2007年网络安全热点回顾

zyhui — Thu, 10 Jan 2008 05:05:54 +0000

转自：中关村在线

不管互联网与计算机技术如何发展，安全话题却恒久不变。2007年马上就要过去，回顾一词对于“安全”来说更像是痛定思痛，我们的设备、软件、网络等等无疑比以前更加安全，可相对于如洪水猛兽般的威胁攻击，安全不过是“相对的危险”。

一、误杀事件

大部分安全事件都与威胁攻击相对立，红白脸各有分工，用户负责承担风险。如今风险依然归属用户，红白脸却混为一体：杀毒软件！

先从最具代表性的杀毒界老大哥赛门铁克说起……

5月18日，诺顿杀毒软件升级最新的病毒库后，会把Windows XP的关键系统文件当作病毒清除，重启后系统将瘫痪。该次误杀只发生在简体中文版的XP系统上，对国外用户几乎没有影响。

诺顿误杀事件

在安装了MS06-070补丁的Win XP系统，如果将诺顿升级最新病毒库，则诺顿杀毒软件会把系统文件netapi32.dll、lsasrv.dll隔离清除，从而造成系统崩溃。由于国外品牌的笔记本和台式机多数预装了Windows XP系统和诺顿杀毒软件，这些用户极其容易遭到此次“误杀”攻击，因此中国大陆地区将有数百万台电脑面临崩溃的危险。

无疑诺顿误杀将是今年最严重的安全事故之一，给国内用户造成的整体经济损失甚至可能超过“熊猫烧香”病毒。想想如果安装在自己电脑中的杀毒软件是在破坏自己的系统，我们作何感受？

诺顿的话题像是催化剂一样：360安全卫士误杀瑞星，卡巴斯基误杀系统文件，McAfee误杀Excel等事件接踵而至，为2007年的网络危机重重的画上一笔。

编辑：如果保镖变成了杀手，我们的代价未免太高。

二、熊猫在烧香

趋势中国区总经理叶伟伦在做客中关村在线时曾风趣的说：在趋势科技大会上，很多海外的朋友看到趋势展示的熊猫烧香照片后非常感兴趣，认为这个纪念品很可爱，很喜欢……。但对于每一个中国用户来说，这只憨态可掬手报三只香的家伙简直比恶魔还可怕。

熊猫烧香搅动2007

熊猫烧香属于蠕虫病毒的变种，由于中毒电脑的可执行文件会出现“熊猫烧香”图案，所以也被称为“熊猫烧香”病毒。用户电脑中毒后可能会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。

该病毒的某些变种可以通过局域网进行传播，进而感染局域网内所有计算机系统，最终导致企业局域网瘫痪，无法正常使用，它能感染系统中exe，com，pif，src，html，asp等文件，它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件，该文件是一系统备份工具GHOST的备份文件，使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。

随着公安机关的介入，熊猫烧香病毒作者李俊浮出水面。2月12日湖北省公安厅宣布，根据统一部署，湖北网监在浙江、山东、广西、天津、广东、四川等地公安机关的配合下，一举侦破了制作传播“熊猫烧香”病毒案，抓获李俊(男，25岁，武汉新洲区人)、雷磊(男，25岁，武汉新洲区人)等8名犯罪嫌疑人。熊猫烧香病毒案成为我国破获的国内首例制作计算机病毒大案。

最终被告人李俊犯破坏计算机信息系统罪，判处有期徒刑四年；被告人王磊犯破坏计算机信息系统罪，判处有期徒刑二年六个月；被告人张顺犯破坏计算机信息系统罪，判处有期徒刑二年；被告人雷磊犯破坏计算机信息系统罪，判处有期徒刑一年。

熊猫烧香病毒清理起来并不复杂，关键是后期疯狂的变种所带来的矩阵效应。就算到了今天，以熊猫烧香为核心的样本病毒依然大行其道，最重要的是：我们看到了病毒一天天的进化，从简单的破坏系统到盗取用户财产的蜕变。

编辑：人不可貌相，病毒也一样！

三、金山与灰鸽子

就在上周，卡巴斯基的《流行病毒调查》表明：灰鸽子木马排名第四。要知道这可是金山公司剿灭灰鸽子8个月后的结果。原金山公司总裁雷军说“灰鸽子已不再是一个单纯的病毒，其背后是一条制造病毒、贩卖病毒、病毒培训为一体的黑色产业链，从某种意义上讲，灰鸽子的危害超出熊猫烧香10倍！” 此时大众的目光从熊猫烧香身上转移到了灰鸽子身上。灰鸽子官方的说法是：灰鸽子是一款远程控制软件，但不是木马程序。

灰鸽子成众矢之的

不过金山的几个为什么更能代表了广大网友的心声：

为什么灰鸽子服务端要采用“进程隐藏”、“线程注入”、“重复加壳”等病毒/木马手段来隐藏自己，不让用户发现，并且躲避反病毒软件的识别呢？

为什么自灰鸽子问世以来，数以十万计的用户向各家安全厂商上报灰鸽子样本，并强烈要求将“灰鸽子”做为木马/病毒处理？

为什么全球各大著名反病毒厂商比如NOD32、诺顿、卡巴斯基、金山、瑞星、江民等都将“灰鸽子”列为了木马/病毒？

为什么你们要提供各种黑客功能，纵容灰鸽子使用者进行不法行为？大量用户因为灰鸽子提供的“远程摄像头控制”、“键盘记录”的功能而丢失网游、网银、QQ账号及密码，暴露大量个人隐私，造成了不可估量的巨大损失。这是一个正常的远程控制软件所应该有的行为吗？

一个合法的远程控制软件是否应该具备用户知情权呢？Remote Administor与PC AnyWhere在安装服务端后会强烈提醒用户，在右下角位置放置提醒图标，并要求使用者必须通过密码验证。为什么你们在安装服务端时刻意让用户毫无知觉？

作为一个正常软件，需要删除自己在计算机里的一切痕迹吗（比如删除安装文件，将自身进程隐藏在IE或者QQ等正常进程中）？

为什么还会伪装成WORD文档文件以欺骗用户呢？

现在，灰鸽子已经彻底停止更新了，虽然官方网站还在，但今非昔比，宣称要致力于推动远程控制技术发展的鸽子团队真的能改变吗？

编辑：冰河时代的热血沸腾和鸽子王朝的剑拔弩张，彻底的见证了病毒向产业化的演变过程。

四、杀毒软件的免费算盘

客观的说，杀毒软件并没有跟猪肉的风，反倒是有免费的消息。这的确是杀毒软件寻求新商业模式的左证，也暗喻着激烈竞争和盗版为厂商带来的巨大压力。

瑞星、江民、金山等知名品牌在发布新版本和重大病毒爆发时都提供了免费服务。就连一向“深居简出”的赛门铁克这次也参与进来。赛门铁克中国区消费产品销售总监黄智华表示，针对中国杀毒软件免费试用期长的特点，他们将在中国延长诺顿安全产品的免费试用期。在国外，免费的杀毒产品非常多，AVG在国内的影响力不容小觑。此次国内厂商开展的免费服务，将影响到2008年安全阵营的重新布局。

免费牌到底打不打？

国内免费使用杀毒软件，印象最深的就是360安全卫士和卡巴斯基的合作，半年的激活码授权让二者收获颇丰，两家的产品知名度得到了迅速的提升。

另外，最近欲在中国市场发力的趋势科技也加大了“免费”力度。趋势科技中国区总裁叶伟伦表示，将重点转向中国的单机版市场，并且酝酿在杀毒软件行业内首先实行个人用户彻底免费的策略。

“现在看来，很多针对个人用户的杀毒软件都在免费使用，未来杀毒软件将以免费为主。”叶伟伦称表示，从战略上来说杀毒软件对个人用户彻底免费是一个趋势。

金山已经正式宣布了战略业务的调整，其中杀毒业务被放到重要位置。看似平淡的安全软件却隐含的巨大商机。江民科技总裁表示：“随着杀毒行业的不断发展，目前国内流行的主流杀毒软件多达数十款，市场竞争十分激烈。为了扩大市场份额，免费已经成为各大杀毒软件厂商使出的第一杀招。”

对于杀毒软件的免费潮流，各杀毒软件厂商态度不尽相同。奇虎总裁周鸿祎认为：“未来的杀毒软件一定会是免费的，杀毒厂商单纯依靠卖软件的形式已经过时，以后赚钱的思路应该放在如何为互联网提供配套的增值服务上。”

瑞星、金山等国内杀毒软件厂商却认为，杀毒软件免费只能在限制条件下实现。“杀毒软件不是QQ，用户在杀毒的同时不可能忙里偷闲看软件广告。”金山软件工程师李铁军这样表示。

编辑：免费概念的推广将敞开一片新的蓝海。

五、SP3？SP1？

SP，也就是Service Pack，直译是服务包，一般说法是补丁，用途是修补安全漏洞。微软操作系统的SP系列补丁包可谓历史悠久，对于SP的发布，不仅仅是以往补丁的合集，微软可能会加入更多的技术细节和对象，XP SP2的安全中心就是个例证。

330MB的XP SP3风格和先前SP1、SP2并无不同。目前，这个特殊版本服务包的KB号码为KB936929(WindowsXP-kb936929-sp3-x86-enu)，其完整的版本号为5.1.2600.3180。XP SP3引入了新的核心模式加密模块(FIPS.SYS)，使得系统核心可以使用多种加密算法，并可用于运行在核心模式下的驱动程序和服务。此外XP SP3还带来了黑洞路由检测功能，可以保护计算机免于数据损失。

SP3并没有为Windows XP系统引入任何新的功能。在SP2之后，微软发布了许多Windows XP平台的补丁和升级，但是目前还很难确定SP3中到底整合了哪些升级补丁。虽然RC版本满天飞，但微软却全部最终版的XP SP3将在明年上半年发布。

补丁的战争

微软在上周发表声明称：“Windows Vista带来了比任何Windows系统都要先进的安全和管理功能，而Windows XP SP3只是确保XP PC能拥有最新升级补丁，以及与Windows Server 2008网络访问保护功能的兼容性……不会引入Vista的任何一项重点特性。”我们可以从中看到微软焦急的心情，他们害怕用户因为XP的更新而拒绝Vista，这也许正是在XP SP3中没有加入新功能的根本原因。

不过这个如意算盘却被Devil Mountain Software打破了，他们进行了一项基准测试，结果显示Windows XP SP3比Windows Vista SP1快三倍，并且在运行Office软件的实战应用中快1.8倍。微软立即发表公开声明，Vista产品经理Nick White对此作出了反驳，他宣称微软从来就没有公布任何基准测试结果，因为Vista SP1仍然在开发和测试阶段。在没有发布正式版本之前，XP SP3似乎比Vista SP1更值得推崇，而Vista SP1的声音越来越少。

编辑：SP3很好，SP1很强大。

六、后QQ时代的没落

在帝企鹅QQ的身边，潜伏着一群寄居生物，它们以QQ为依托，藏匿于温暖的寄居巢，以至于让用户也习惯了如此生活，珊瑚虫就是巢居部落中的佼佼者。

曾几何时，珊瑚虫和腾讯走的很近，soff参与腾讯的活动，腾讯官方提供珊瑚虫外挂，一派和平景象。可自从soff（陈寿福）被捕后，我们看到了修改版QQ大厦的倒塌，很少有人再敢站出来制作修改版QQ，而更多的纯外挂软件应运而生。七年间腾讯和珊瑚虫互利互惠，可当帝企鹅站立起来后，珊瑚虫却被无情的抛弃。

珊瑚虫开发者陈寿福

中国越来越重视知识产权的保护，无论从政策上还是在舆论中，对于产品的保护越来越完善。可以肯定的说，珊瑚虫修改QQ并获取利润，无论从道德上还是法律上都不能容忍，倘若珊瑚虫一直以来以外挂形式存在，尚可理解，但是后期的插件效应，也着实恶心了网友一把。

珊瑚虫QQ

但广大网民从需求出发，对珊瑚虫的遭遇感到惋惜和无奈。再看珊瑚虫，7年117万后换来的可能是铁窗生涯，值与不值自有定论。最早修改QQ本是从技术角度开始的，即便现在，我们仍然能在早期开发修改版QQ的作者邹单的个人主页上看到那句：ASM + C = NUCLEAR。木子、娃娃、再到珊瑚虫，我们看到了一个修改软件的商业化过程，同时也敲响了保护软件知识产权的警钟。

编辑：我们都很喜欢珊瑚虫软件，但我们仍然要理性看待珊瑚虫事件。

七、热词：主动防御

今年，很多安全厂商都提出了“主动防御”的概念，一方面受到病毒疯狂变种和传播的压力，另外也是很多厂商寻求产品新亮点的一条途径。

“主动防御”主要包括两个方面。一是在未知病毒和未知程序方面，通过“行为判断”技术，开发出了“危险行为监控”、“行为自动分析和诊断”等技术。这些技术从动态和静态两个角度来判定程序的行为特征，可以识别大部分未被截获的未知病毒和变种。除了识别未知病毒和变种之外，还将大力强化了系统漏洞管理模块。一方面，该模块强制扫描、主动修补系统漏洞，这样的话，在相应的病毒乃至攻击代码出现之前，我们就堵死了它的传播和攻击渠道。另一方面，我们将对漏洞攻击行为进行监测，这样可以防止病毒利用系统漏洞对其它计算机进行攻击，从而阻止病毒的爆发。

“主动防御”其实是针对传统的“特征码技术”而言的。在传统的反病毒方式中，安全软件总是处于弱势，只有病毒出现了，才能有病毒库的更新，即便这之间的时间差很小，但仍然让很多用户遭受损失。主动防御根据病毒的行为模式，给用户更多的信息，帮助完成对未知病毒的识别。

此外，防火墙也是一个运用“主动防御”技术的典型例子。目前很多企业都在使用防火墙，大部分用户对于防火墙经常询问是否放行一个进程访问网络，或者有不明连接进入本机而发出警告印象深刻。

其实防火墙就是在全程监视进程的网络行为，一但发现违反规则的行为就发出警告，或者直接根据用户设定拒绝进程访问网络。当然，现在的防火墙一般都把系统网络进程，如Services.exe、Svchost.exe、Lsass.exe记在白名单里，这些进程是默认允许访问网络的，如果禁止的话，操作系统就不正常了，这也是现在很多病毒和木马都喜欢远程注入这些系统进程，以求突破防火墙而访问网络的原因。

特别一提的是12月初金山发布的毒霸2008中，又引入了一个新的概念：三维互联网防御体系。通过互联网的优势，将危险信息统一集中化，这样可以帮助很多用户解决未知病毒问题。

金山毒霸三维互联网防御体系示意图

当然，其它厂商也都有自己的主动防御技术，甚至迅雷也推出了在线安全验证的功能。

瑞星主动防御示意图

编辑：杀毒厂商的竞争进入白热化，惟有创新者才能成为最后赢家。

2007年安全市场风起云涌，以熊猫烧香和灰鸽子为首的病毒木马开始了新一轮的进攻狂潮，迫使杀毒软件不得不寻求新的技术支撑点。木马的产业化链条更加清晰，安全产品的防御功能愈显整合。网民的安全意识普遍提高，打击盗版和保护知识产权成为安全保护的重点话题。安全事件，忽明忽暗；口水大战，此起彼伏，这是最好的时代，也是最坏的时代。

ZyHui » 安全技术

2007年网络安全热点回顾