“看我72变”-- 恶意软件也更新

    现代的杀毒软件都包括一个重要的功能---自动更新。通过这个功能，杀毒软件能够联网下载最新的病毒特征码并更新查杀引擎模块，从而增强对于病毒的检测率和清除率。

    恶意软件作者显然对杀毒产品的

• 样本收集
• 特征码生成和更新
• 查杀

    了如指掌，为了提高恶意软件生存能力，阻止被检测或者删除，恶意软件作者把这种联网自动更新功能应用在恶意软件之中，通过频繁的自我更新以逃避防毒软件检测。

    当自动更新技术被防毒软件和恶意软件同时使用时，更新的先后和频度自然为竞争的焦点。

    以前段时间我们跟踪到一个典型的具有自动更新能力的病毒为例，一旦系统被感染，四个病毒文件文件会存在在系统目录下；每次机器重启时，病毒会从Internet上下载四个新的文件来更新旧的文件。下载地址包括：

• Hxxp://zaza***.com/xjj/ff1.rar
• Hxxp://vgt**.com/xjj/ff.rar
• Hxxp://vgt**.com/xjj/cc1.rar
• Hxxp://vgt**.com/xjj/cc.rar

    我们跟踪了9月27日到10月11日之间的病毒更新状况和5个杀毒软件对于病毒的检测率，如下表所示：

    检测率的变化曲线如下图所示：

    从上面的图表中可以看出以下三点：

    1．从9月27日到10月11日的15天中，除了在10月7日外，恶意软件在其他的14天中都对完成了自动更新。

    2．针对主流AV软件的自动化的anti-detecion 测试似乎并不遥远，恶意软件在第N天的更新绝大多数情况下不会被AV软件第N-1天的特征码检测。

    3．进行比较的5种杀毒软件在大部分时间中都不能保证对新更新的恶意软件的实时检测，一个严重的结果是：当杀毒软件能够查杀昨天更新的病毒时，恶意软件已经完成自我更新并且下载到了用户的机器上，过时的特征病毒码无法查杀已经更新的恶意软件。

    趋势科技的对策

    趋势科技在两年前就敏感的预见到恶意软件快速演化的的趋势，所以提出了SPN（Smart Protection Network）的概念。利用后台的强大的云计算功能，趋势科技后台服务能够快速定位这些恶意软件的来源，也就是上面提到的四个下载地址，然后利用终端产品或者网关产品的阻止特定链接的功能，使其丧失自动更新能力，从而在根源上斩断“毒瘤”，拒毒于千里之外。

——XDH