標題:
[分享] 病毒沒有你想像的多:WildList與防毒
[打印本頁]
作者:
JAMES詹姆士
時間:
2005-9-29 11:11 AM
標題:
[分享] 病毒沒有你想像的多:WildList與防毒
根據眾多防毒軟體廠商的統計,目前全球網路裡號稱約有7萬隻已知的電腦病毒,並且均宣稱自家產品可以防止此一龐大數量的威脅--那麼在此提醒各位,千萬別被這種幌子給唬了。這個「7萬隻病毒」的說法,有誤導消費者之嫌,而更糟的是這形同空口說白話。為什麼會這麼講呢?其實市面上的防毒軟體,大多以偵測及防範正在流行中 (in the wild) 的幾千種病毒為主,它們才是真正在網路上進行散佈,並且可能感染使用者電腦的危險份子--而這個數目遠比7萬種少的多。
有鑑於此,在業界備受敬重的相關病毒防範組織,對病毒種類做出了區分。除了上述流行中的病毒之外,其他的 6 萬多種病毒,都被歸類為「實驗室病毒」 (zoo virus)--它們其實都已經算是恐龍級的上古時代電腦病毒,在現今的電腦系統中近乎絕跡。過去 20 年直到現在所出現成千上萬種的病毒,只有一小部份才會真正在網路上繁殖與流行,其他大多數都已消失無蹤。
這也就是為什麼現今的防毒軟體廠商,在測試自家軟體時,大多僅利用包含少部份病毒且廣為人知的「Wildlist」流行病毒清單做為基準。被列在此清單上的,都是實際上正在散佈,並且會感染電腦系統的病毒。
什麼是WildList?
大約在十年前左右,電腦業界裡沒有人能夠整理出「所有病毒」的清單。所以一位名為 Joe Wells 的有心人士(現為 Fortinet 防毒架構技術長),將數份病毒清單重新加以整理,並且提供給幾位防毒專家做為參考,請他們協助修改這份病毒清單,加入其他被遺漏掉的已知病毒。這份完整的流行病毒清單,在 1993 年中正式公諸於世,並且命名為 WildList(網址為
www.wildlist.org
)。
公佈不久之後,WildList 就成為電腦業界用以測試及認證產品用的標準。現在全球各地約有 70 名的頂尖防毒研究員,每個月都會重新修訂並對外發佈此份清單。
許多令人尊敬的測試組織,像是ICSA Labs、Secure Computing和Virus Bulletin等,均採用 WildList 做為它們的防毒產品測試及認證方案標竿。之前也有一些測試組織也額外測試一些不在 WildList 裡的「實驗室病毒」,但現今採取這種作法的組織已很少見了。
WildList 目前已演進為包含數個章節的大型清單,以確保能夠儘可能包含目前已被偵測出的各式病毒威脅,其中只列出具有樣本及已被驗證過的病毒:
•主要清單 (Main List)
包含了至少由兩位以上防毒研究員所提報的病毒,在 2005 年 6 月的主要清單裡共登記了 633 個病毒。每個月的調整幅度大約是舊清單增減 10 個左右,另新增 10 至 20 個全新病毒,並刪除掉已不合測試準則的病毒。
•補充清單 (Supplemental List)
包含只有一個研究員所提報的病毒,2005年6月的補充清單中登記了 3,631 個病毒,和主要清單合計後達到約 4,300 個左右的病毒。
根據這段時間的觀察,加入清單的病毒比刪除的多,而且混合式威脅的數目也在緩慢增加中。另外從這些專家們的角度來看,真正在網際網路領域裡活動,並且實際感染電腦的病毒數目,要比 7 萬隻病毒少的多。就以今年 6 月份的總數 4,300 隻來看,其數量只佔了 7 萬隻裡不到 7% 的比例呢!
剖析WildList與防毒軟體的關係
如同前文所提到的,有將近 93% 以上的已知病毒是「無害」的,聽起來似乎很難接受。那麼 WildList 這種謹慎的列舉方式和一般防毒廠商的行銷文宣當中,倒底存在著那些落差呢?
已知病毒的數量被廠商誇大了。許多變種病毒只在某些小部份有所不同,但防毒廠商們將每個變種病毒均視為獨立種類。實際的病毒種類(排除所有小型變種)大約在 1 萬種以下,更可能不到 5 千種。
病毒常因為電腦軟、硬體技術的演進而隨之消失。
有許多老病毒只能在特定的硬體平台上發作。像是一度列入清單中的 Ping Pong 病毒,就只能在 Intel 8086/8088 的 CPU 上執行,所以很明顯地已消失於現今的電腦環境中。
許多種病毒隨著作業系統的更新而消失。當 Windows 3.1 開始普及之後,感染 DOS 檔案的病毒就開始減少;而在 Windows 95 問世之後,相同的情形再次發生。
大眾化的應用軟體升級所造成的電腦環境變更,也會使得特定病毒不易生存。像是微軟 Office系列升級之後,以 WordBasic 做為基礎的 Concept 巨集病毒就不見了(新的 Office 系列已改用 VBA 做為巨集程式的架構)。
許多病毒是在具有限制性或是封閉式的環境下創造出來的,所以沒機會對外散佈;這種類型的病毒通常都被歸類於「不具威脅性」種類當中。那麼是否有實驗室病毒「逃脫」,變成可發作病毒的情形呢?理論上是有可能的,但在 WildList 的歷史中並未發生過這種特殊案例。在現有實際案例中,WildList 清單都能掌握最新的病毒狀況。
既然清單中列舉的病毒不過只有 4,300 多種,那麼防毒軟體是否應該連實驗室病毒一併掃瞄,以防萬一呢?不建議這麼做的原因是,這種做法並不會帶來太多好處:
1.如果要掃瞄實驗室病毒的話,病毒資料庫的大小可能是現在的 100 倍,會佔用更多的記憶體、硬碟空間及網路傳輸頻寬。
2.需要佔用更多的電腦運算能力,並使得防毒軟體的效能變差,有些沒耐心的使用者可能就直接關掉防毒軟體,反而造成不具防衛能力的情形。
3.一天到晚在維護防毒引擎的「向前相容性」,可能浪費太多時間,扼殺防毒軟體廠商的創意,阻礙了防毒軟體的成長。
現今的即時性網路運作環境,所需要的是即時性的防毒保護,其重要目的是聚焦於偵測及消除實際存在的病毒威脅,而不是對存在久遠的病毒考古。也因此使用者應當尋找能夠即時對抗最新智慧型網路威脅的整合式防毒防火牆,它們才能以高效能的防護能力,帶來更少的延誤、更小的浪費及更低的成本。
作者:
c2546321
時間:
2005-10-20 10:00 AM
謝謝大大的分享!受益良多。
作者:
hnt1978
時間:
2005-11-10 04:01 PM
謝謝大大熱心分享,如此有用的訊息
作者:
sun_book
時間:
2006-1-28 09:36 PM
標題:
原來如此啊...小弟受益良多...謝謝大大的分享...^^
看了大大分享的文章之後, 小弟對於病毒的了解又多了一點,
希望大大能夠再接再厲, 造福更多像小弟這樣的人...
再一次謝謝大大的分享...^^
作者:
JAZZ
時間:
2006-3-5 07:43 AM
原來如此…
太感謝大大ㄉ分享了
對病毒又多一層認識了
謝謝啦
作者:
asdfmax
時間:
2006-5-27 11:37 AM
受益良多
感謝分享
上了一課
歡迎光臨 網際論壇 (http://centurys.net/)
Powered by Discuz! 2.5