病毒和杀毒就是一场没有终点的赛跑,这一点在木马修复上表现最为明显。以前,专门针对木马破坏设计的修复工具,主要工作模式是,先将木马的破坏行为记录入库,检测到该木马入侵的特征之后,再将木马改写的系统配置还原到正常状态。不过,当木马的数量越来越多时,就会发现这个特征库变得很庞大,处理效率会下滑,而且误报木马特征的情况也时有发生。日前,金山安全发布了金山毒霸2011 最新版本,采用了全球首个“系统修复”引擎,以“可信云安全”为核心的白名单杀毒技术,以不变应万变,彻底避免了修复引擎陷入无休止的特征库升级陷阱,开辟了而一个新的反木马时代。
“绑架型”木马爆发 杀毒技术面临革新
一般认为,木马就是悄无声息隐藏在系统中的恶意程序,通常并不具备主动传播性和破坏性。找到木马程序所在,删除后,系统就会恢复正常。随着技术进步,传统木马实现开机启动的“招数”被杀毒软件一一识破。这种情况下,传统木马必须变革才能继续生存。病毒木马产业链的从业者,绝不会放弃继续入侵系统的努力。金山安全中心监测到绑架型木马已经出现并正在迅速成为木马主流。
绑架型木马具备传统木马的多数优点,比如隐蔽性好,不易被发现。最大的区别在于,绑架型木马会改写操作系统核心组件、伪装成常用应用程序的一部分。有相当多的木马不会在一开机时就自动运行,而是在用户运行某些特定的程序时,才悄悄运行。木马的这种技术革新,大大提高了生存能力,病毒木马产业链的从业者才有可能继续获得非法收益。
据金山安全中心监测,2010年以来,绑架型木马越来越成为病毒木马程序的主流。只针对木马程序文件进行处理的杀毒软件显然力不从心,经常有网民反应查杀某些病毒之后,在线游戏无法运行,系统经常报错,找不到输入法,浏览器不能上网等等异常。这些就是简单删除绑架型木马文件造成的后遗症。
杀毒软件必须适应这种技术变革,网民需要的是既可以完成木马清除,并同时将系统修复完善的安全软件。金山毒霸2011 的系统修复引擎就是在这种背景下逐步成熟。
全球首个“系统修复引擎” 以不变应万变
以前也有一些专门针对木马破坏设计的修复工具,比如金山清理专家和360安全卫士等产品。这些工具是将木马的破坏行为记录入库,检测到该木马入侵的特征之后,再将木马改写的系统配置还原到正常状态。当木马的数量越来越多时,就会发现这个特征库变得很庞大,处理效率会下滑,而且误报木马特征的情况也时有发生。
金山毒霸2011的系统修复引擎是以“可信云安全”为核心的白名单杀毒技术,简单说,就是无论绑架型木马把系统修改成什么样子,任何未被云引擎判断为安全的项目出现在敏感位置均视为可疑,这时金山毒霸均会无条件将系统修复到默认值。这样以不变应万变,避免修复引擎陷入无休止的特征库升级陷阱。
以2010年1月爆发的“潜行者”木马为例,这是一个典型的绑架型木马。在过去,木马为了侵入网游,必须在启动项中进行加载,所以安全软件可以通过启动项检查发现是否有木马进入系统。而像“潜行者”以感染windows系统文件Dsound.dll、Ddraw.dll作为跳板,把木马加载进网游,可以绕过大多数安全软件的检测。
对于潜行者病毒,多数杀毒软件在查杀后造成系统找不到Dsound.dll、Ddraw.dll文件,导致运行网游时弹出系统文件丢失提示。从百度、谷歌等搜索引擎搜索量情况来看,网友对Dsound.dll、Ddraw.dll文件的搜索量暴增,也可以确定网友对杀毒软件只管查杀,不管修复是如此无奈。
与传统杀毒软件只对木马文件进行查杀的处理办法不同,金山毒霸2011启用了全新的系统修复引擎,在查杀掉木马文件之后,逐一检查用户系统关键位置,修复病毒存活时对关键位置进行的非法篡改。因此,用户在使用金山毒霸2011 版对“潜行者”木马进行查杀后,就不会出现网友抱怨的系统文件丢失等杀毒“后遗症”。
“三引擎”让杀毒更轻松
金山毒霸2011 版除了新增了系统修复引擎外,同时启用了可信云查杀引擎与本地蓝芯II引擎。也因此成为全球首款三引擎的杀毒软件。其中,蓝芯II引擎负责本地高效查杀,而可信云查杀引擎与云端对接识别未知文件,系统修复引擎修复中毒后造成的系统破坏。三引擎协力工作,不仅完美防范病毒,同时在清除病毒后使电脑正常如初。
首先,金山毒霸的可信云查杀引擎与海量文件身份数据的云安全服务连接,坐拥1000G黑白名单数据库,识别电脑上每一个文件的安全性。其中,独有的白名单优先技术,因为了解您电脑上每一个文件的安全性,所以对可信的文件不再扫描处理,大大节省了系统资源与所用时间。这是传统杀毒软件所做不到的。在启用了云查杀引擎之后,金山毒霸2011 产品体积仅为普通杀毒软件的 1/3,对新病毒响应在秒级完成,瞬间响应千亿病毒;查杀速度为传统杀毒软件6倍以上,最快超过1000个文件/秒;而且对未知病毒查杀也大大增强,在未知病毒到达用户机器之前变成已知病毒。
此外,金山毒霸另外一个杀毒引擎——蓝芯II(Bluechip II)本地引擎。该引擎为新一代应用计算机科学、人工智能与社会科学结合研发的杀毒引擎。它与可信云查杀紧密结合工作,同时通过人工智能技术识别未知病毒。具有快速、轻巧、安全性高的特性。同时,蓝芯II引擎引入的微特征识别技术,仅用很少量根特征,识别大量衍生病毒(包括未知新病毒);而多重判定脚本技术,拥有上百个筛选器,针对各类病毒特征及行为进行查杀,更加有效。