CN RU CN EN ES FR IT JP

有关反病毒软件的误区

几乎每个计算机用户或移动设备用户都曾遭遇恶意程序,至少是读到过或是听说过这些程序能带来的危害。但同时“所有人都知道”(也就是所有人都相信)“病毒是由反病毒软件研发者自编自写的”,“没有针对Linux和Mac的恶意程序”以及“只有用户自己才能将病毒安装到Android设备”。

可事实真的如此吗?

相信传言,不愿接受客观信息且从中作出正确结论,不愿承认事实,自欺欺人的态度,这都是导致认识误区的原因。

认识误区会影响决策,而不正确的决定有时会导致严重的后果。

我们在这一活动中会向广大用户介绍有关反病毒软件的认识误区,其产生原因以及对信息安全产生的影响。

不存在病毒?

选择您认为正确的答案

不存在病毒?

存在病毒,但与当前广泛传播的木马程序相比,病毒数量很少。

参考信息

严格意义上,只有具有自我复制机制的恶意程序才称为病毒,,也就是即具有创建自身副本并将自身代码注入其他文件的功能。

目前,绝大多数恶意程序(超过90%)是木马。木马没有自我复制机制,不是病毒。

平均一个月出现多少个以木马为主的新恶意程序?

选择您认为正确的答案

平均一个月出现多少个以木马为主的新恶意程序?

甚至一些IT技术人员也认为,每天新创建的恶意程序数量大约有一百个。然而事实上,每个月反病毒实验室收集到的风险文件样本可达25000000(二千五百万)个

下图是2015年3月Doctor Web反病毒实验室收集到的分析样本。
graph

这些样本不都是恶意程序,并且其中一些样本是重复样本。但所有这些样本都需要经过技术人员处理。

人工处理每月达几百万的样本是不可能的。

大多数样本由专问研发的机器人来处理。病毒分析师只研究无法自动处理的复杂样本。Dr.Web病毒库记录数量每小时都在增加。

Dr.Web病毒库记录数量增长表
chart

反病毒软件公司自己编写恶意程序吗?

选择您认为正确的答案

反病毒软件公司自己编写恶意程序吗?

很多用户都确信,反病毒程序编写者在自己编写病毒,因为这对他们有好处:如果没有病毒,用户就不会购买反病毒软件。

这是我们特喜欢的一个传言!!!:))

也是所有关于反病毒软件的传言中最经久不衰的一个传言。每个月都会有人向我们反馈这一传言。

这一传言的逻辑来自所谓的“常识”:1)每天创建的恶意程序数量非常少,2)只有少数技术人员才有编写这些恶意程序的能力3)当然,这样的技术人员都在反病毒软件公司工作。

  • 不法分子编写的恶意程序数量如此之多,让反病毒实验室要一周七天三班倒满负荷工作。在这种情况下,哪里还有时间编写恶意程序,能分析完来自外界的恶意程序就不错了。
  • 而且,对于信息安全技术人员来说,创建恶意程序绝对是毫无意义的事情,因为如果将木马首先添加到编写到自家反病毒数据库,用户从一开始就不会受到威胁,而在很短的时间内其记录就会被添加到其他反病毒厂商数据库。为什么要白白浪费时间呢?
  • 创建恶意软件是刑事犯罪。编写病毒一经发现,其编写者就会面临法律追究。而病毒分析人员的对立面不乏其人,有许多双眼睛在盯着:如果自己编写病毒一定会被发现。
  • 反病毒厂商不但不编写病毒,甚至不会向外提供已知病毒样本供测试,虽然经常有客户希望得到样本来测试产品,还有记者希望进行对比测试。如果公司或其员工编写或传播恶意软件,这样的事情被公开后公司将无法经营下去。
  • 许多反病毒保护产品厂商,包括Doctor Web公司在内,不聘用曾经做过黑客的人是根本的原则:曾经写过病毒的人其道德水准不可相信。

究竟是谁在编写恶意程序?

选择您认为正确的答案

究竟是谁在编写恶意程序?

在计算机时代早期恶意程序实际上主要某些人在 “试笔”,想用这种方式进行自我表达。现在也还有一些下成名的个人黑客在编写恶意程序,但这些人并不构成主要的安全威胁。

现在恶意程序的出现依靠的不单单是专业的病毒编写者,而是有组织的非法商业行为的一部分。犯罪团伙包括:

  • 组织者 — 组织恶意软件从编写到使用的流程,并对其进行管理
  • 恶意软件编写者
  • 负责对新编软件进行测试的人员者
  • 研究人员,负责查找可非法利用的操作系统和应用软件漏洞
  • 进行恶意软件传播的人员
  • 负责犯罪团伙内部工作安全分配并管理僵尸网络的管理员
  • 创建恶意软件传播网页的Web干将
  • 负责销售恶意程序(某些木马用于销售或出租)的人员
  • DDos攻击组织者
  • 恶意广告资源和通过广告木马赚钱的联盟程序编写人

由于参与恶意程序编写和传播的犯罪团伙组织严密,进行流水生产,使不法分子编写的恶意程序数量呈爆炸式增长,直接体现于每天添加到病毒库的记录数量。

一个团伙一天编写出的程序数量可达到数百个

这些程序被创建后都有一段时间不会被目标受害者所使用的反病毒软件侦测到,原因我们将在下面加以说明。

编写恶意程序的目的是什么?

选择您认为正确的答案

编写恶意程序的目的是什么?

在这个问题上不应有任何曲解:
编写传播恶意软件的目的就是非法获利。

参与编写、传播和维护盗窃木马功能基础设施的人都是犯罪分子。

现代木马窃取用户和公司的信息以及实际资产。盗取的财物还都可以用于转售:

  • 网上银行系统、电子支付系统、社交网络账号等用户名和密码。
  • 虚拟货币(如比特币)
  • 电子邮件和通讯簿联系人
  • 照片:可以利用照片勒索受害人或将其上传到互联网,给受害人带来精神损失
  • 受害人个人电脑的相关技术信息
  • 游戏账号和游戏物品

即使电脑上没有什么可偷走的东西,木马也可以利用这种电脑创建僵尸网络。
注意!在一些国家,用于攻击其他计算机和网站的僵尸网内的计算机用户可被刑事起诉, 即使是本人对此并不知情。

恶意程序入侵时反病毒产品应该能侦测到多少:

选择您认为正确的答案

恶意程序入侵时反病毒产品应该能侦测到多少:

反病毒产品应该能侦测所有入侵的恶意程序是一种很有信众的误区。但这是根本不可能的,就像不可能发明一种能包治百病的灵丹妙药。虽然人们千百年来就一直梦想着能发明这种灵丹妙药,但必须承认,这种药不可能存在的事实。

由于大多数用户不知道病毒编写者是如何组织非法获利的,这才导致了这种误区的产生。创建“好”木马(即用户和反病毒软件不能察觉的木马)的一个主要步骤 就是利用大多数常用反病毒软件中对其进行测试,以便确认其无法被侦测

只有无法被侦测的木马才会被实际传播,或者用于目标性攻击,入侵受害者电脑。

事实证明,从不法分子生产木马到病毒实验室采集到样本进行分析,再到生产出对抗程序需要一定的时间。当然,这只是指确实非常复杂的“成功”木马。大部分普通恶意程序都可通过特征码以及利用Dr.Web反病毒引擎技术启发式分析及其他非特征码分析技术成功侦测。

计算机中的病毒活动总能被发现吗?

选择您认为正确的答案

计算机中的病毒活动总能被发现吗?

这是最危险的一个认识误区!

这一误区的产生源自首批病毒出现时具有破坏功能(病毒携带破坏性功能,如能销毁个人电脑中所有信息),或其活动明显影响被感染电脑的运行,如例如,大量群发带有病毒副本的邮件,使系统运行速度明显下降。

但现在不法分子的目标是用户的钱财和数据,进行盗窃需要不被察觉。

而且:

  1. 一些恶意程序感染系统后会修复漏洞,已避免其他恶意程序利用这些漏洞入侵,并会清除之前入侵系统的同类恶意程序。
  2. 有些木马会“杀死”反病毒软件(结束其相关系统进程),然后将反病毒软件图标放置在Windows任务栏通知区域中,使用户以为反病毒软件仍在运行,从而放松警惕。这种恶意程序的资源中有所有常用反病毒软件图标,智能木马会根据被攻击电脑上安装的反病毒软件选择相应的图标。当然,用鼠标点击或用其他方法操作图标时都不会有什么结果,似乎是反病毒软件“未响应”,事实上是电脑已失去自卫能力。Dr.Web具有专门自我保护系统抵御此类攻击。

所以不要抱有什么幻想, 病毒编写者早就知道最好的木马是不会让用户察觉的木马。

但至今这一认识误区仍在广大用户中存在。
而且会导致最悲惨的后果。有这种认识误区的人要么完全不使用反病毒软件,要么认为完全没有必要遵循使用反病毒软件的基本规则,也就是定期进行扫描。

顺便问一句,您上次使用反病毒软件扫描电脑是什么时候?

反病毒软件只通过特征码确定恶意程序?

选择您认为正确的答案

反病毒软件只通过特征码确定恶意程序?

反病毒软件一出现就出现了这种认识。20多年前情况也确实如此。

完全使用特征码进行分析的反病毒软件(即根据病毒库记录确定恶意程序)在上个世纪90年代就已经消失,

当时出现了多态病毒,此种病毒在每次启动时都会变化,根据特征码已无法将其侦测(顺便说一下,正是多态病毒促成了俄罗斯反病毒产品Dr.Web的出现)。

假若反病毒软件今天还只是利用病毒库记录侦测新病毒,这种病毒库的占用早就会超出任何计算机的内存量,扫描也将持续很长时间,严重影响电脑速度。

目前的反病毒软件是启发式分析、行为分析技术和预防性保护技术的综合体,这些技术与病毒库记录结合才使得反病毒软件能够保障用户安全,抵御真正的威胁。

如果病毒库中没有某种恶意程序的记录,反病毒软件是否一定能利用启发式技术将其侦测?

选择您认为正确的答案

如果病毒库中没有某种恶意程序的记录,反病毒软件是否一定能利用启发式技术将其侦测?

这是反病毒软件必须100%识别恶意程序这一错误认识的另一版本,并且还有所谓的反病毒软件启发式分析技术测试作为依据。

事实上,启发式技术仅是反病毒软件利用已分析过的恶意程序的已知行为特征来侦测这种恶意程序的新变种。

编写木马的不法分子为避免其记录已添加到反病毒产品病毒库的木马被发现,经常使用的手段是用文件加壳器对木马重新打包或将其加密。

在这种情况下,反病毒软件可以采取什么应对策略?可以将每个这样的样本都添加到病毒库(可能有些反病毒程序也确实会这么做!),也可以通过FLY-CODE技术和结构熵分析技术捕捉新变种,Dr.Web采取的正是后一种策略。FLY-CODE技术能够检查加壳的可执行对象,通过虚拟执行将非标准加壳器解压,结构熵分析技术是根据加密加壳器特征代码分布特点来发现未知威胁。

反病毒软件的主要任务是什么?

选择您认为正确的答案

反病毒软件的主要任务是什么?

反病毒软件必须既能防止感染,又能清除已入侵的恶意程序。

虽然令人遗憾,但反病毒软件无法保证在恶意程序入侵时将其全部截获。因此,反病毒软件要使用其他技术防止感染,包括限制启动未知程序和监控运行的技术。

而能够从系统清除有防删除功能的已入侵的处于活动状态的恶意程序,则非反病毒软件莫属。

除了反病毒软件,任何软件产品都不具备从被感染系统清除掉恶意程序的功能。清除是反病毒软件(而非其他软件产品)的使命。

需要哪些补充软件产品帮助反病毒软件抵御恶意程序?

选择您认为正确的答案

需要哪些补充软件产品帮助反病毒软件抵御恶意程序?

以上答案都不正确。

现代反病毒软件既能够侦测间谍软件,也能够侦测rootkit,无需使用补充软件。此外,许多反病毒软件包含防火墙 ,可以保护计算机免受利用网络进行的未经授权的外部访问。

反病毒软件能够侦测并从系统清除所有类型的恶意程序。反病毒产品无需任何其他软件的辅助。

注意! 存在一些自称反病毒软件或其他保护软件的程序。在许多情况下,这些程序不只无用,而且会感染轻信其广告宣传的用户。

什么情况下没有必要安装反病毒软件?

选择您认为正确的答案

什么情况下没有必要安装反病毒软件?

以上答案都不正确。

软件产品的漏洞、社会工程和网络钓鱼会进一步增加感染风险,这种感染无需用户参与,用户如何小心都发现不了。

例如,针对OS X的首例大规模感染的主要原因正是木马BackDoor.Flashback.39利用了软件漏洞:不法分子同时利用Java虚拟机的多个漏洞进行木马的传播,结果是

全球650000 台Mac电脑
被BackDoor.Flashback感染

如果不访问可疑网站或不使用未知发件人电子邮件中的链接,那还需要反病毒软件吗?

选择您认为正确的答案

如果不访问可疑网站或不使用未知发件人电子邮件中的链接,那还需要反病毒软件吗?

有人认为不需要安装反病毒软件,以为反病毒软件会影响电脑运行速度,以为发生感染需要用户自己安装木马,如打开邮件中的恶意链接进行下载才会发生感染系统。但我们都是聪明人,永远不会做这种傻事。

而实践表明,绝大多数情况下用户都是自己下载了木马并将其安装到自己的电脑,甚至被感染了还毫不知情!

还存在各种入侵方式,启动木马根本不需要用户采取任何行动。您还没来得及发现,木马就已经暗中安装到了计算机上。

如果只用计算机玩游戏还需要安装反病毒软件吗?

选择您认为正确的答案

如果只用计算机玩游戏还需要安装反病毒软件吗?

现代电脑游戏产业是一个高度发达的市场,年营业额高达数百亿美元。而玩家也难免互联网威胁。

用户经常用花钱升级自己的人物,获取游戏物品 ,这里就会有意想不到的“木马惊喜”等着他们。例如,Trojan.SteamBurglar.1能够盗取游戏物品,随后进行销售。

除了木马,还有大量欺诈方法可以骗取玩家的宝贵物品甚至账户,使玩家的个人电脑成为僵尸网络的一部分,被卷入对某些公司游戏服务器的DDoS攻击等不法行为。

还有各种木马加密器,在受害人电脑上搜寻在线游戏痕迹或Steam账号,对文件进行加密后向受害人勒索赎金。

反病毒软件能够抵御此类程序,而Web反病毒SpIDer Gate不会放过任何一个欺诈网站,防止用户访问。