金山壳牌首席执行官陈瑞: 木马比我们想象的要狡猾

9月21日，金山软件公司原首席技术官，金山壳牌安全技术首席执行官陈瑞在金山毒霸召开的云杀媒体会议上，讨论了“云杀”和“云安全”问题. ”. 他与业界人士分享了他的看法，并详细介绍了带有“ 100％云消除”功能的新产品“金山壳牌木马特杀”.

壳牌安全技术首席执行官陈锐

“金山壳牌木马特杀”产品已于今年6月发布，并将在今年年底发布2010年的新版本. 它是新一代Internet安全产品，将云查杀和云防御深度集成.

Chen Rui在病毒行业有7年的经验，他从多个角度分享了当前Trojan溢出的原因，并深入分析了反病毒Trojan领域所面临的问题. 以下是壳牌安全技术首席执行官. 在会议上的精彩观点.

病毒仅占Internet威胁的3％

从2008年到2009年的病毒和木马来看，它仍然具有爆炸性的增长速度，但是病毒的比例正在进一步下降，现在病毒仅占Internet威胁的3％. 五年前得出这个数字是不可想象的. 当时，病毒的数量远远超过木马. 但是现在，病毒仅占病毒总数的3％，并且病毒数量仍在快速增长，这反映出木马的数量和增长率远高于病毒.

此外，新的木马山毒霸每天升级3次，病毒的更新频率在业界遥遥领先，然后每天3次，每天5次，每天12次，直到每小时一次，面对这种情况仍然跟随木马，看看谁更新得更快，但是很明显，木马的更新速度要比反病毒软件的更新频率高得多. 因此，仅通过传统的查杀方式就可以解决该问题，而“金山壳牌木马特杀案”可以完美地解决该问题.

木马程序也可以精确传递

精确广告现在是行业中的流行术语. 从更精确，更科学地分析木马的方式来看，它已经变得更接近广告模式并且更加有害.

大多数威胁都是吊马. 例如，在一个游戏玩家更喜欢的论坛中，别有用心的人会竭尽所能挂马，因为该论坛的用户群相对固定，而木马更简单. 适用于游戏玩家及其帐户. 其原因是因为木马的输入也要付出一定的代价. 当然，我希望每匹木马都放在可以窃取数字的计算机上.

目前，使用搜索引擎放置木马的效率非常高，尤其是那些游戏玩家中非常流行的游戏辅助工具. 玩家进入搜索引擎搜索此工具后，他们无意中下载了一堆木马. 如此众多的玩家不知道帐户是如何被盗的，这与这些都有关.

例如: 魔兽. 谷歌搜索，结果可能是

有一匹木马，用户无法直观辨别. 为此，“金山贝壳”做了一个特别的主题，提醒用户注意.

此外，该木马将使用邮件和IM进行定向欺骗. 现在，木马程序的作者的思维方式也更加灵活. 过去，他们通常通过程序来做更多事情，但是现在，他们可能是手动雇用的，例如雇用人们与您聊天，向您发送漂亮女人的照片，我们认为这是一台机器，实际上是一个真实的人在二级城市的人很少.

免费杀死是木马的必修课程

现在，在互联网上搜索“免费杀人”，比起反木马，有更多的教程可以教授免费杀人. 还有一种趋势: 越来越多的人员加入木马和木马的行列.

据了解，目前木马行业中的技术独立部门非常成熟. 过去，当您成为木马时，您可能不得不独立面对许多问题，例如: 能够窃取号码，能够为服务器提供服务，能够升级，能够避免杀死甚至杀死反软件. 病毒软件优先. 但是现在这些问题都消失了，因为该行业有详细的分工，下载器不再需要您自己去做，他可以帮助您做很多事情，您编写木马的人只需要编写木马就可以了，这些都是打包程序. 由更多人士提供.

为了生存，该木马将在所有防病毒软件环境中运行，然后再发布，以确保在出售前无法将其列出，因此防杀已成为木马的必修课.

对于反杀，所有安全软件都面临着无法解决的严重问题，表现在以下几个方面:

1. 木马突破100M非常容易. 如果我们杀死100个木马，则特征库将有100个，这还不够.

2. 仅用Trojan进行更新是不够的，因为它相对较小，并且没有测试，并且防病毒软件还面临是否存在bug的问题.

3. 有太多样本需要详细分析，包括误报和误报. 为什么会这样呢？样本仍然太多，分析起来更加困难.

4. 无法及时获取样本，对新木马的响应速度很慢. 木马只能窃取一个数字十秒钟以上，但是木马需要很长时间才能获取可以在用户计算机上更新的病毒.

因此，当出现新的木马时，某些受害者很容易出现，并且通过安全软件识别新的木马是不可靠的，因为所有新的木马都会在启动之前使用市场上流行的木马. 安全软件将对其进行扫描. 如果对它们进行了扫描，则将再次对其进行更改，直到您不对其进行扫描为止，并尽最大努力避免造成杀伤力. 因此，尽管所有安全软件都完成了查杀，虚拟机等功能，但无法使用.

例如，木马有一个外壳，这个外壳很奇怪，我们认为大多数外壳不是一件好事，我们将报告此外壳，然后木马将其更改为外壳，结果是此Shell的普通软件. 错误报道. 最终，发现您拿着走进人群，击中了坏人. 坏人没有开，伤害了好人.

敌人是黑暗的且具有自我识别能力，主动防御不足以杀死敌人

当Kaba 8.0主动防御出现时，它对木马非常有效. 正式发布后，发现它不如预期的好. 原因是敌人是秘密地自我识别的手机贝壳杀毒软件，等同于设定目标. 敌人可以在一个月之内轻松破坏您，但是防病毒软件不可能每个月更改一次防病毒程序.

因此，安全软件将延续当前的技术框架，仅用两个字（被动）来面对这种情况. 主要原因如下:

首先，Trojan对Internet的了解领先于安全软件. 实际上，病毒和木马一直是先锋. 就像蠕虫传播时一样，他们非常注重互联网. 后来手机贝壳杀毒软件，这种方式称为病毒式营销. 在没有互联网的情况下，小偷比较低调，因为他知道一旦找到它，就可以轻松杀死它. 安全本质上是一场对抗性战争，进攻性和防御性战争.

第二，主动防御类似于Macino防御. 例如: 保险柜的尴尬. 2007年，金山毒霸360和瑞星基本上同时推出了类似于保险柜的产品. 该产品的每个制造商都已进行了半年以上的研究和开发，技术水平很高. 因为现在所有木马都可以登录保险箱，这非常具有讽刺意味. 因此，特定技术或主动防御类似于Mackinaw系列. 他必须绕过你，即使他在地面上挖了一个洞，他也会决定你.

第三，传统的身份验证方法能否满足当前的吞吐量要求. 目前，木马的判断基本上是每天识别数百个木马，每天增加100个，每年增加30,000个，与木马的增长速度相比，不值一提.

第四，为什么要占用这么多资源？因为很复杂. 当前的防病毒软件的复杂性与五年的防病毒软件完全不同，因为它面临着更多的问题. 对于木马来说，代价相对较低，应该被杀死，这是逃脱的祝福；对于用户而言，防病毒软件可以多次保护您，但是只要一击中毒，用户仍然会说您不，不，所以我们会尽力完善它并占用更多资源也无奈.

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/ruanjian/article-202982-1.html