漏杀,是指本来是病毒,但安全软件在一定时期内无法检测到。以前,我们常听到某安全软件把正常文件当病毒误杀,比如Norton和McAfee都曾出过严重的误报事故。而漏杀,这个从杀毒软件诞生以来就存在的现象却很少为公众所了解。
据金山毒霸安全实验室统计,约三成网民的电脑里存在被漏杀的病毒木马,每年被漏杀的病毒木马数量近100万个,相当于每年新病毒木马总数的5%。
根据国家计算机网络应急技术处理协调中心发布的最新调查数据显示,2009年95.6%的电脑上安装了各种各样的安全软件。但金山毒霸安全实验室通过对1000位名用户电脑样本调查显示,发现安装了安全软件,但仍然存在各种病毒木马入侵痕迹的计算机超过30%。
互联网每天都会出现许多新程序文件,当一个新生的程序文件在互联网出现时,传统安全技术无法立即监测到。只有当程序文件分布到一定的广度,比如监测系统发现某个程序文件在不同地区的不同电脑中出现,被用户举报为可疑程序。安全厂商才会分析该程序文件是否具有恶意行为,在未被传统安全软件检测为病毒之前,安全软件无法做到有效防御。
金山毒霸安全实验室分析了流行病毒木马的生存周期,发现超过78%的病毒木马只有两周生存时间,随着时间的延长,生存率显著下降,超过一个月仍在产生危害的病毒木马不到5%。
病毒各生存周期的分布图
当某恶意程序被一家安全软件公司报告为威胁时,在较短的时间内,会有更多安全软件对其进行查杀。杀毒软件必须加快响应速度,缩短漏杀期,才能更好地保护网民度过“危险期”。恶意软件传播者在发现病毒被安全软件检测到时,也会及时对病毒木马进行更新或免杀,这对计算机网络安全构成严峻挑战。
漏杀病毒,令用户损失惨重
据金山毒霸安全实验室研究结果,按照每年百万级别的漏杀病毒木马计算,根据对漏杀期病毒木马感染用户电脑数量的分析,在病毒木马的漏杀期,每年将有千万级别的用户感染这些被“漏杀”的病毒木马。
一旦漏杀发生,网民的电脑就会面临威胁。可能面临的威胁包括:虚拟财产的损失;个人隐私数据被窃取;商业秘密被泄露;电脑软件系统故障频繁,影响生产或其它正常应用。
而据金山安全实验室最近对部分网民的求助进行综合分析,发现约30%的用户电脑已经存在多种异常,但用户机器上安装的安全软件却没能正确处理。异常现象包括主页被强行锁定、桌面莫名其妙多出几个快捷方式总也删不掉、系统文件被破坏,用户个人数据被盗对用户来讲是看不见的损失。
金山毒霸2011反馈的异常现象统计
金山毒霸安全实验室还分析了自金山毒霸2011上市以来云安全服务器的查询结果,发现在被其他安全软件漏杀的病毒木马中,其主要类型有盗号木马11%、后门程序71%、木马下载器7%、黑客程序8%、广告间谍软件3%。从中看出,以盗取用户隐私信息和虚拟财产的木马占漏杀病毒的绝大多数。而这些病毒的背后都有商业运作的痕迹,部分持续更新的病毒木马甚至购买带宽进行商业发行。这些病毒的分发渠道,往往和色情网站、共享软件、中小软件下载站、部分网址导航站相互勾结。