关于教育网上历次反恶意代码斗争的关键点，作为一个亲历者，我想回顾一下。

　　首先，看看Dvloder，它是口令猜测蠕虫中疫情最为严重的。因为不是采用一个简单的批处理调度的方法，所以有非常强的发包能力。另外一个特点是有更大的密码档，更快的扫描速度，更紧凑的组合方式，开设了VNC后门。我们曾与哈尔滨工业大学联合组建了一个CERT，这个蠕虫是“哈工大—安天联合CERT”国内率先发现的，并锁定了国内最早感染的机器。实际上在这个病毒之前，已经有了这种DIY口令猜测蠕虫，并可以追溯到上一年的12月。那时我们已经关注到互联网上大量的139、445 端口扫描的现象。因此在旁路的监听设了阈值，发现超标之后，当时确定了7个IP，联系到管理者抓到了这个蠕虫样本。它的后期处理还是非常典型的，主要是普查。因为这个蠕虫用的是VNC的后门，是3DES算法加密的，我们破解了口令，用这个VNC口令作为验证项，可以准确地判定。这一蠕虫是被公安部门立案侦查的，由我们提供技术支持，全国大概排查了4万台机器。国内最早的感染节点在东北农业大学，根据其他信息，该病毒的感染时间是早上8点多，但是初始投放时间根据分析应该是在凌晨两点，我们预测，这应该是时差的关系，并因此推断出大概的时区位置。再就是清除病毒。我们协助有关高校，把检测出的机器二次利用密码档去投杀毒程序。由于我们不能确定蠕虫是否还在，注册要给一个前台界面，这个程序是由网络管理机构派发的。当时主要是配合几个校园网络中心做远程查杀。从病毒设计机理上说，这种方法是无效的，因为这个蠕虫会关闭RPC，但事实上由于蠕虫传输本身的干扰，有可能关的时候蠕虫体还没有传完，所以关闭往往会失败的，导致了远程的查杀率还是比较高。

　　再就是Welchian，这是当时在ISP IDC机房的监控点看到的。12月前几天的扫描数量，大概每天维持在200万次以上，但是，当时有一个非常典型的处理案例，某高校有300台HUB无法管理，如何处理？联合CERT后来想到了一个方法，因为可以判定出大概的源，发送ARP包压制它，叫它不停地弹，这样，不管怎样改IP都会冲突。同时在学校寝室的门口发布公告，通知学生一旦发现这种现象是因为机器中毒了，需要处理。采用这种方式，经过一周的时间，同时将几台设备分别布设在各个寝室楼出口的地方。这是另外一个我们认为比较成功的案例。

　　再就是邮件蠕虫的事件。有一段时间存储的压力很大，一天中仅蠕虫就收了12.3G,还不算编码的大小。印象比较深刻的是Sobig.f。由于TELOCK随机数加壳，每重新加一次整个文件就变了，这个对文件引擎没有什么影响，对包引擎就成问题了，因为每一个变种要加一条规则。我们在很短时间内捕到13个变种，但是也不知道有多少个变种，后来分析了特点之后发现所有MZ头是一样的，如果用MZ头是可能误报的，而正常程序可能还在邮件附件里，概率还是比较小的，所以就用了惟一的一条快速匹配MZ头作为规则。

　　关于Downloader处理。Downloader，包括挂马，是当前比较严重的情况。一旦一个木马下来之后就下来一群，这些样本无论是对网关上的设备还是终端设备，很多都是新的，不认识，很多恶意代码作者看不出特性，写的时候储备了十几个变种，三十分钟之后升级成了第二个；而反病毒软件升级一个通常需要一个小时，有时候需要更长。从厂商角度，因为定性可能很快，提取规则很快，编写查杀参数也不慢，或者干脆用通用引擎处理，但是白名单测试非常慢，如何保证不误杀、误报？要用一个千万级的白名单系统把所有文件扫描一遍不误报，这将导致发布时间很慢，期间可能又产生三个变种，所以杀不掉。反病毒当然不能够只靠主机，要靠网络，但有可能主机上匹配不到，网络更匹配不到，所以要靠行为。我们来做一个行为检测演示，模拟Downloader下一批东西，如果不打开行为的开关，可以查到一个；如果把开关打开，用相同的情况去做，实际上就会出现一次Downloader下载行为，因为有连续的小PE文件的传输。病毒对抗的很大弱点是你有什么权限人家也有什么权限，而且你在明处他在暗处。在网络上他是静态的数据，你是有响应权限的，所以他是无条件被你分析的，这样的一种连续事件可以分析成这样的一种下载行为。

　　关于MS08-067的响应。对这个漏洞大家已经很了解，比如DEP是穿透不了的，为什么能造成当前这么大危害？一是因为操作系统较老，再就是“民间预装版”的，把一些系统默认的安全配置去掉了，这种情况导致了大量传播。安天写了一个快速扫描器，先测了一个教育网服务器C类IP段，发现11台有问题，而且基本都是Web Server，这说明问题很严重，是因为有很多老服务器是不维护的。

　　实际上我认为高校的一个特点是技术和学术民主共同参与，往往参与实际的基于自身网络信息体系的保障恰恰是最好的锻炼。有一个教授说过一句话，全国每年以入侵检测为论文毕业的学生数以千计，但是没有几个能到实际的现场做一次真实的入侵分析，这个问题不应该继续下去。

　　有这样一幅画：宗教狂热分子讽刺达尔文认为人的祖先是猿，但事实上达尔文从来没有说过这句话，他说的是人和猿有共同的祖先。

　　被疯狂攻击的又岂止是达尔文一个人？就如同对AVER的指责。有人说反病毒产业是病毒经济。那么，AVER是敲诈者么？不要忘记恶意代码不是AVER写的，是由分布在地下经济体系上端的大量作者所写，他们没有被群起而攻之，却是我们被更多地非议和批判着。AVER是勤奋执着的。被学术界倍加推崇的snort，迄今不过3000条规则。而在过去的20年，AVER定性了数以千万计的文件，分析了数以百万计的病毒样本，提取了一百多万条检测规则，命名了30万个以上的病毒名称(含变种)。这其中有一半以上的工作是在2008年一年里完成的。

　　我经常看到质疑AV作了20年，也没有解决反病毒问题，是不是AV没有用了。但我们也可以看到，人类的基础安全体系存在了数千年，不是同样没有解决杀人、盗窃的问题，难道警察和社会公权体系就是没有用的么？如果说反病毒是病毒经济，难道防盗门、报警器、这些都是小偷经济么？

　　我想，我们与技术空想者的区别，是他们至今没有实现任何一个虚妄的幻想，而我们愿意把毕生的青春和才华献给一个永无休止、持续对抗的事业。

　　希望那些狂热的批评者在批评AV技术之前，先试想一下，那些被数十万种恶意代码所窥视的无辜用户如何生活在一个没有反病毒技术的信息世界。
　　(作者单位为安天实验室)

　　来源：《中国教育网络》2009年3月刊