聚焦：反病毒軟件未來是否還能繼續前行？

　　在至少十年之內，對每位計算機用戶的忠告就是，在他們的電腦上安裝反病毒軟件。但由於新的惡意軟件更加商業化，更加復雜，更加隱蔽，迫使業界人士不得不重新思考：反病毒是否能夠提供長久保護？在已發現的安全威脅中，業界人士發現，惡意軟件能夠利用最新處理器的功能運行虛擬機，從而躲過反病毒程序的查殺。

　　然而，防病毒廠商似乎並未意識到他們遇到了一個棘手的問題。賽門鐵克調研部經理埃裡克•陳說，『可能每年都有人會說，反病毒軟件已死。』競爭對手Sophos公司高級技術顧問格雷厄姆•克魯雷稱，『我們經常發現病毒感染計算機的新方式……但歸根結底都將通過傳統方式達到計算機中。』也就是說，不管一種新型惡意代碼如何傳播，抑或想要乾什麼，它最終仍將以可執行代碼的方式到達你的計算機，並在實施破壞之前被安全軟件所檢測到。

　　克魯雷還說，『軟件社區的某些人似乎低估了如今的反病毒軟件。士別三日，當刮目相看。如今的反病毒軟件雖然名稱未變，但其工作的原理和方式與20年前相比已截然不同。』首先，如今反病毒軟件並非如人們慣性思維所認為的那樣，它們已經很少依賴於病毒特征碼來進行惡意軟件和入侵檢測了。一年前，反病毒軟件尚不能處理Rootkit(一種將自身隱藏並控制計算機的程序)，但如今，幾乎所有的反病毒產品都可以輕易地將其消滅。

　　日前，西班牙Panda Security公司首席市場官彼得羅•巴斯特曼特，完成了對1206家公司網絡的17809臺計算機和150萬臺消費者PC中惡意軟件類型的一份調查。在消費者PC中，僅有37%的用戶擁有完全昇級過的安全保護——但其中仍有近1/4感染有惡意軟件。而在企業網絡中，近72%的計算機被惡意軟件所感染。

　　安全威脅已經變得更加短暫：長達數周的病毒攻擊已經不復存在。

　　Sophos和賽門鐵克使用啟發式技術去尋找通用行為匹配，而反病毒軟件也正從阻截黑名單轉(阻截惡意對象)向放行白名單(僅允許善意對象)。

　　與此同時，增長最為快速的威脅並非電子郵件，而是訪問受感染網站時自動下載惡意軟件的推動式攻擊。不同於電子郵件威脅，你不能通過常識和避開惡意網站的方式免遭此類風險。克魯雷表示，Sophos如今一天會發現29000個新感染惡意軟件的網頁，而其中80%都並非『危險區域』。相反，他們都是一些正規合法的網站，如印度銀行和邁阿密海豚隊的網站等。

　　關於舊種類惡意軟件的統計數據令人感到恐慌。巴斯特曼特稱，七年前，全世界大約有10萬至30萬種病毒；而如今這一數目難以統計，已經達到『成千上百萬的規模』。並且，這些病毒采用新的技術：90%的病毒經常變化自己的外殼，從而使特征碼不會相同。

　　更重要的是，惡意軟件作者的目的已經從業餘愛好轉向了成熟的犯罪和商業市場。一起攻擊的背後存在的業務鏈可能涉及6-7種不同的角色：一人攻擊網站，另一人便攜攻擊程序，第三個人組織僵屍網絡並將其出租。而如果你可知道具體的攻擊對象，可以花100美元購買1天的DDOS攻擊服務；發送一千萬封垃圾郵件僅需600美元；發送100萬條垃圾IM消息需要150美元；購買50Mb被盜銀行和信用卡帳號數據需要30美元。

　　如今的惡意軟件已完全不同：隱蔽已經取代華麗。病毒潛在在用戶系統的時間越長，它竊取金錢、銀行帳號和信用卡信息的機會越多。如今的惡意軟件作者希望能夠達到軟件效率最大化和被檢測的幾率最小化。Mac和Linux系統仍然面臨的安全威脅相對較少，這是因為Windows仍是世界PC操作系統的主流。

　　在8月份的Defcon大會上，新西蘭奧克蘭大學研究人員彼得•古特曼演示了他對惡意軟件商業市場的一份調查結果。古特曼推測，一名出色的病毒成員每年可以掙20萬美元左右。開源安全研究人員阿蘭•高科斯指出了其他一些可能性。首先，惡意軟件在設計時充分利用了如今的虛擬機。去年，微軟和密歇根大學的研究人員曾發表了一篇介紹此類Subvirt攻擊的概念性驗證論文。新加坡安全公司Coseinc研究人員Rutkowska在去年的黑帽安全大會上的一篇演講稿，介紹了一種稱之為『藍色藥丸』的更加刁鑽的攻擊方式——它瞄准了Windows Vista以及當前AMD和Intel處理器內建的虛擬化。

　　到目前為止，這些攻擊都僅僅處於理論階段。但是安全公司Webroot首席技術官傑哈德•艾斯切爾貝克稱，可能到明年8月的黑帽安全大會上，將看到真是世界中出現的利用虛擬機技術的惡意軟件。

　　與此同時，克魯雷表示，Sophos每天發現的短期病毒數量達到了300種。客戶報告新病毒如今已經遠遠不能趕上病毒繁殖的速度了。艾斯切爾貝克說，『相反，我們不得不在互聯網上獵取惡意軟件。』

　　貝斯特曼特認為，反病毒軟件以及相關安全套件的作用已經越來越小。Panda公司對未來的想法就是添加一個稱之為『集體智慧』的新安全層。他稱之為『Web 2.0版安全』：不要將每個用戶的計算機隔離，而是對這樣一個計算機群進行掃描。他表示，由於所有計算機實時可見，所有這種方式將允許使用更大的簽名文件，並直接面向攻擊進行檢測。

　　但即便這種方式也無法維持長久。哥倫比亞大學計算機科學院教授賽爾瓦托•斯道夫認為，攻擊者『佔據著優勢。他們擁有充裕的時間，並且擁有足夠的動機和動力去使病毒免遭查殺。』

　　他表示，反病毒軟件還是有未來的，但可能是有名無實罷了。『基礎實現和策略將發生改變。』就好比銀行和信用卡公司所采用的欺詐檢測，『最後，系統將學習你自己的個人行為，並通過檢測不正常行為實施保護。』換句話說，反病毒軟件前景一片迷茫。