时间,我通过对整个挂马网站的抽样,我随机抽取的,从一个上午,半天的我的接获量来看的话,我们同事给我打了一个包,一个TXT文档,我的那台机器,配置是非常好的,应该是4核的。

      主持人:打开速度怎么样?

      唐 威:我打开这个存满了网址的文章以后,就很慢,我以为我电脑出问题了,实际上我的电脑平时运行速度比较快的,等到半天才打开,而且可以看到里面所有的网站,基本上所有的网站,我随便看,全都是这种色情网站,也就是说,这种网站它的风险是非常高的,实际上由于它本身的性质,像这个网站,它有一批固定的人群,他专门就喜欢这种东西,所以说不管通过什么途径,他们都能找到,这样的话对于本身用户的电脑产生威胁。

      主持人:对这种网站,最近我们也看到国家正在整顿色情网站、赌博网站,还有一些不合法的网站的,开始大力整顿的时候,正规网站可能我们会反映比较快,像这种小网站、色情网站,它们可能就会被整顿,对于日后木马病毒的泛滥,是否有促进作用,或者会说比较少?

      唐 威:如果从宏观的角度上看的话,国家对这方面的打击力度应该是起到一个比较好的作用,但就用户,我个人认为他的电脑也是很危险的,因为如果你经常去访问这些网站的话,你会通过各种办法在搜索引擎中去找,或者通过其他的一些聊天的群中,你会收到这种信息,而这种网站,因为我们国家对这种不合法的色情网站,或者赌博网站进行了大力的打击以后,比如我们平时在搜索引擎中,很简单的就能找到,但现在我找起来很费劲,但如果说我一旦发现,有这么一个色情网站存在的话,它含有病毒的几率应该比以前高很多,因为以前的话,可能十个色情网站中,可能有一个,两个还没有病毒,这样的话,黑客通过剩下的八个网站,能够得到一个很好的回报,现在他的生存条件被打压了,这样他就会想尽一切办法,首先是保证他的生存,这样的话,在你访问这种网站的时候,中病毒的几率就比较高,如果用户的机子装备不太全,或者装了性能不太好的安全软件,应该说是非常威胁的。

      主持人:黑客的这种病毒制造者,他们一直对咨询网站,或者一些色情网站,赌博网站进行一些渗透,现在新兴的一些网站,比如说SNS这种网站,网民是不是在上面很安全呢?或者说用了这些网站是不是会更加威胁呢?而且相对的会有一些账号被泄露的风险,我们网民如何去防范这样的一个风险呢?

      唐 威:实际上这一两年,SNS网站应该有了一个快速成长的过程,基本上这些大城市的年轻人,可能都在上面玩一些游戏,所以说,本身它这个网站,对于安全的这种机制是有一定维护的,但是我们从另外一个角度看,第一是它网站上的游戏技术,实际上是非常容易被黑客进行大量攻击的,我们像国外的一些网站都曾经出现过黑客成功攻击的案例,而且黑客在很短的时间内,他就能获取大量的客户的真实信息,因为这个网站,实际上社区内的这种交友网站,很多网民就把自己的真实信息,包括他日常的生活状态都会在这里进行展现,如果这样的话,由于这个网站的信息被盗取,那你的影响就会很大。

      另外,由于网民自身的安全意识不太强,他可能会随意的让任何人都能找到他,在这种情况下,没有对安全方面进行很好设置的话,本身也非常容易导致自己的信息斜路。

      另一方面,像偷菜、钓鱼、牧场的这种游戏现在普及率非常高,很多人每天早上起来,早上到公司开启电脑第一件事,首先是完成这一项工作,然后再开始日常的工作,甚至有的人半夜设闹钟起来偷菜,所以在这种情况下,第一,由于我刚刚说的网站的这种技术,实际上它是比较复杂的,这样的话,一旦有类似的事情发生是很危险的;另一方面就是外挂,因为像这种游戏,SNS这种游戏,现在有很多途径,很多大量的网站都在做,而现在的话,比如专门的很多人,很多用户,包括我自己了解,很多人都在使用外挂,这种外挂又非常危险了,第一是它会记住你的账号密码,当然我们不是说这个外挂做的会不会收集你的账户密码,但是如果他想收集,如果说我想要你的密码,我作为一个黑客,我点一下鼠标就能收到。

      主持人:或者说黑客他自己制作这样一个外挂,他其实是有这样的技术,做这样一个外挂,他可能直接从后台将这数据发到黑客的油箱里。

      唐 威:对,你通过外挂,想玩这个游戏,你首先要把你的账号密码输进去,这是一方面,通过我们实际的测试或者结合样本来看的话,有些外挂本身就是病毒,或者打开这个网站后就会被下载下来,这种情况是非常多的,所以说在SNS这方面,第一个用户的安全意识;第二个技术的复杂性,还有游戏的外挂,这几点应该是对于用户的信息安全,会产生一个比较大的威胁。

      主持人:看来现在网上SNS社区也不是说完全安全,对于我们来说,其实增加自己的防范意识,可能会更加安全一点,这样子无论病毒它从哪里来,我们能够通过安装,一个是杀毒软件,就算你已经中了病毒,通过安装杀毒软件,也能够立刻将它清除出去,而且瑞星在之前的版本里面有有一些比较好的,比较快虚拟机这样一个环境,进行病毒的查杀,这样都可以工作,可能网友在前台看不到,但它在后台会有一些操作,比我们日常所见到的虚拟机操作更快,而且更省资源,关于这方面,我们刚才谈到了09年的病毒疫情,现在有一个数量上的突破,那它的质量上或者技术上是否有新突破呢?

      唐 威:首先咱们说官方网站,或者防病毒这类的,我刚才谈了很多零日漏洞,他如果想发现一个零日漏洞,需要他有本身的技术,另外一方面,说这木马病毒,实际上像目前这么大规模的工业生产的话,可能他需要很高的技术,再用一些专门的模块,再用一些自动批量生产工具,可能初中生、高中生,都能生产出很多新的病毒,这样的话,门槛就很低,另外通过我们瑞星数据安全的检测,我们发现,整个感染性病毒,它的趋势是呈明显上升的一个趋势,从1月份-7月份,应该提升了6、7倍这样的一个数字。

      主持人:应该是7个月上升了6.7倍?

      唐 威:差不多应该是这样的数据,而这种感染性,这种我们把它叫新兴的感染性病毒,感染性病毒大家可以简单的理解成以前的那种文件性病毒,那种病毒目前在这种互联网模式下,它的传播范围没有挂马网站这么普及,但是为什么还是有这么多用户感染,这是有几点原因的,一、我们把它叫新兴的感染性病毒,为什么增加了一个“新”字,因为它的技术更好,它的隐蔽性更强了。第二、它一旦感染了用户的电脑以后,可能用户没有任何察觉,因为它本身有病毒注进你的文件,直接在内存中就可以跑起来,所以说普通用户,甚至是一些专业的客户,他可能发现不了感染了病毒;第三、它一旦感染的话,它的分工是非常明确的,这种感染病毒感染你的电脑,然后它的下载模块开始下载病毒,比如像以前的机器狗,这种病毒,我一旦感染以后,我的电脑运行慢,或者导致电脑直接崩溃,而这种病毒用户中了以后,如果你的杀毒软件没有发现,你可能永远都不知道你自己中毒了,随之而来,它不断的下载盗号病毒,就会不断的把你的个人信息,游戏装备倒走,这种情况是非常危险的,我个人认为是2010年整个安全行业比较复杂的一个问题。

      主持人:现在我们除了电脑上网之外,还有一些手机上网,这些的一些浏览习惯,最近我也听说了很多朋友,经常用手机浏览搜索网站,上QQ或者做其他的事情,甚至他们开通了3G网络之后,就可以传输比较大的文件,进行视频聊天,对手机这个安全防范,是不是我们应该要提上安全日程,或者说厂方已经有足够重视了呢?

      唐 威:对于瑞星公司来说,我们关注手机安全已经有很长时间了,我觉得瑞星公司不是第一家出的,但在整个的反病毒领域,排在前列推出的对手机杀毒软件的厂商,这么多年,随着我们对这方面问题的关注,看到手机病毒它并没有大规模的传播或者是破坏作用,如果有的话,属于实验室概念的病毒形成,为什么这么说呢?因为它有很多客观因素,第一、它的上网没有电脑智能;第二、没有电脑方面;第三、它的操作系统是各种各样的系统。这样的话,同一个病毒它想实现像电脑病毒大规模的传送和破坏,它的成功率是比较低的,但是随着3G的推广,也包括我们的云安全,实际上检测到针对手机上网,WAP,什么网站,从另外一个角度能看出来,已经就黑客开始向这方面进行思考了,而作为我们杀毒软件厂商,现阶段不会产生大规模的针对手机病毒的发展,毕竟还有我刚才说的这几点条件的制约,所以说在短期之内是不会有这种情况的,但是到以后,是不是手机厂商都会统一自己的平台,统一各种接口规则,就像现在手机厂商开始考虑把所有的充电器规格统一一样,如果到了以后,真的把这些东西统一以后,肯定手机会像现在的电脑一样,而且手机是随身携带的东西,如果真的出现完全通用的状况,它的这种情况会一下子起来。

      主持人:也就是说,关于手机安全方面,至少在现阶段不会有太大的进展?

      唐 威:对。

      主持人:这可能第一首受限于其他的物理元素,另外关于一些使用习惯也没有达到那么频繁?

      唐 威:对。

      主持人:也就是网友他们用手机的习惯?

      唐 威:个人习惯不一样。

      主持人:手机方面也没有太大的问题?

      唐 威:对。

      主持人:我们也看到了一些厂商关于手机杀毒软件,对我们来说只是有一个警示作用,未来发展是怎样我们目前还不知道。

      唐 威:就像我们瑞星公司一样,我们推出了针对塞班系统,针对Windows,我们做了各种版本的手机杀毒软件,已经有很长时间了,而且针对目前3G网络的普及率上升,我们也开始在做一些新的手机杀毒软件,因为瑞星是这种专业的安全公司,我们要防患于未然,就像用户装了瑞星2010以后,他的电脑可能不会被病毒感染进来,另外针对手机也一样,虽然厂商现在没有大规模的针对手机病毒,但是我们要提前做好这种准备,然后给用户一个选择。

      主持人:我们看完了今年的病毒报告,明年的病毒疫情是否会有一些趋势,是现在可能看得出来吗?

      唐 威:从今年的数据看的话,应该能起到一定的指引作用,比如像我刚才说的感染性病毒,在明年它会继续呈一个上升趋势,因为随着我们瑞星,或者有一些其他厂商,跟随瑞星都推出了防患方式以后,这种传播病毒的成功率是下降了,这是从我们数据上能够看到的一个明显的趋势,所以他要考虑生存问题,就会逐渐走技术很复杂,主流的用户电脑更也隐蔽的感染性病毒,这是很常见的。另外作为普通用户,从我们这个层面去看这个问题的话,用户最关注的是什么?用户电脑上大家最近流行的是什么,流行软件是什么,热点是什么,这个应该是用户面临黑客,或者病毒威胁最主要的途径,因为这个我们通过今年年中的什么门的事件,见的太多了,这种东西就是因为有黑客制作的东西在后台,用户关注这个东西,我上网可以搜到,给你一个视频你打开,他就是一个传播途径,用户关注的东西会成为黑客关注的热点。

      主持人:其实还是个人防御意识的问题,无论是杀毒软件它的防御能力有多强,它的功能有多好,你装一个杀毒软件,其实对于杀毒软件来说,对于个人来说还是防范意识最重要,如果没有防范意识,杀毒软件也起不到很好的防范作?。

      唐 威:毕竟没有一款杀毒软件能够达到百分之百的安全,如果有这样一款的话,就没有其他的杀毒软件了,所以说这种情况是肯定的,用户提高自身的这种安全一时,和自身对于电脑的防范能力,对于保证电脑安全应该是非常重要的一步。另外受整个环境的影响,越来越多的零作业的功能软件,特别多,用户可以选择的余地也特别大,但这种软件它到底能不能恒久的保证用户电脑不受各种威胁,它可能给你装很多软件,比如我给你装保护网银的,或者包括杀木马病毒,因为木马只是病毒的一类,我还给你装保护其他的感染性病毒的,等等,这样对于用户电脑还是一个资源占用,另外也会出现一些冲突问题,这也是很复杂的,另一方面,我觉得对于用户而言,并不是一个好事,如果他选择了一个不太好的方案,有可能对它的电脑在一定的时期内,会产生很严重的问题。

      主持人:因为用户其实对于杀毒软件的内容不太了解?

      唐 威:对,他是不太了解的。

      主持人:可能他在做这个事情的时候,可能某一款软件他会觉得不错,但还没有一个全套的安全保护。

      唐 威:或者它本身也不是足够完善。

      主持人:只凭嘴皮子功夫的问题。

      唐 威:嗯。

      主持人:好,今天我们太平洋电脑网关于09年病毒疫情报告的分析,现在就告一段落,谢谢我们瑞星公司的工程师唐威先生,谢谢!