McAfee病毒库已收集20万个恶意软件特征

杀毒软件公司McAfee最近达到了一个给人深刻印象的里程碑，即在其VirusScan数据库中增加了第20万个恶意软件特征。恶意软件的作者肯定很忙。这个成绩标志着这个数据库在仅仅22个月的时间里就增加了一倍。这个数据库用了8年的时间才获得10万个恶意软件的特征。目前这个统计结果确实是令人震撼的。

　　恶意软件的特征为什么突然增加了?除了恶意软件“行业”的自然增长之外，我们还将看到策略上的变化。确实，我们也许会看到另一个震荡波(Sasser)、我爱你(ILoveYou)、冲击波(Blaster)或者好大(Sobig)等病毒。但是，这种病毒大规模爆发的日子已经屈指可数了。对预防措施很敏感的病毒作者现在编写一些病毒变体，其差别之大足以需要新的病毒特征。这些病毒的变体很多都是能够自我变异的，企图避开当前的检测技术。

　　McAfee的报告对恶意软件领域的多样性还提供了一些有趣的数据。McAfee在其Avert Labs博客中披露了其数据的组成:

　　·31%是特洛伊木马程序

　　·28%是Win32 bots/病毒

　　·26%是过时的威胁(如MS-DOS、Windows 3.1)

　　·12%是脚本和宏病毒

　　·3%是潜在的不需要的程序

　　那么，所有这些数据意味着什么?它明显地说明威胁环境正在与时俱进地发展。随着环境的变化，安全专业人员必须要把他们的防御重点放在未知的威胁方面。下面是缓解这种威胁的三个简单的例子:

　　应用和管理杀毒软件。虽然这个忠告看起来也许是显而易见的，问一下自己，是不是百分之百对你当前的杀毒基础设施有信心?如果你的内部审计部门没有这样做，你要对你的企业的系统(工作站和服务器)进行随机的审计，检查这些设备是否配置正确并且进行了杀毒软件升级。更好的做法是购买一个杀毒管理解决方案自动完成这些任务。你当前的杀毒软件许可证协议甚至也可以包含这些工具。赛门铁克用户可以使用企业版软件。而McAfee用户可以使用ePolicy orchestrator工具软件。

　　考虑内容过滤。许多企业目前过滤出网的通讯。虽然这种做法通常是由遵守法律/法规的要求推动的，但是，内容过滤在保护企业系统避免受到恶意程序攻击方面能够发挥重要作用。内容过滤能够封锁对发布恶意代码的网站的访问，或者阻止访问充当恶意软件“phone home”服务器的网站。

　　实施一种纵深防御战略。杀毒软件不能包治百病。杀毒软件旨在检测已知的威胁。但是，有些人将成为零日攻击病毒的第一个受害者。重要的是使用一种周边防御技术(如防火墙和入侵防御系统)和系统管理工具来为你的企业提供多层次的防御。

　　遗憾的是，恶意软件和信息安全之间的猫捉老鼠的游戏还不会很快结束。然而，研究人员正在努力开发新的防御技术。我们在未来几年里还将看到进化的变化以满足变化的风险环境的需求。同时，加强你的防御并且保护你的机构防止出现恶意软件事件。

细水曰：
20万啊，确实不得不说是一个里程碑，也可以从数据上看出弘病毒和脚本病毒逐渐在谈出，取而代之是特洛伊木马，因为黑客通过木马可以获取更多的利润空间；也可以看出目前恶意软件的趋势所在。