今年,趋势科技有幸参加了在西班牙巴塞罗那举行的第21届Virus Bulletin国际大会。
趋势科技的研究人员有三场关于企业议题的简报,还有一场关于技术议题的简报。Ethan XY Chen在第一天的技术议题和第二天的企业议题中介绍了档案信誉评比技术。Max Goncharov则介绍了成为恶意软件传播工具的流量重定向系统。David Sancho和Rainer Link分享了从Sinkholing僵尸网络中学到的经验。趋势科技全球教育主管David Perry则谈到消失的恶意软件指标。
在这次大会不同主题的报告中,我们被技术议题所讨论的内容所吸引。这里列出我们觉得特别感兴趣的部份。
手机恶意软件监狱
这个来自Axelle Apvrille的简报主题为“用OpenBTS GSM制造手机恶意软件监狱”,主要探讨了信息安全人员在分析手机威胁时所面临的挑战。
如她所说,防毒公司的最高指导原则是,不能传播我们所分析的恶意软件。但是在测试恶意软件时,有时需要有网络连接,或是能在分析过程中连到某些地方,以验证或分析它们的行为。分析被恶意软件感染的电脑比较容易,因为可以轻易地与其他网络环境隔绝开来,同时还能直到被分析的电脑有哪些行为。然而手机恶意软件就没那么容易控制了,因为没有网线可以拔掉,只能直接分析。
既然我们不想在分析手机病毒时担上感染同事的智能手机的风险,那么就需要一种方法能够有效地分析手机恶意软件,同时不会危及其他用户。
Apvrille所提出的解决方案是建立一个虚拟的GSM服务运营商。与用法拉第笼来阻绝信号相比,这是一个更便宜的解决方案,而且可以有效控制恶意软件的运行环境。这种方式使用了一个以Unix为基础的开放原始码应用程序 – OpenBTS,以及一个通用的软件无线电周边设备(Universal Software Radio Peripheral, USRP)。怎么个便宜法呢?大概1,000美元。虽然还是有点贵,不过对于防毒公司来说,仍然是一个不错的投资,因为手机恶意软件已经开始变得越来越多了。
诈骗和隐形的恶意软体
这个诈骗型恶意软件的分析报告告诉我们,假冒防毒软件和假冒工具软件的已经出现有一段时间了,而且可能还会继续下去,因为它们会随着新电脑技术的进步而随之进化。
根据这个报告,趋势科技甚至可以想像这样的威胁在在未来几年内会出现在移动操作系统上。
隐形恶意软件的分析报告中提到最近出现的Rootkit和Bookit,包括恶名昭著的TDL家族、Zeroaccess、POPUREB,以及Mebromi(又名MyBios)。
文件信誉研究
在微软公司员工Tim Ebringer的简报中,他提到,很难找出与一个特定文件相关的恶意软件。这一点与Ethan YX Chen的报告类似,在报告中,他提出可结合信誉评比和内容分析方式实现的解决方案。同时他对于如何对抗今天高度变化又微量分布的恶意软件也提供了不同的观点。
现在有很多恶意软件家族产品,因此我们如何认定某个样本属于某个特定的恶意软件家族呢?
对于流行的恶意软件(引导型病毒、在线游戏木马和假冒防毒软体),这没有问题。但对于那些不那么流行的恶意软件,就很有可能会当成新的家族。而这样就会破坏恶意软件的分类。
利用Bindex,所有恶意软件样本都会被切割成程序码片段,并储存在资料库中。如果一个工程师正在分析的新样本包含了一段有意思的代码片段,就可以用这个片段在资料库中搜索,并找到相关的恶意软件。如果找到的结果太多(例如属于不同家族),那么他所搜索的片段就可能是编译器的程序码。
通过识别编译器的程序码可以帮助避免误判,因为工程师可以知道这段程序码不能被用来做恶意软件的特征码。总的来说,我们认为这个应用程序对于加强启发式检测有很大帮助。
参加VB2011是一个很好的机会,可以让我们和防恶意软件产业的同行交流经验。总的来说,我们在大会上学到的东西一定会帮助我们在未来与威胁对抗时变得更强大,最终会提供更好的解决方案,以便更好地保护用户。
网友评论