角逐零病毒检测

转自：[url]http://blog.sina.com.cn/s/blog_59a0d4260100a5s4.html[/url]

"Race   to   zero"是一个病毒恶意代码假装的比赛，目的是公开和开放的测试世界主要反病毒软件公司的病毒或恶意代码检测能力。今年的比赛于８月８－１０日在世界 著名***大会Defcon上进行。尽管比赛激起了反病毒软件厂商的愤怒，但却让广大的计算机用户认识到有防病毒软件并不就意味着安全，反病毒软件厂商也需 要改进创新传统的病毒检测模式，提升对病毒恶意代码威胁的抵御能力。
本文也可视做深刻剖析“病毒及反病毒软件”的入门普及读物。

Robert Lemos, SecurityFocus 2008-08-09

拉斯×××　――　周五，三组安全专家同时在比赛利用一组知名病毒进行***，将恶意代码转换成主要防病毒软件不能察觉的表面正常的代码。

 

由新西兰安全研究者 Simon Howard 运营的备受争议的“ 零 病毒检测”竞赛容许各个参赛队假装计算机病毒代码和漏洞利用代码样本。从古老的石头病毒开始，参赛者的任务是隐藏病毒代码而且潜过一组专门的防病毒引擎，当一个病毒顺利避开扫描后，就开始一组病毒中的下一个。

 

“比赛越日后，代码样本越难假装，”组织者 Howard 说，“漏洞利用代码更难于假装，由于有特点的扫描软件对于潜在的漏洞具备至关好的特征识别库。”

 

截至第一天，三个小组完成了全部九个代码样本――七个病毒和两个漏洞。先完成第一个样本的是来自 iDefence 公司的三个研究人员，花了五小时多一点儿完成比赛。然而，另外一个稍晚开始比赛的小组用了两小时二十五分红功的完成了全部九个病毒代码样本的假装。另外一个也完成了比赛的小组拒绝了采访。

 

Howard 说，参赛队的完赛速度提醒当前的防病毒引擎存在问题。“基于特征的检测不起做用了，”（译者：原文如此，我认为意思是指对目前日益增多的病毒变种， 基于特征的检测技术已经落后了。 ）他说，“行为识别技术是未来的方法，如今只有一些桌面防病毒软件采用了这一技术，而没有任何一种服务器防病毒软件使用这一技术。”

 

对于防病毒业这并非什么新的经验，２００６年，研究人员就已经开始在他们的防病毒产品中采用行为检测技术来检测针对少许目标进行***的***。去年特征检测技术的问题日渐突出，网络***者愈来愈多的使用代码假装技术制造出大量的病毒变种，更加剧了防病毒分析工做。截止２００７年末，坊间检测到的病毒变种已达５００，０００。

 

“ 零 病毒检测”竞赛代表，在通过合适的数位装扮后，即便是古老的病毒也能骗过最新的防病毒引擎。比赛用的第一个病毒是１９９８年的石头病毒。随后的 著名 恶意代码造成了一个“名毒录”： Netsky, Bagel, Sasser, Zlob, Welchia, and Virut （译者：怎么不用CIH ，尼姆达，熊猫烧香呢 :(! ）。最后是三个漏洞：一个是***Microsoft Word 的，一个是利用Microsoft's animated cursor vulnerability 漏洞的，最后是利用Microsoft's SQL 数据库引擎漏洞的Slammer worm 蠕虫。

 

起初比赛包括全部十个恶意代码样本，但因为大多数参赛者缺少合适的Windows 2000 版本，Howard 排除了Microsoft Word 漏洞代码。

 

比赛用的防病毒引擎铁护手来自全部主要的安全软件产品，引人注意的是不包括 SecurityFocus 的全部人赛门铁克（Symantec ）。Howard 用防病毒引擎的命令行接口来为编写测试脚本，但Symantec 的产品只提供GUI 接口，他说他也没有足够的时间找到变通办法。

 

修改真实的恶意代码来绕开防病毒软件没能让不少安全厂商高兴。

“世界上的犯罪分子天天在编写和扩散新的恶意软件还不够吗？”防病毒公司 Sophos 四月在博客上说，“仍是嫌身份和信用欺诈的犯罪活动不够流行？如今，伪善的编码者将被质疑：假借推进更普遍和通用的检测技术，把恶意代码这个泥潭越搅越混。”

 

Howard 坚称他触到了防病毒公司的痛处。比赛采用的网络是封闭的，没有和互联网链接，以免任何疏忽形成的代码泄露。“他们惧怕代码样本流入坊间，”他说，“全部的样本会连同制做小组的名字提交给防病毒产商，所以要是有泄露，产商就会知道是来自哪一个小组。”

 

参加比赛、制做假装好的病毒、经过防病毒检测并非很困难――若是你可使一个病毒经过全部的扫描器，你就可让所有病毒都经过。完成了比赛，附属于 VeriSign 的 iDefense 的研究小组说。

 

“那些坏蛋就是这样作的，” Matt Richard ，iDefense 的应急响应主管说，“只要获得一个可用的混淆器（packer ），他们就用来干坏事。”Richard 和他的两个同事花了五小时多一点完成了比赛，他说比赛颇有价值，由于它教导研究人员要重视他们的敌人。“有时为了摸清那些坏蛋会怎么作你必须编写一些东西，”Richard 说，“这些东西和咱们在比赛中用的干同样的事情，但只在研究室里。”

 

对于比赛组织者Howard 来讲，对公司和我的用户的教训远多于防病毒业界。他但愿对比赛的任何报道能够向防病毒用户传递这样一个信息。“若是爸爸妈妈看了报道，进到他们的防病毒设置里打开行为特征检测，那么举办这个比赛就彻底值得，”他说。