樣本來源、分析方式、掃瞄原理,病毒攻防9大提問

ADVERTISEMENT

老病毒還是要偵測

Q:較老的病毒需要何時才會從防毒軟體中的病毒庫中移除,需要達到什麼條件嗎?

我們只在誤報的狀況下把偵測資料移除。不同的病毒的偵測資料也許會被較為統一的偵測方式所取代掉,但我們不會刻意停止偵測惡意軟體。

Q:再請教個問題,譬如說從前能夠感染Windows 95/98的惡意程式,已無法感染Windows 7/8,那芬安全這邊會把這個惡意程式的辨識特徵從資料庫裡剔除嗎?或者是採用折衷的辦法,即時防護模式時並不偵測系統內是否有這個惡意程式,以減輕系統負荷,直到手動全機掃瞄時再偵測?

有點年紀的惡意軟體並不會從我們的資料庫裡移除(它們以雜湊碼的方式儲存,相當輕量化)。即使是Windows 95/98的惡意軟體已無法感染Windows 7/8,我們依然會偵測這些較老的惡意軟體,因為宿主(編按:指那些惡意軟體無法執行、感染,卻在儲存裝置中的電腦)還是可能成為帶原者散播病毒至其它的主機上,持續偵測所有的惡意軟體、病毒依然十分重要。

偵測可疑行為

Q:是否能解釋「啟發式掃瞄」原理?

啟發式掃瞄基本上與病毒特徵碼掃瞄類似,但並非尋找特定的指紋特徵,啟發式掃瞄尋找那些一般來說不會在正常應用程式中出現的特定指令或命令。結果就是啟發式掃瞄引擎具有能力去偵測那些比較新、尚未被檢驗的潛在惡意程式。惡意程式都會有些特定動作,比如說病毒的自我複製機制、蠕蟲的感染途徑、或是木馬造成的資源負載增加現象。

樣本來源、分析方式、掃瞄原理,病毒攻防9大提問

▲直接使用16位元檔案檢視器察看的結果,因為惡意軟體已經過加密,無法分析是否有害。

樣本來源、分析方式、掃瞄原理,病毒攻防9大提問

▲執行之前軟體必須解密,可以看見一些執行內容,啟發式偵測就能夠掃瞄出惡意代碼。

遊戲修改器是病毒嗎?

Q:部分防毒軟體會將「破解軟體」,「遊戲修改器」此類接近於病毒行為(修改其它程式的記憶體資訊)的軟體視為病毒或木馬,芬安全對於這一塊的態度是?

破解軟體或是修改器(修改器就是指那些會變更程式記憶體空間,甚至直接修改其它程式二進位檔的軟體,可以在遊戲中給你無限金幣之類的東西),一般來說都會被啟發式掃瞄或是深藍技術判斷為木馬,因為它們常常做一些可疑的修改或混淆視聽的事。如果將這種狀況回報給我們,我們通常會根據其嚴重性,重新分類為無害或是有風險的軟體。目前我們不急著修正此類問題(譬如說釋出個例外資料庫之類的)。

我們通常把一些比較有風險的軟體工具標記為入侵工具或是風險軟體,比如說能夠丟出密碼、執行VNC伺服器或是FTP伺服器之類的功能。

VirusTotal

如果讀者跟筆者一樣肉腳,玩遊戲一定得靠修改器才能過關,建議讀者修改器傳上VirusTotal,同時使用47個防毒軟體掃瞄,再依掃瞄結果決定要不要用。

字元編碼問題解決中

Q:上次電腦王曾經測試出芬安全無法掃瞄簡體中文資料夾路徑下的檔案,請問改進了嗎?

這個問題目前正在解決中,已在產品路線中規畫推出更新檔。(備註:一旦簡體中文資料夾中的惡意程式開始執行,芬安全還是能夠將其擋下。)

行動安全觀念崛起

Q:桌上型電腦的防毒軟體是否也包含行動裝置的病毒資訊,能夠掃瞄到手機的病毒嗎?

是的,我們提供給個人電腦的防毒軟體(Hydra和Aquarius掃瞄引擎)能夠偵測到可疑的行動裝置惡意軟體。

Q:近年來行動裝置的興起, 各廠也都積極切入這一塊市場,在今年AV-Test一月釋出的行動安全軟體評比中,芬安全是倒數幾名,但在三月釋出的報告中卻獲得滿分,可否與讀者分享在這期間內軟體的改變與工程師做了些什麼事?

芬安全行動安全軟體在過去3個月之內做出改善,並達到100%的偵測率,是由於放入了新版的自動化系統,處理樣本的速度更快、更有效率,降低行動裝置的處理壓力。另外也藉由更新包含惡意軟體的apk檔案黑名單,提升偵測率。

樣本來源、分析方式、掃瞄原理,病毒攻防9大提問

▲今年一月AV-Test釋出的行動安全軟體測試報告,芬安全落在後段班的成績。

樣本來源、分析方式、掃瞄原理,病毒攻防9大提問

▲AV-Test在今年三月以及五月釋出的報告,芬安全行動安全有著明顯的進步。

Java漏洞一堆

Q:承上題,目前曾出現會造成不同作業系統間交互感染(Windows感染到Android,或Android感染Windows)的惡意程式嗎?使用者該如何防範多螢世代的威脅?

目前我們所觀察到的漏洞,藉由Java橫跨Linux、Mac OS、Windows。Java可在所有的平台上執行,卻也有易受攻擊的缺點。目前我們已經觀察到利用Java漏洞進行的攻擊已躍升首位,特別是使用Majava這個漏洞。防毒軟體廠商也呼籲使用者在使用Java、PDF和網頁瀏覽器要定期更新才能達到最有效的防護作業,防範多螢世代的威脅。

Q:最近Java漏洞的事情鬧得沸沸揚揚,待補的漏洞也一堆,像是這種問題能夠在原廠釋出修正之前,利用安全軟體擋掉嗎?那麼芬安全這邊又是怎麼做的?芬安全對於這種零時攻擊大約可以在何時做出反應,擋掉的機率又是多少?

芬安全目前能夠防禦所有Java已知的漏洞,較新的、尚未推出修正檔的漏洞需要使用行為偵測引擎來保護其弱點。對於零時攻擊的防護,我們以行為偵測為基礎的深藍技術,就是給提供我們的顧客抵禦零時攻擊,即使是在尚未有特徵辨識碼的情況下。我們偵測那些看起來相當可疑,在惡意軟體中特定的行為。目前深藍技術保護著我們為數眾多的客戶,再跟其它的技術協同運作,可提升25%的防護能力。

 

本文同步刊載於電腦王雜誌
 
 樣本來源、分析方式、掃瞄原理,病毒攻防9大提問
歡迎加入電腦王雜誌粉絲團

R.F.
作者

誤入叢林的小白兔,每天爬樓梯到七樓的白癡,幻想自己很瘦的豬,一放假就睡死的bed potato。

使用 Facebook 留言
發表回應
謹慎發言,尊重彼此。按此展開留言規則