2007年4月19日下午，由51CTO.COM網站主辦的“51CTO技術沙龍—企業病毒管理講座”在北京理工國際教育交流大廈召開。本次技術技術論壇吸引了近百名網絡工程師、項目經理、網絡管理員等技術人員的關注。 短短的3個多小時里，來自趨勢科技三位專家從多方面對企業病毒管理和防范從進行了技術分析和實例講解，并詳細解答了與會技術人員提出的技術問題。
Web威脅分析
徐學龍：實際上我們來看一下在這么多年的發展過程中，網絡威脅是怎么樣來變化的。我們從最上面來看會看到各種網絡威脅的形態，從目前我們會看到一個發展的主線，它經過了文件性的病毒、網絡病毒、郵件病毒，發展到今天更多的側重于通過Web方式。我在跟用戶接觸的過程中，我們問他你感覺到這些病毒是怎么樣進入網絡里的？很多人都講就是用戶上了某個網站，或者不小心點了某個郵件鏈接，病毒就出現了。從網絡形態來看，通過Web方式傳播成為了主流。
利用Internet執行各種惡意活動
以前的威脅形態通常是以出名為目的，現在完全是以牟利為目的，希望通過這個程序的擴散來獲得金錢上的利益。從下面來看我們會看到威脅無孔不入，以前可能是只跟專業的電腦人員相關，今天我們會看到，隨著手機病毒的出現，可能路邊上擺一個攤賣蘋果的可能都會遇到病毒的問題。所以在內容安全上成為大家共同面臨的問題。
我們舉個例子，這個大家熟悉不過，照片上的李俊和同案犯不同開發熊貓燒香，從去年年末到今年年初，在整個網絡上引起很大的事件。他們也通過熊貓燒香病毒直接獲利10多萬元。所以實際他在開發過程中他自己賣，因為他可以竊取游戲的帳號和QQ的帳號，他自己在網上賣，也通過別人代賣，進行直接的獲利。所以現在沒有人在網上傳播病毒不求回報。
我們從以前的網絡蠕蟲攻擊來看，我們看左邊的圖，這個圖代表在一個網絡風險、網絡威脅出現之后，我們用戶面臨的損失是怎么樣的。一般來講是風險剛出現的時候，這時候我們的威脅比較少，損失比較少，但是隨著時間的推移我們的損失會到達一個頂點。安全廠商在提供相應解決方案之后，我們的風險就會越來越低，直到這個網絡風險在我的網絡里完全清除掉。但是今天我們看到的是不同的，下面的圖我們會看到，我們今天會看到一個網絡威脅進入到我的網絡之后，它開始不斷的自我更新自己。我們講防毒廠商、安全廠商是需要不斷更新自己的更新主件，現在病毒變得和防毒廠商一樣，它執行之后會再去網上下載更新。所以熊貓燒香病毒就是一個例證。李俊和另外幾個人他們不斷開發新的變種，老的變種會自動把自己變成新的變種，所以它就具備了不斷擴散和更新的能力。所以在網絡里造成的危害是持續性的，這個時間很長。一旦風險進入之后，我們就感覺到清除起來非常困難。包括像ARP的病毒，一旦進入到網絡，這時候清除起來我投入的成本非常大，所以這種損失就造成了，影響非常全面。
另外一點，目前的網絡威脅的特點是定向性的。比如它是針對銀行，針對QQ竊取，那么我開發這個東西就是針對QQ來做的。可能我的機器上威脅進來之后，沒有QQ，我用的是MSN，那么我的機密信息就不會丟失。但是真的如果有QQ，那么你的帳號信息和所有的信息都會被竊取到。所以從損失來講，它對特定人群，特定的單位組織進行攻擊，造成的定向危害就更大。
采用多種惡意形態相結合的技術
通常來講，這些威脅攻擊可以分為內部攻擊和外部攻擊。在用戶一旦感染到網絡威脅的時候，它在內部進行擴散的時候，它比從外部進來的時候對我們造成的危害更加巨大。所以從整體上來講，整個的威脅形態變得更加智能、更加復合，不再是單獨的一種形態。
我們根據收集到的樣本做了一個統計，從我們的統計來看，整個的惡意威脅類型正在向Web攻擊轉變，正在通過Web的這條途徑在傳播。所以我們可以看到底下的粉線是我們針對網絡蠕蟲的數量的統計，我們會看到這個數量統計發展相對平穩，所以我們這兩年可能跟大家直觀感受一樣，我們好象沒有感覺到有特別大的網絡蠕蟲爆發。但是從另一個方面來講，大家直觀感受是間諜軟件、木馬的形態越來越多，這個跟我們病毒處理中心獲得的數據是一致的。
從上面的曲線來看，它的數量不僅多，而且整個數量呈高速增長的態勢。所以在這樣的情況下，就需要有一個新型的解決方案來對它的傳播方式進行防護。這是我們后面要講的內容。
這里我們來看一個案例。因為不同的安全廠商對惡意程序的命名不太一樣。我們是有一個惡意程序命名叫DLoader，它出現的時候是通過郵件進行傳播，一旦進入之后你點擊，它就會把你導向到www.88KV.com的網站下載木馬，然后會導到downV368V.com網站做第二次下載，之后它會找到第三個網站做下載，它會不斷的更新，隱藏自己。所以這樣我們在防護里面會發現，防護起來是非常困難的。因為寫作者一直在為這個惡意程序在前面鋪路，讓它的生命期得以延長。所以我們怎么對這些惡意程序寫作者他們利用這些載點進行及時的阻止，就很重要。假如這些載點的訪問我不能夠有效的控制，那么這個風險的威脅就不斷的加強，不斷的擴大。
Web還有一個最突出的代表就是僵尸網絡，它就是通過一個惡意程序寫作者寫出來之后，他進行傳播，通過利用人的好奇心去點擊、下載，這個時候就把它的木馬安裝在你的機器里。這個時候寫作者就可以通過控制這些機器做一些特定的攻擊，或者做發垃圾郵件賺錢。誰想發垃圾郵件支付我錢，我就通過我控制的幾十萬臺肉雞為你提供服務。當然這實際上已經涉及到犯罪了。
在媒體上我們看到報道比較早的是2005年河北的一個黑客，他操作6萬臺機器攻擊北京的一個網絡公司，后來被抓到了，這是一個比較早的刑事案件。同時僵尸網絡從之前我們看到的，它最大的沖擊力是發垃圾郵件。它的能力特別強，這是我們在全球監控到的發垃圾郵件的一個實時的統計信息。這是4月12號產生的信息，你會看到我們國內的兩大骨干網成為僵尸網絡生存的一個空間。這兩家一個是169，一個是CHINANET，我們發現它們總是在前五名之內。比如在上周，CHINANET排在第一位，就是在整個全球骨干網上發垃圾郵件。因為我們收購一家公司是做RBL+的，它是監控全球發垃圾郵件的。所以這個骨干網成為垃圾郵件的主力。所以對整個網絡消耗非常大。
所以第一部分我們總結，逐利性是整個網絡威脅發展的主線。這些惡意程序的寫作者都希望通過它的惡意程序去獲利。第二點，通過Web方式傳播，這是目前他們最主要傳播途徑。所以針對這個傳播途徑我們來進行分析和防護，就是我們在當前，在安全層面上的技術部分我們要重點考慮的。
利用用戶的好奇心，暗中進行活動
簡單來講Web威脅是利用我們訪問一些Internet資源的時候，一些人利用我們的好奇心，利用用戶對安全知識的貧乏，使得我們去誤點一些內容，然后這些惡意程序就嵌入到我們的機器中，進行各種各樣的破壞。通過整個的傳播，我們利用Internet訪問的機制來進入。最開始我們不知道，但是慢慢我們感覺到這個機器有了異常。
從Web威脅發展的背景來看，一方面是用戶持續的增長，全球13.5的網絡用戶。另一方面我們更多生活上的行為通過網絡來實現。比如網絡采購、銀行轉帳，還有Web2.0博客技術發展，使得更多的人開始覺得我以前可能對上網不太感興趣，這時候我希望自己看到別人日常工作中是怎么想的，怎么做的，我自己怎么想怎么做的，通過這些網絡應用的產生，使得這種風險傳播的機率就擴大了。所以目前來講，Web就成為各種惡意程序傳播的理想工具，成為擴散的場所。
Gartner有一個統計，它覺得目前在我們企業做Web的部署率大約在20%，它根據自己的數據預估到2011年，整個企業用戶中Web的部署率將達到80%，是大家發展安全技術提高的一個部分。所以說，我們要掐斷Web威脅，對它的每一個階段都要進行詳細的了解。這一塊我就不做詳細介紹了。
我們舉個例子，這是Stration的惡意程序。它跟我們前面講到的有點類似，不過它的最終結果是變成肉雞。它最一開始進來的時候是通過郵件進來的，它會帶一個鏈接。這個鏈接當然一掃描沒有任何的病毒和惡意程序，當它潛入進來之后，當用戶點擊它的時候，它就會進行第一次的進行木馬下載。這個木馬下載進來之后，它執行之后，就會進行第二次的木馬下載，同時把發垃圾郵件的模板給拿下來。這時候，第二個木馬程序拿到之后，它已經成為發垃圾郵件的一個肉雞，這個時候外部的操縱者就可以通過它去發送大量的垃圾郵件。所以說，它是一種植樹型的擴散，通過垃圾郵件把自己傳播出去，又把感染到的機器變成一個新的傳播節點，所以整個僵尸網絡的規模擴展的非常快。
還有一個叫LINKOPTIM，它會感染一些占用的頁面，利用網站的漏洞，感染一些頁面。當用戶區訪問這些頁面的時候，它就會自動潛入用戶的機器。在這個過程當中，在剛剛潛入機器之后，它最主要做得一個動作，就是它會篡改Google的搜索結果，根據相應的排名會顯示某些廣告廠商的廣告。它會把這些廠商的信息顯示出來，這樣相當于把自己的廣告插進來。所以通過這種方式從中獲利，當然他也在不斷的更新自己。通常來講這種惡意程序在不斷的開發過程中，實際上也有自己的漏洞。所以最后它會造成我們的節點系統癱瘓掉了。這是很典型的一個進行獲利的行為案例。
Web成為目前惡意程序的理想途徑
同時我們看一下公安部2006年的惡意程序傳播途徑的調查結果。大家有機會的話看一下，去年公安部做的調查，今年也正在開始做。我們跟他們也是合作伙伴，對全國的用戶做調查。從去年調查結果來看，網絡瀏覽和下載是國內用戶普遍認同的方式。左邊的圖從2001年一直到2006年，你們可以看到整個的數值比例非常高，所以這時我們確實要認識到，目前怎么樣針對Web威脅進行防護，這是我們的重點。假如我們還是被動式的防護，就是我還是要依靠廠商的代碼來做防護的時候，我們會看到這個惡意程序進來之后，它可能在這個代碼提供出來之前，它已經找了三個網站去下載新的變種，惡意程序寫作者可能已經寫好五個變種在后面等著你。你在廠商那里拿到第一個解決方案的時候，可能后面已經往前走了三四步，這個時候防護就非常變動。所以我們怎么樣對Web威脅進行有效、快速的防護是我們今天每個在實施安全防護時需要考慮的問題。