一、远程控制软件被杀毒软件认为是不安全的
用户:如果经常做一些远程的控制,但是有时候会把我的控制给拦掉,因为我不可能每一个客户端都去跑。如果把我也拦掉了,我只能到客户单端做一些修改?
李铁军:我们以前经常用一个远程管理软件,就是把用户经常用的软件给杀掉了,所以我们后台有网管工具库,我们产品出来之后会做一个库包库的检测。如果发现了我们会去分析,这个软件对普通用户产生多大的风险?如果确实风险非常大,还是会作为一个木马或者黑客给杀掉。还有海洋顶丹(音)木马,大多数用户认为它就是对网站有威胁,可是我们杀掉之后有的用户就找我们说,就是要用海洋顶丹,所以这个度怎么衡量比较烦燥。有时候还是需要双方沟通,衡量一下这个软件评估一下它到底会产生多大的影响。
罗维:现在有很多利用木马来赚钱的,利用病毒来赚钱的那些程序,也有很大一部分软件在远程控制这一块用的就是正常的软件,比如用某一些大家常用的一些软件,他就用这种软件作为程序。比如像Rootkit另外有一个小程序,在你不知道的情况下把图标给你藏起来,这样他可以从远程控制你的机器,但是这个软件本身是一个合法的,这种情况下杀毒厂商就不太好办了。如果把这个木马当作木马杀掉的话,就会引起用户的正常操作。如果不加进去,有些用户不知道他装上了这个软件,结果他会受到恶意的控制,这块也是杀毒厂商比较头疼的。
杀毒软件厂商这边做分析的时候应该分析的更透彻一些。另外用户也尽量用一些正规一点的,比如远程管理最好用赛门铁克的,不要用一些不太知名的或者共享软件,因为共享软件本身就容易被黑客做一些坏事情。
二、各厂商是否有针对移动设备的杀毒软件
用户:针对移动智能设备这类的病毒,对于厂商来讲你们有没有在这个上面部署杀毒软件或者插件的计划?
罗维:现在都有了。
三、厂商如何定议不良网站
用户:你们两个都说公司的产品屏蔽了一些恶意网站,但是恶意网站库是怎么建立呢?因为可能攻击到一个网站传播病毒,因为传播病毒了你们可能把它作为屏蔽的对象,过一段时间这个网站的管理员把问题解决了,把病毒清除了,那怎么把这个网站从这个库里调出来。
李铁军:我们首先是收集列表,之后会对网站进行审查。
四、如何防范IM软件上发来的不良链接
用户:因为现在MSN群也比较多,QQ等所有即时工具都可以集成在一个群里,有时候发布一条消息或者一个连接,这时候我抑制不住好奇心想去点。但是之前想分析危险程度的话,三级以下我觉得可以拼一把可以点,如果是五级的我就抑制住好奇心,这个暂时没有检测是吗?比如金山的防火墙是不是可以自动屏蔽它,可以告诉我一个危险的级别?
李铁军:我们在网页防火墙是存在这个功能的。
用户:一般的普通用户是不会把防火墙装上的
李铁军:杀毒软件网页监控的功能都有。
用户:这不是对网站危险系数的评估?
罗维:一般来说这个量确实太大了。如果是一个新病毒它出现的肯定也是一个新网页。
用户:我们得到病毒的速度要比你们稍微慢一些。
罗维:如果这个网页不是你的朋友敲进去的肯定是有问题的。
五、杀毒软件为何不放过我的邮箱
主持人:我一直用FOxMAIL收邮件,但是有一次信被认为是垃圾邮件,系统把把隔离了,既然杀毒软件能够认出文件是带毒的,但是不能清除,但是我们的这个FOXMAIL也不能关了,后来我是把杀毒软件屏蔽了,然后再把这个邮件删了,为什么知道有病毒还不能杀呢,只能隔离。
罗维:杀毒软件不能杀,杀毒燃烧认为它是一封邮件,在一个邮件里杀毒的方法跟在一个邮箱里杀的方法是完全不一样的。如果你杀整个邮箱的话,那整个邮箱就完蛋了。因为他不知道你邮箱的格式。
六、为何我自己编的东西也会被认作病毒
用户:比如我用JAVA编的一个东西,放一个附件寄给别人,杀毒软件怎么判断呢,是因为有特征了才能确定是病毒?
罗维:应该是误报。但误报的可能性很小。误报有两种情况一种是直接认出来了,比如用户拿一个文件发给你说这是病毒,你这边一看这其实是一个操作系统的文件,但是你分析的时候把它当病毒了,就杀了。
另外一种是用某种压缩软件压过了,或者说某种编译软件,中国以前有E语言,还有做安装包的程序比如WISE,或者一些解释程序,那种解释程序做的,做出来的程序很大段是相同的。用户发过来这样一个病毒,他也是这样做的,你分析的时候提到相同的地方,其他的都会报。但是如果说两个完全没有关系碰到一起的概率是极小的。
李铁军:杀毒软件都有“后悔药”让你吃的,都有隔离的,处理的时候都有一个备份的。
七、杀病软件太占资源了!
用户:现在各种各样的情况越来越复杂了,杀毒软件占自己的操作系统确实越来越大了,加上操作系统,再加上一些防火墙等等,有的时候一些正常的窗口不能跑了。而且大家释放是释放不干净的,都会占一块,而且最后即使执行完了很多有不放出来,所以最后变成大家都知道每天用机器可能早晨开机器的时候挺快,下午基本就得重启。
罗维:这个不见得一定是杀毒软件的东西,因为机器里有很多软件。我自己出现过这样的情况曾经分析过原因,结果是拖霸搞的鬼。因为很多软件你装上去它就一直在上面跑。这肯定不是一家问题了,肯定是很多家的问题了。
李铁军:杀毒软件对系统稳定性的敏感性比通常的软件更高一些。我们出软件的时候都要优先考虑资源消耗的问题。
罗维:去年瑞星收到很多用户的问题说升完级以后发现机器就不正常了。最后一查可能就是3721或者哪个软件控制他了。因为杀毒软件升级的速度太频繁,所以用户很多时候第一怀疑就是杀毒软件。
八、杀病厂商的病毒样本是哪来的?
用户:病毒样本的采集是谁发现,谁提交?
罗维:一个是用户上报,如果能识别的一般当时就能给你回邮件告诉你这是什么病毒,如果查不出就交给相应的部门去分析了。
李铁军:一般一天分析30个样本是没问题的。
罗维:各个厂商本身有一些监控点,比如外头有一些帐号或者有一些壳或者一些获取渠道。另外杀毒厂商本身之间会有一些样本的交换。比如美国人写的,可能在美国那边流传,那有一天会不会传到中国来?所以各家厂商之间会有交换。
九、游戏与杀毒监控孰轻孰重
用户:谈到游戏,有一些用户为了追求游戏速度,他可能不在乎杀不杀毒了。
李铁军:就是他为了游戏的性能把能关的都给关了。对于厂商来说就是尽量减少对用户正常操作的影响,对用户来说还是不关比较安全。这对各公司杀毒产品都是一个目标。
罗维:杀毒做到时时监控必然要消耗,这就是一个平衡的问题。
李铁军:就得靠用户自己的意识了。
罗维:瑞星木马墙现在就可以达到了。
用户:很多就是用户为了追求速度,把有影响的都关掉了,所以攻击才能得手。
十、为何有些弹出窗口屏蔽不掉
用户:现在有很多脚本型的或者是一些恶意网站,像我们做这些都是警惕性和经验相对来说比较丰富的。也照样有时候发现一台机器开着杀毒软件、防火墙的情况下隔几天会发现IE网页被改了。
李铁军:我有一个朋友就是喜欢下载一些软件,发现安完之后多了很多乱七八糟的东西。
用户:有的时候比如说网站,IE自己可以屏蔽一些弹出窗口,一些工具条也可以做到。但是有的时候你在那儿打开一个页面,假如没关声音的话,一会儿可能会弹出一个带声音的视频广告弹出窗口。
罗维:那种弹出是基于访问的网页弹出来的。比如你要上论坛,或正常访问网站,点开某个链接后它会弹出一个新的IE窗口,如果你完全禁止弹出,那正常的新窗口也无法打开了。