| 病毒检测推陈出新 防范并非万无一失! |
 |
|
|
2002-10-16 09:31
转自:
日经BP社
|
| |
【日经BP社报道】 可能诸位读者的个人电脑都安装有防病毒软件。这些软件可以发现通过电子邮件及Web访问发动攻击的病毒及蠕虫,并阻止病毒侵入。最近,这些防病毒软件中又增加了新的病毒检测方法。要想防住日益巧妙的病毒,在防病毒软件中追加新功能是不可或缺的。那么,是否追加了新功能,防病毒对策就万无一失了呢?
原有的防病毒软件是事先准备好以数据库形式定义的病毒及蠕虫样式文件,通过对照该定义文件和使用的文件来判断所使用的文件是否含有病毒。这种方法被称为样式比对(Pattern Matching)。但这种方法存在一个严重的缺陷,那就是对未注册在定义文件中的病毒及蠕虫束手无策。
2001年下半年以来,尼姆达、求职信以及最近的密码病毒(Frethem)等蠕虫亚种在日本和欧洲肆虐。这些病毒为害尤烈的主要原因就是繁殖速度非常快,在新病毒样式定义文件尚未到达用户手中之前就已经在相当大的范围内感染。虽然防病毒软件制造商也在努力缩短发现新型病毒到提供定义文件间的时间,但还是无法有效地防止新型蠕虫。
在这种前提下出现了几种新的病毒检测方法。例如,日本趋势科技计划在今秋推出的面向企业邮件服务器的防病毒软件中嵌入“爆发(Outbreak)警告”功能。这是一种将“带有xxx名字附件的文件很危险,请删除”的信息传输给防病毒软件,并在邮件服务器中阻止蠕虫的方法。虽然不能驱除蠕虫,但可以减少初期感染的可能性。
日本西曼蒂克在NortonAntiVirus2003中增加了名为“蠕虫拦截”的功能。原理非常简单,“如果拥有邮件发送功能的程序想附加自己本身来发送邮件就加以阻止”。也就是说,能够阻止典型的蠕虫繁殖方式。不过,不能防止个人电脑被蠕虫感染。最终只是一个防止繁殖的功能而已。
将可疑的程序事先在虚拟环境中运行的启发(Heuristic)法也是病毒检测的新方法之一。目前日本西曼蒂克等已经采用。这是从很多年前就已经开始研究的一种方法。不过,目前仍存在将正常的程序误认为是蠕虫的问题。
不管怎样,这三种新的方法仍然存在改善的余地。目前主要还是通过完善原有的样式对比法来防止病毒。(记者:齐藤荣太郎)
|
| |
|
|
|
