王建锋:病毒分析与防范技术

——访北京瑞星公司客户服务副总经理王建锋

访谈嘉宾介绍：

北京瑞星公司客户服务中心副总经理；多年来一直从事反病毒技术研究及技术支持工作；2000年以来，主要负责重大恶性计算机病毒的应急处理工作，组织并参与创建计算机病毒应急处理平台，在新型病毒预警、分析以及反病毒策略研究等领域具有丰富的经验。

访谈嘉宾：北京瑞星公司客户服务副总经理 王建锋

访谈主题：计算机病毒分析与防范技术

时 间：2007年7月23日

地 点：北京赛迪网信息技术有限公司聊天室

主持人：各位网友大家好！今天有幸请来了北京瑞星公司客户服务中心副总经理王建锋先生，王先生多年来一直从事反病毒技术研究及技术支持工作，在新型病毒预警、分析以及反病毒策略研究等领域具有丰富的经验，下面请王先生跟各位网友打个招呼。

王建锋：大家好，非常高兴有机会和网友做这样的交流，交流有关病毒防范和如何处理的相关问题。我是1999年加入瑞星公司的。

主持人：瑞星公司跟赛迪网共同开发了《计算机病毒分析与防范技术》课程，网友们有许多问题希望能够进一步了解。首先网友们想知道计算机病毒是从什么时候开始出现的？

王建锋：是80年代初出现的，但是发展比较迅速，从早期几百个到现在的几十万。计算机病毒发展非常快，而且病毒编写者的心理也有不断的变化，早期是报复或者纯粹为自己好玩儿，现在很多病毒目的很单一，就是从经济利益考虑。

主持人：就是把病毒当成一种赚钱工具？

王建锋：对，包括很多黑客软件、木马软件，都是为了窃取银行账户达到经济利益目的。同时还有一些病毒大家遇到的少一点就是对政治和军事上的，但是追求经济的病毒现在占的比例最大。

主持人：现在国内每天出现新病毒的频率是怎么样的？

王建锋：每天都会出现，但是每天出现一个还是一千个这个没有严格的统计。

主持人：跟国外比呢？

王建锋：国内、国外界限非常小，现在病毒是无国界的，也谈不上国内、国外有多大的差别。但是就某些病毒会在某些地区会爆发的比较集中，比如国内大家经常玩儿的网游游戏，国外就不玩儿，自然这种病毒会出现的少一些，或者传播的范围小一些。

主持人：这种病毒驱利性是只有中国这样还是世界范围内都这样？

王建锋：世界范围都这样，国内追求网络游戏虚拟财富的账号信息和银行账户信息的驱动是非常集中的。国外针对于信用卡这种信息的窃取比例高一些。

网友：计算机病毒从哪些途径传播呢？

王建锋：现在的病毒能够通过移动存储设备来传播，包括存储卡，还可以通过网络进行传播，通过点对点通信系统和无线通信传播。

主持人：可执行文件感染病毒后怎样感染新的可执行文件呢？

王建锋：这种病毒通常属于感染型病毒，是通过遍历系统或者能够访问的资源上面的可执行文件进行感染。

主持人：当第一个可执行文件被感染的时候会搜寻系统里面所有的可执行文件？

王建锋：对。

主持人：目前发现计算机病毒主要症状有哪些呢？

王建锋：简单一句话就是妨碍我们正常使用计算机的一切症状基本都跟病毒相关，但并不绝对。比如有些计算机病毒是良性的，一旦运行之后会让你做一道算术题，算错了就把这个页面关闭，或者一旦运行之后做一段音乐，比如爱情之声这个病毒，也有的弹出很恐怖的图像。有些病毒表面表现出来的不明显，但是造成的危害很大。比如CIH病毒一旦感染之后除了爆发的时候在平常是感觉不出来的，最多就是机器慢一点，但是一旦爆发了会删除文件。如果真正病毒爆发了，往往所带来的后果不是个人隐私信息的泄露，就是数据丢失，这些后果是我们最头疼、用户遇到之后也最无法正常面对的。

主持人：去年我们一直都在说一个问题，就是流氓软件，您现在能再跟大家说一下什么是流氓软件吗？

王建锋：其实流氓软件定义并不是非常严格，是具有几个特点的。比如说有一个强行安装、强行拦截、还有就是乱弹窗口。目前来看流氓软件在今年5、6月份它的势头已经得到了有效遏制。

主持人：有时候我们会发现中了一个病毒之后桌面上多了数个快捷方式，我感觉病毒和流氓软件、木马是纠缠在一起的。

王建锋：木马、流氓软件都是通过网页中的恶意代码，使你浏览的时候被感染。实际上它们传播的方式是一个。

主持人：现在流氓软件传播方式越来越接近于病毒？

王建锋：流氓软件是比较"好学的"是把病毒利用的方式方法都进行学习，然后仿造它的传播或者编制的方法进行编制。我个人认为流氓软件是比较"好学的"。

主持人：瑞星在报告未知脚本病毒的时候如何处理的？

王建锋：瑞星杀毒软件采用未知病毒查杀专利技术，可以查杀DOS、邮件、脚本以及宏病毒等未知病毒。如果说有一个病毒你直接删掉了，往往造成痕迹没有了，可能造成的损失无法弥补。而且很多病毒都有许多关联文件，如果只是删除问题文件，而没有找到关联文件就会造成病毒无法完全清除的情况。病毒之间会相互的看守，你把被守护的删掉之后守护的会强行起一个新的病毒。这样的话有时是删不掉病毒，更有时有些病毒发现其中一个病毒进程被删除掉了，就会启动它的破坏功能。

主持人：为什么有时候有的安全软件认为一个文件是病毒，而有的安全软件却认为这个文件不是病毒？

王建锋：不同厂商对病毒文件的认定在时间上是有差别的，可能有的是今天发现作出判断的，有的是昨天，有的是下午。第二，是因为有些文件仅仅是某恶意的程序，就是重启，或者使机器黑屏一下，有些软件认为它是病毒，或者说把它检测出来。而有些软件就不当它是病毒，就不检测出来了。如果一个文件本身并不是病毒，起的作用是调用另一个病毒文件，比如AUTORUN.inf这个文件就是一个垃圾文件，它并不产生或者新生成病毒。从这个角度来讲这个文件并不是严格意义上的病毒。它只是病毒创建的一个垃圾文件。

主持人：网友有时会发现删除了的病毒下次还会出现，这是怎么回事？

王建锋：这个问题看起来简单，实际上很复杂。每次杀毒完之后机器不重启直接查杀可能是没杀干净；还有计算机中毒了，删了，可能母体没找到，还会有毒；计算机一旦联网病毒就会出来，这是因为漏洞没补全。所以说具体原因具体分析。

主持人：对于用户来说是不是查杀病毒的时候要采取最严格的方式，查出来之后要把补丁都打上？

王建锋：正常情况下应该先打补丁，第二要保证杀毒软件要经常更新版本，如果确实有的病毒反复杀反复有，就跟安全软件厂商联系，如果是病毒有特殊的变种可能他们没有考虑到。

主持人：对于被隔离的病毒文件如果是系统文件的话，用户要删除这个系统文件该怎么办？

王建锋：不要自己删除，如果是系统文件正常处理步骤应该是对它进行清除的操作。因为病毒感染会在文件前面、中间或者后面部分嵌入代码，一旦重要的文件隔离或者删除掉了，很可能会影响正常工作，所以不要自己冒然的删除。但是话说回来删除某个系统文件往往是很难删掉的。

主持人：我们以前有一种习惯，发现中毒的话会找一个把干净的系统文件拷过来，然后在DOS模式下覆盖掉原来有问题的系统文件，这种方法可取吗？

王建锋：这种方式不太合适，因为从文件系统的角度看，过去是DOS的，现在是Windows2000以后都是NTFF的格式，这种情况下冒然用以前的方式第一是识别不了，或者即时识别了也不能正常的修改文件。而且如果冒然修改的话往往系统在启动后会报异常或者出错。这种情况下除非对这个操作系统非常非常了解，或者操作系统没有多少文件，在DOS下尝试还是可以的，否则的话要借用第三方软件进行处理。

主持人：网友想了解目前常见病毒的种类有多少？

王建锋：今天为止有几十万种一点不夸张。可能有些病毒属于一个家族，有的厂家就会认为是一个，但是有些厂商会把每一个新的变种都视为是一个新的病毒，所以不一样。

主持人：那么总体来说现在病毒有哪些种类存在呢？

王建锋：病毒的种类只是一点点的往上增加，并没有往下减少，唯一变化是某一种类的病毒相对来说增长的趋势放缓了。比如宏病毒现在变种非常少了，比如原来DOS病毒，现在基本已经没有了。但是过去有引导性的病毒现在是不是完全消亡了，也不是，偶尔也会出现一两个，但是往往是新的种类。比如邮件型病毒，比如蠕虫或者对应系统漏洞进行传播的。现在往往一个病毒具有多种病毒的特点，又通过邮件传播、又攻击系统漏洞。包括去年下半年的熊猫烧香，这些病毒并不是有什么创新，如果说有创新就是把以前的病毒传播方式都学习过来了，拿来主义，自己通过局域网、邮件等进行传播。

主持人：他们正在采取复合传播方式？

王建锋：对。他们把经常见到的病毒传播方式都学习过来了。

网友：我的系统进入不了瑞星网站，杀毒软件也无法升级？

王建锋：去年下半年病毒与杀毒之间的对抗性越来越强，相当于杀毒软件在明处，病毒在暗处，过去有些病毒是逃避，现在很多病毒是把杀毒软件干掉，邮件删除掉，进程结束掉，用这些方式阻碍杀毒软件工作，自然就达到了保护自己的目的。刚才这个用户反应的情况很像这类病毒。凡是含有安全软件关键字的，都会让你的杀毒软件不能正常工作，或者关闭含有关键字的页面。从去年趋势来看我个人认为这会是未来一段时间内趋势之一，就是病毒、流氓软件与安全软件的对抗会越来越激烈。而且现在可能会在相当长一段时间内存在。

主持人：反病毒厂商现在也面临着更加严峻的局面。我们都知道有的时候病毒发作有的是有周期性的，是否把本机时间改掉就可以了？

王建锋：理论可以这样做，但是面对很多实际问题，比如这个病毒什么时间发作普遍用户都不清楚。大家都知道CIH是在4月26日发作，但这只是CIH一个变种的发作时间，你把时间改成多少都不合适，而且很多用户改过之后忘了改回来，相当于下次你机器里的病毒会比别人先发作。这是非常非常临时的办法，除非手边没有很好的办法，临时应急还可以，但是并不是解决问题的办法。

主持人：我们都知道电脑上会有恢复盘可以在中毒后马上恢复，这种恢复盘是什么呢？

王建锋：是使用GHOST等类似程序前期对系统进行备份，如果在做镜像时间点之后做的所有操作一旦恢复回来所有数据就丢失了，因为恢复盘恢复的时间点，只是做备份的那个时候。如果之后又做了很多自己的操作，比如写文档或者画一幅图都会随着恢复丢失。我个人感觉做恢复更重要的是备份自己重要的数据，而不是说系统。系统大家都知道拿一张光盘重新安装就可以了，自己做的数据文件往往是不能恢复的，可能一天前写的东西一天后想起来就完全不一样了。所以应该把自己的重要数据文件备份到其它的介质上。

主持人：为什么现在有很多用户都说杀不掉木马程序？

王建锋：我个人认为有两方面的原因，一方面是法规上的原因。现在大家在网上能搜索到很多特制木马是公开销售的，而且还会保证不被什么软件检测到。这种行为国家法律来讲没有一个非常严格的相关条款制约它，所以就可以肆无忌惮。另外，有些木马程序杀不掉，我有时候会问怎么杀不掉，是清除失败还是说你感觉到你的信息泄露被了？如果是后者，那么有时候这类行为不需要什么第三方或者黑客软件，简单几条命令就可以实现。

主持人：现在杀毒软件都是Windows平台上的，如果电脑自身感染病毒再装杀毒软件是不是就 没办法根治了，这个怎么解决？

王建锋：其实有些杀毒软件在安装过程中是允许带毒杀毒的。

主持人：如果内存中的病毒是新变种，而由于杀毒软件是光盘为主，病毒库比较老，这种情况下新变种病毒会被删除吗？

王建锋：这种因为版本的原因导致时间上的延迟，很多杀毒软件是专门提供这种安装程序的，（最新版本的）自己在运行过程中就有自我保护，包括清除病毒的操作。

主持人：我是不是可以理解为杀毒软件安装的时候即便只有比较老的病毒库，但是自身的保护措施能使它不容易被感染？ 王建锋： 对，而且新的安装版本也可以解决这种老版本带来的问题。

网友：编写病毒是用哪几种语言？

王建锋：首先咱们国家有明确的法律条款规定，编制传播病毒属于违法行为，至于他关心的病毒是如何编制的，用什么软件、什么环境编制的？本质上病毒程序就是普遍的程序，凡是能够正常编程的工具都可以用来编制病毒，比如汇编、C、Delphi、脚本等。病毒的编写并没有说用哪种最好，或者哪种最不好，但是可能汇编写出来的病毒相对来说小一点。有些算算术的恶意病毒用VB这种语言编写更简单一些。我觉得咱们今天做这个访谈，做这个课程，实际上着眼点是在于防范，学完课程之后并不是说我要怎么编病毒，自己怎么写。实际上更多的是希望大家能够知道遇到病毒我该怎么做？如果说谁想学完这个课之后会写病毒了，我个人建议也不要来学这个课程。

主持人：那么哪些网友比较适合这个课程的学习呢？

王建锋：我们这几年全国的调查，比例高达90％以上的计算机用户感染过病毒，60％感染过两次以上，一个计算机用户没有被计算机病毒感染过，这个数目是非常小的。计算机病毒的原理是什么、中了病毒如何去做？想了解决这样问题的用户比较适合这样的课程。而不是说想编写病毒，如果真有这样的课程也不能以这样的方式传授。

网友：我的瑞星有的病毒就是杀不掉，杀毒软件会说重启掉，可是重启了还是会存在这样的病毒？

王建锋：这可能是一个新的变种，或者是说权限问题，比如他是普通用户，那个文件是系统文件他没有操作权。还有一个就是他现在的传播途径被切断了。另外还有一个可能就是释放病毒的主体文件并没有删除掉，这个在流氓软件里比较常见。流氓软件本身并没有恶意的特征，但是释放的文件是病毒，这种情况直接处理流氓软件是有问题的，因为它本身没有恶意的东西，但是释放出来的东西是有恶意的，这种情况下如果直接处理流氓软件，作为我们来讲也面临着同样的困难，国家法律没有界定什么是流氓软件。大家了解前一段时间流氓软件有很多起诉讼，但是终审的结果并不是让广大用户满意的。所以专业厂商也面临着尴尬的情况。

主持人：大家有时候一定要理解杀毒厂商，因为对于某些事情许多时候是很无奈没法去解决。

王建锋：因为病毒国家有定义是什么标准，但是流氓软件没有上升到国家法规层面，依据什么样的标准处理？如果安全厂商有所动作，被处理一方肯定会有想法。

主持人：之前也谈到过，木马法律界定也不是很严密？

王建锋：对。我们作为专业厂商非常希望法律法规能够完善起来。

主持人：今天的访谈就到这里，网友如果还有其他问题欢迎在论坛里提出，我们会继续为您解答。谢谢大家的参与！

王建锋：谢谢大家！