赛迪网    作者：小光

近日，在“2008反病毒技术发展趋势研讨会”上，金山毒霸技术总监陈睿向记者表示，“木马已经成为现代网络安全的主要威胁，但由于目前多数杀毒厂商仍使用反病毒的成熟技术来反木马，导致木马的清除难度是传统电脑病毒的数倍。”

陈睿指出，为什么现在很多用户仍然抱怨病毒杀不掉，因为用户并不明白，并非病毒杀不掉，而是木马杀不掉，或者是流氓软件清理不干净。陈睿表示，对木马的防御技术现在远远不如反病毒技术成熟。其实任何工作都是这样做，一个新的需求出现后，一般先采用成熟的技术进行应对，现在木马正处于这样一个阶段，现在所有厂商试图用反病毒成熟技术查杀脱壳木马，它对于木马的效果远远不如病毒。陈睿从三个方面剖析了木马为何比病毒更难清除：

第一、特征码对木马作用非常小

因为木马传播是手工投放，手工投放会经常改程序,强调的是小范围多次入侵。今天投放完了以后，明天可以把程序改一改再投放，特征码作为一种静态识别技术对于改程序适应面很窄。

第二、启发式搜索对木马作用也不大

因为它更多是基于人工智能分类，举个例子，虽然不知道你是不是病毒，他觉得你像，为什么觉得你像，是类似于推理觉得像，基于过去对病毒数据的分析，这个就要求我们查杀对象技术具有相似性，但是木马没有固定的技术特点，因为木马的共性主要是在社会工程学，它欺骗伪装，这些都不能用一个很固定的技术特点来界定，所以启发式搜索对木马识别率较低。

第三、给我们造成巨大困扰的就是木马作者很“勤奋”

因为他们有巨大的商业利益驱动，一个木马传播一次收回来十几万，再传播一次就二十万，所以木马的更新非常快。“犯罪的利润要比抓贼的利润高”。

随着互联网应用的发展木马的比例越来越高，但是反病毒厂商对木马的防御能力一直在徘徊中前进，随着木马的发展和木马的比例包括木马对用户的危害越来越高，各大杀毒厂商均推出了以“防御”为主的解决方案。

以金山毒霸为例，金山毒霸2008在原有数据流杀毒的基础上，提出了全新的“病毒库＋主动防御＋互联网可信认证技术”为一体的“三维互联网防御体系”，即在病毒库和主动防御的基础上，采用了全新的“互联网可信认证”技术，近而大大提高了对未知木马病毒防御能力。

陈睿指出，在现有技术水平下要提升木马的防御能力只能提高两个关键点，第一个是特征码的识别率，第二个是如何减少恶意识别对用户的骚扰，尽可能做到自动判定。金山毒霸2008提出的“三维互联网防御体系”即在“病毒库＋主动防御”的基础上，增加了“可信认证技术”，当用户的系统遇到无法准确判断其性质的可疑行为时，即链接金山毒霸的服务器，通过“毒霸互联网可信认证中心”瞬间即可完成判断以及后续的处理工作，大大提高了对木马的识别能力，因而一方面避免了对普通用户的困扰，又能够有效地堵塞安全漏洞，进而增强对木马的查杀能力，也提升了对未知木马病毒的响应速度。

而作为金山毒霸的“互联网可信认证中心”，首先通过“网络蜘蛛”的技术，将互联网上每秒钟内刚生成的可执行文件全部“抓”回来，然后通过自动以及人工的分析，以秒为单位对服务端的可信认证中心及病毒库进行刷新；一旦在客户端遇到可疑行为，依据特征码不能够判定的，马上链接至服务端进行判定。这样一来不但提升了杀毒软件对新病毒的响应速度，而且也增强了杀毒软件的查杀病毒的能力，可以说是一举两得。