标签归档: 恶意软件

就在世纪之交的前后，我们发布的反病毒产品成功版本几乎少得可怜-可以说是前所未有！我并不介意承认：这是我们整个公司的巨大失败。该版本尽管在防御恶意软件方面功能强大，但其设置过于复杂且加入了太多的各类无用功能。最终该版本不被市场认可的其中一个原因是：其软件大小过于庞大、运行缓慢且操作繁琐，尤其与我们的先前版本相比毫无进步可言。

我完全可以用”虚拟语气”问一些显而易见的问题，比如”谁该为此负责？”和”我们本应该如何如何…？’等等，但我并不打算这样做（我只想捎带提一下当时我们经历了重大人事变动）。我也完全可以这么宽慰自己：如果当初没有出现重大失误的话，我们的公司将如何如何不同？但我始终认为，我们应该接受犯下错误的事实，重头再来，确保我们下一个版本的反病毒软件能够在各个方面都领先于其它竞争对手。这也正是推动我们在全球反病毒软件零售市场占据主导地位的”驱动力”，尽管我们的市场份额不断在下降。

尽管如此，我们过去失败的新产品依然在各个方面领先群雄，其中包括：性能、效率以及扫描病毒时所占用的系统资源。但市场上的不佳名声依然缠绕着我们长达数年之久。坦白地说，即使在今天也依然给我们带了不小麻烦。很多记忆会长久地留存在人们的脑海中，人们习惯于不愿倾听新的事实:)。同时，当时我们的竞争对手也不顾一切地恶意中伤我们–现在情况依然如此。或许是因为我们没有任何能被人利用的把柄–现在也没有–因此他们仍然无法如愿以偿:)。

现在就在这里…我们该作出澄清了，相信还不算晚。是时候彻底澄清过去几年针对我们产品效率的所有污蔑诋毁…

正如你所见。以下是最近进行的反病毒产品性能测试结果。来自行业广尊敬的测试实验室所给出的真实数据–得以让我们精神振奋。通过观察和比较不同测试实验室的结果，你们完全可以得出自己的结论：

1. AV–Test.org

我曾多次表示，如果想得到真正的客观事实，必须从尽可能长的历史角度观察尽可能最多的测试结果。曾有过多次这方面的反面案例，某些安全服务提供商所提交测试实验室的版本是专为测试而优化的版本，而非用户购买的日常使用版本。

来自马格德堡实验室的专家们在去年出色地完成了对23款不同反病毒产品的分析工作，并成功确定了每款产品运行导致系统速度变慢的程度。

请浏览：反病毒软件宣传：驱散谣言，重振声誉。

在卡巴斯基实验室，我们总是忙个不停。那就是不断地提升自己。我们的研究、我们的开发、我们的产品、我们的合作关系以及我们的…是的–所有这些都是我们的工作。但于我们自己而言，所有这些工作都需要继续改进和提升–并向着正确的方向–我们都需要努力实现一个首要的目标，或使命。下面是我们的使命宣言…

我们的使命是拯救世界免于各种类型的网络威胁。但我们的实际工作又做得如何呢？毕竟，大部分的反病毒公司都有着类似的使命宣言。因此，我们以及–更为重要的–用户需要准确地知道，相比于其它所有反病毒公司而言，我们在履行我们的使命方面到底做得如何。

为了清楚了解我们到底做得如何，必须运用到各种标准。其中最重要的是，必须由各家独立测试实验室的专家来对我们的产品和技术的质量进行评测。道理很简单：我们在各项标准所取得的成绩越好，也就意味着我们用来与网络威胁作斗争的技术更出色–从客观上也能更好地拯救互联网世界:)。

问题是，每年全球有如此多的独立测试中心进行着数百项的评测，我们该使用哪个呢？我的意思是，如何才能将所有这些纷繁杂乱的数据分门别类并精炼成–简单易懂且可做对比的–结果呢？还有个问题是，除了全球数百家测试实验室以外，还有数百家良萎不齐的反病毒公司，我们如何才能更好地进行筛选，把差的公司去除，将选出来最出色的几家公司再进行对比较呢？但还有一个问题（事实上并没有那么复杂，我保证–你马上就能看到:) –有偏向或有选择性的测试结果，无法反应各家公司真实的状况–因为从很久以前在测试领域就已经有广告和营销了。

你猜怎么着。几年前我们就专门为可访问的、准确且公证的反病毒评估设计出了一个简单的公式：前三甲排名坐标图！

它是如何使用和计算的呢？

我们需要确保将所有知名和受推崇的完全独立测试实验室囊括在内，以及他们在既定时间内所进行的反恶意软件保护调查。

其次，我们还需要囊括所有不同类型测试中的主要被选测试者–以及所有参与评测的反病毒公司。

最后，我们需要将(i)每家公司参与测试的总数；(ii)排名第一的%；以及(iii)位列前三甲的%考虑在内。

最终我们筛选到的是一个简单、透明且真实的结果，也不存任何偏斜的’测试营销’（哈，的确存在这样的东西）。当然，我们也可以将比如25,000个参量加入其中–但能够真正明白这些参量的人数只占所有用户的0.025%，也就能让那些技术自恋狂以及电脑疯子满意，但我们将为此而损失大量一般用户…也可能是高级用户或低级用户。

总结：我们在特定一段时间内将所有最出色的测试实验室得出的所有测试结果（针对所有主要的反病毒公司）考虑在内，且没有漏掉任何一个（例如在某个测试中的糟糕成绩）–当然也包括了卡巴斯基实验室的所有测试结果。

好了，理论讲解就到此为止。现在我们将这一方法运用到现实世界中；具体地说– 是2014年的现实世界。

首先，为那些电脑疯子准备了技术细节和免责声明：

• 使用的数据是2014年八大独立测试实验室（拥有多年资历，且有着必不可少的技术能力（我为自己也找了一些）所进行的对比研究报告，他们的研究报告很好地覆盖了整个行业–无一例外都是AMTSO（反恶意软件测试标准组织）的正式会员，对各家主要反病毒公司以及所采用的不同保护技术进行对比研究：AV-Comparatives、AV-Test、Anti-malware、Dennis Technology Labs、MRG EFFITAS、NSS Labs、PC Security Labs 和Virus Bulletin。本方法的详细解释–可参见这个视频和文件。

• 而只有参与35%以上试验室测试的反病毒公司才会计入考量。否则的话，有些公司很可能因为在某几个测试中成绩卓越而成为’获胜者’，但在其他许多测试中却并未表现出色–如果他们的确参与的话（因此在这里，我们将虚假的测试营销过滤掉）。

最终…通过对2014年各家反病毒公司测试结果的分析后，我得出….

…咚咚咚咚….

….即将揭晓…..

….摒住呼吸…

…….结果如下!：

请浏览：2014年独立反病毒评测报告：有趣的结果！

在卡巴斯基实验室，我们有这样一项传统（除了夏日”生日”庆祝会、新年狂欢会以及各种庆祝活动以外），就是会在每年夏季推出我们家用安全产品的新版本。呃，今年夏天已经接近尾声了！（啊！我们新版本的产品去哪儿了？）那么下面我们将为您重点介绍各款卡巴斯基安全产品2015版的全新功能，或者换句话说，我即将为您介绍的是关于我们如何利用KL-2015的新技术成功防御网络犯罪分子的”阴谋诡计”:)。

好了，言归正传，现在就开始…

请浏览：卡巴斯基2015版各产品功能介绍。

遥控-你正在开的那辆汽车…

有关最新黑客入侵、有目标性的攻击以及恶意软件发作的新闻日益困扰着公众的日常生活，且出现频率愈来愈高。但还有一些不那么常见，并远离公众视野的领域：你根本无法想象这些也会被黑客入侵。

来自中国的一篇报道讲述了黑客如何入侵特斯拉电动车的配件–同样也是黑客大会举办期间争论的主题。那么，为什么是特斯拉？特斯拉又有什么好？首先，特斯拉是一辆电动汽车，并配备了众多的’智能’电子装置，与其说是一部汽车还不如说是一台巨型的移动电脑。那么，特斯拉的目标又是什么呢？装备所有新功能–尤其是那些没有IT安全专家参与研发的功能–不可避免地因存在漏洞而导致了新的威胁，而这正是中国黑客大会上所得出的结论。

请浏览：一周网络负面新闻-2014年7月26日

每种系统都基于一种独特的算法，没有算法，系统也无从谈起。但实际上，不管系统是采用线性算法、分层算法、测定算法、随机算法还是其他算法，其实并不真的那么重要。重要的是为了取得最佳结果，系统需要去遵循特定的规则。

人们常常会问，我们的产品采用的什么算法 － 尤其关注我们是如何借助算法来检测未来的威胁，从而在市场竞争中胜出的。

我不可能透露我们”魔力配方”的细节，相关原因不言而明；但是在这一篇技术贴中（或许是本博客中有史以来技术含量最高的贴子），我微微开启”技术厨房”的大门，希望大家能借此一窥内幕。如果还想了解更多信息，请在下面的评论中详细说明你的问题。

请浏览：卡巴斯基反病毒”配方”

几天前，微软宣布对动态DNS服务商No-IP发动大规模突袭，扣押了其22个域名。微软发言人表示此举理由充分：No-IP寄生了各种令人讨厌的恶意软件；No-IP是网络犯罪分子滋生的“温床”；No-IP是有目标性攻击的“集火点”；以及No-IP从不接受与任何公司的合作，也不曾试图彻底清除所有“危害”。就像大多数冲突事件，双方不停地相互指责，试图证明‘自己才是受害者，对方的行为完全错误’。

尤其是，No-IP已表示自己才是无辜受害者，并非常乐意在清除网络攻击根源方面与其他公司合作。本次突袭造成No-IP客户的强烈抗议，而No-IP也认定这是一次非法的攻击，原因在于互联网上哪里都有恶意软件，通过联邦法官授权而单方面中断No-IP的服务并不合规。

因发现几个恶意软件而关闭服务是否合法？…事实上恶意软件哪里都有？…

与此同时，此次突袭而造成的影响波及甚广：超过400万家网站受到牵连，其中有恶意的，当然也有毫无危害的网站，同时还影响了180万名用户。微软试图将那些干净的网站筛选出来，并恢复这些网站使其重新运行；但许多用户依然抱怨受到持续不断的干扰。

调查谁是谁非似乎有些吃力不讨好，且极其艰难。因此，我将这一艰巨任务留给了我们伟大的新闻记者们。这里，我只是想提供一些客观的事实：第一手材料和数据，希望你能够借此而得出自己的结论：微软的行为是否合法，是否合乎规矩？

1)关闭22个No-IP域名的确有效遏制了约25%卡巴斯基实验室持续跟踪的有目标性的攻击。这一数字代表了在过去3年数千个网络间谍和犯罪组织。其中约1/4至少有该主机的一个命令与控制中心（C&C）。像叙利亚电子军和Gaza Team这样的黑客组织只使用No-IP，而Turla组织的90%主机使用的是No-IP。

2)我们可以确信，所有大型供应商都是No-IP动态DNS最不愿意合作的对象。比如，他们曾忽略了我们所有关于僵尸网络“沉洞”的邮件。

3)我们对现有恶意软件的分析显示，No-IP常被cyberswine用为僵尸网络控制中心。通过Virustotal扫描引擎的一个简单搜索即可确认这一事实，因为冰冷的数字是不会说谎：450万个唯一恶意软件样本都由No-IP产生。

4)然而，来自我们安全云（KSN）最新的数据能更全面地说明情况。下表是对前10大动态DNS服务的检测结果：

那么，No-IP并非是检测到数量最多的一家，但相比于大多数域名而言，这一比例依然很高。

里再多提供一些比较信息：在.com域名内恶意主机占到总数的0.03%；而.ru域名这一数字则为0.39%；但在No-IP内这一比例达到了惊人的27.5%！

上述的数据结果是否让你有了些不同的看法：一周内，我们在No-IP检测到了约30,000个恶意域名，在同一周内，.com检测到最恶意的域名数量为429,000-几乎比前者高了14倍。此外，还在.ru检测到了146,000个感染程度最高的域名，几乎是在No-IP检测到的10倍。而上述提到的前10大动态DNS服务商检测到的恶意域名总和也只有146,000。

总结…

一方面，关闭成千上万的普通用户所广泛使用的服务：不正确。另一方面，关闭滋生恶意软件的“温床”是：正确且高尚的。

扣押No-IP域名的是非对错，根本无从下定论。

但数学站在了支持“微软错误”的一边，证明如下：

从数量上看，相比关闭所有No-IP域名而言，关闭一些像 .com、.net甚至.ru等含恶意软件最多的流行域名似乎能够更有效地防止恶意软件散播。更简单地说，就算关闭所有动态DNS服务商，对整个互联网的“净化作用”效果甚微。

因此，这一事件的是非对错根本无从下定论。

这起事件根本无法用是非对错的标准来评判，因为它远超出黑与白、对与错甚至好与坏的范畴，正如尼采所说的-谁能分辨？

在思考所有这些时，另一个想法突然出现在脑海中…

这进一步证明了，只要侵权的数量或犯罪的程度超过某个临界值，权力集团将因此而介入并冷不防地关闭你的服务，而根本不管什么互联网自由或经商自由的理念。人类社会的生存法则也同样如此：如果有东西让人讨厌，迟早会被清理的。

已有不少服务商不幸被加入了阻止服务清单中：Napster、KaZaA、eMule（电驴）和海盗湾（Pirate Bay）等，现在No-IP也终于“光荣入册”。

谁将成为下一个？

//比特币？一切已经开始了。

股票市场遭黑客入侵，造成系统延迟百万分之一秒。

网络欺诈几乎无处不在，甚至股票市场也难以幸免。我们先来了解一下相关的历史…

股票经纪人曾一度被认为是受人尊敬且体面的工作，但光鲜外表的里面则是满满的艰辛。股票和证券交易员过去工作的艰苦程度难以想象，长时间站立在拥挤的交易所楼梯上，日复一日地顶着巨大的压力，不断透支着自己的身体。他们的工作就是不断地买卖证券、股票、债券以及金融衍生工具（不管它们叫什么），他们需要乘着一波又一波的汇率和价格行情，在恰当的时刻进行交易。不断在高压和高强度下工作使得他们的身体日渐衰弱，直至引发严重的心脏病，或因为一次交易失误而导致疾病。在短暂的休市时间，终于得到了片刻的喘息，而唯一的想做的就是快点结束这一切。总之，股票经纪人并非是外人所想象的那样光鲜亮丽，离世界上最好的工作相去甚远。

不管怎么说，这都是旧年往事了。当初日复一日的体力劳动已被自动化操作所取代。现在，股票经纪人不用再绞尽脑汁并在高压下使出浑身解数了：他们的很一大部分工作由计算机来完成-专业的程序能够自动决定买进和卖出的最佳时刻。换句话说， 股票经纪人的职业很大程度上已经转变为对计算机的训练。而计算机的反应时间，哪怕只是百万分之一秒，都对能否利用市场的瞬间涨幅进行获利交易起了关键的作用。这意味，计算机的位置离交易所越近，在交易中占得先机的机会也越大。反之亦然，离交易所越远的计算机则只能屡屡错失良机。而对于那些没有使用最新渐进算法的计算机，结果应该可想而知。

这一关键的反应时间最近被不知名的网络攻击者所篡改。一家对冲基金的系统受到恶意软件的感染，使交易能力延迟了数百微妙，但就是这转瞬即逝的时间恰恰决定了交易的成功与否。

请浏览：一周网络负面新闻：2014年6月30日

在2004年6月15日，准确地说是莫斯科时间晚上7点17分（正好在10年前），计算机安全领域开启了一个全新的时代。我们首次发现了针对智能手机而开发的恶意软件。

它就是Cabir，通过无安全保护的蓝牙连接传播，感染所有使用塞班系统的诺基亚设备。随着这一发现被公之于众，人们终于知道除了针对计算机而开发的恶意软件外（这一点众所周知，但对于为数极少的隐士和僧侣，我持保留意见），还有针对智能手机的恶意软件。是的，消息一经公布，众多用户对此半信半疑—”我的手机被病毒感染了？别开玩笑了。”大部分人一时半会根本无法接受这一事实（有些则根本茫然不知）。但很快，我们的分析师们就将Cabir问题解决了。为什么我们将首款恶意软件命名为Cabir？为什么我们要在莫斯科总部建立一间特殊的屏蔽安全房间？Cabir是如何被F-Secure的一名员工终结的？最近在公司内网的一次访谈中，这些问题被一股脑儿地抛给了卡巴斯基首席安全专家Aleks Gostev，我想在这里有必要与你们一起分享一下，因为想要从他嘴里打听点什么并非易事…

顺便说一下，就在我们想使用两台设备对恶意软件进行分析时，发生了意想不到的状况：

请浏览：10年前的今天，首个手机恶意软件诞生—时间分毫不差！

我曾说过新开的”网络新闻报忧”系列将每周（差不多吧）连载，说到做到，本周是第二期……

今天，主要的主题是围绕关键基础设施；尤其是值得警惕的各种问题和危险。例如，生产设备和核装置、交通、电网以及其他工业控制系统（ICS）。

实际上，根据上周的内容，这些信息已经算不上什么新鲜”新闻”，只是有点新闻的意思罢了：幸好关键基础设施安全问题并不是每周都有，至少值得一提的几乎没有。但我们在此仍要讨论的原因是，很可能最大的问题仍未浮出水面（虽然可以理解，但同样让人忧心），或者只是没人意识到这些问题（黑客可能会悄悄行动 － 这更让人担心)。

下面给出的一些奇怪事实说明了关键基础设施安全问题目前的现状和趋势，并指出需要采取哪些行动来应对相应的威胁。

事实证明有充分的理由来关注关键基础设施安全问题……

工业控制系统制造和安装工程师的座右铭是”确保稳定、持续运行，无需照管！”所以，控制系统中是否有漏洞会被黑客用来取得对系统的控制权，系统是否接入互联网，或者密码实际上是否为12345678（真的，不是开玩笑），工程师们统统不关心！他们只关心系统是否稳定、顺利地以同一温度运行。

别忘了，给系统打补丁或执行其他一些干预操作，都可能且确实会要求系统停止运行一段时间，而这是工业控制系统工程师极不情愿看到的事。是的，即便到今天，关键基础设施仍然是以这种方式运作的 － 非黑即白，没有中间的灰色地带。那么是否要像驼鸟一样，一头扎在沙堆里坐以待毙呢？

去年9月，我们设置了一个诱捕系统（honeypot），我们把此系统接入互联网，并假装是一套运行中的工业系统。结果如何？在一个月的时间里，它被入侵了422次，其中有几次黑客甚至取得了对内部可编程逻辑控制器（PLC）的控制权，最坏的情况甚至重新对PLC进行了编程（与震网（Stuxnet）蠕虫病毒一样）。我们的诱捕试验表明，工业控制系统一旦接入互联网，几乎100%会立刻被黑客入侵。被黑的工业控制系统会被操控用于干什么……没错，想想就让人恐惧，就像好莱坞动作片剧本中描写的情况一样。工业控制系统造型各异，规模不等。下面将举例说明：

核装置恶意软件

来源

在新的一年，我们发现了一种新的感染方法……日本Monju（文殊）核电厂控制中心的一台计算机跨入新年仅仅若干小时后，就被发现感染了某种恶意程序，该病毒被认为是工作人员更新一些免费软件时感染的。是的，我绝对没有开玩笑。

我花了些时间才消化了这一事实。

请浏览：网络新闻报忧 － 2014年6月4日

负面网络新闻 － 2014年5月16日

你们好，不法之徒！

距离我上次在博客中谈到网络蓄意犯罪主题，似乎已经过去很久了 － 哪些是热门的，哪些不是，哪些来了又去，等等……你甚至可能会认为我们对此无能为力，因为对于与公司主旨相关的主题我一直未多谈……那么让我再一次向你们保证，我们掌控着全局，在荆棘密布的网络丛林中奋力向前；只是我们是在专业技术新闻资源上发布所掌握的所有相关资讯。

但唯一的问题是，几乎没什么人真的会阅读这些内容！这也完全可以理解：细节内容枯燥乏味 － 对于非技术迷来说尤其如此。但这并不是不发布这些内容的原因，绝对不是。在本博客上，我并没有用过多的技术术语搞得读者一头雾水，而只是描述了全球发生的各种网络新闻中，最不可思议，最好玩、最有趣的点点滴滴。

那么，上周发生了哪些不可思议、妙趣横生、匪夷所思的新闻呢？……

与密码有关的新闻

一周时间内，没有需要向用户重要推荐的内容，这种情况是极为罕见的。一般总会有这家或那家大型网络服务公司受到黑客攻击，导致客户数据库可能被盗，从而敦促用户更改密码。我们的博客是每周发布一次，所以此类通报早就失去了让人惊爆眼球的能力，没人会因此感到震惊，媒体和用户本身也对此缺乏兴趣。但是上周这一警告不是来自别人，而是来自eBay，它可是拥有1.48亿个活动帐户的超大型网上零售机构。

密码问题一直是互联网使用群体最为头疼的一个难题。用户需要的密码数量多达数十个，如果每个帐户使用一个不同的密码，根本就无法记住。所以我们倾向于使用不安全密码（虽然现在至少有一些系统现在会在用户注册时指示密码强度，这是个好现象），而且所有帐户都使用同一个密码！这样一来，一旦被黑客入侵，就得更改20个、30个、40个或者更多不同网站上的密码。准确地说，用户应该进行更改。当然，实际上并非所有人都会抽时间来把密码更改一遍；这就造成了互联网上的安全性级别缓慢而又稳步地下降。

对此有一个简单的解决方案：使用密码管理器。密码管理器会向用户建议真正的高强度密码，而且用户不必亲自记住，密码管理器会自动在站点上为您输入密码。对了，我们也有这种很酷的服务。

今天你打算去哪儿？

下面的内容实际上与恶意软件和黑客犯罪分子毫不相干，我甚至都不想对此多说什么 － 我只给出几点提示。

美国加州批准了一项法令，允许无人驾驶汽车在公路上行驶。虽然此法令相当严苛，并且目前仅适用于制造商的测试车辆，但很清楚的一点是，无人驾驶汽车上路行驶很快会变成现实，而不再停留在科幻小说中。嗯……对此我只有一个问题：这些机器人汽车使用的是什么软件，这种软件是怎样连到控制中心的？

公共事业部门和孩子一样……

……上网时间过长

啊，让我们从头说吧……：SCADA和关键基础架构！每次我看到有关这种网络前端的任何报道，我的脑中就满是大难临头的想法，大脑会自动”指挥”我掩面无语。上周有新闻爆出美国一个公共事业部门（水利？电力？机场？）被黑客入侵，但未透露该部门具体名称，只知道是一家大型机构。是谁干的，为什么这样干，实际发生的情况这些统统都不清楚，但就入侵方式给出了合理的细节信息。

来源

请浏览：负面网络新闻 － 2014年5月16日