启发式查毒成“广外女生”温床
网络通信
用过金山毒霸的朋友应该都知道,毒霸有一项特殊的查毒选项──启发式查毒(默认情况下未开启),此功能也可以说是一种行为判断查毒功能,主要是针对具有破坏功能的未知新病毒(恶意程序)。查毒流程简述就是:先由毒霸创建一个模拟运行环境,让可疑文件在其中运行,根据其后续行为──是否向系统文件写入恶意代码,是否删除文件,是否修改注册表等,来智能判断是否为病毒。笔者是个视安全为第一的人,同时也一直是毒霸的忠实FANS,心想既然带了个看似智能的附加功能,何乐而不为呢?遂近日在控制中心打开了此项功能,没想到问题就来了。
前天,笔者收到朋友发来的一封贺卡E-mail(事后才知道是她邮箱被盗),附件是个RAR的自解压包,当时也没注意,心想是个RAR自解压包,就算有病毒也会在手动解压过程中被毒霸捕获。遂直接双击打开文件(自从开着防火墙后,我运行不明EXE文件的胆子就大多了,因为毒霸会在程序运行前扫描文件,然后做出判断,让我十分放心),出来的是个与贺卡毫不相干的Flash游戏,随后跟着毒霸的一声警报,弹出了红红的病毒警告框。
我的第一反应(经事后分析证实是正确的)是,RAR解压包被人恶意设置了自动解压运行的参数。不过我马上镇定下来,鼠标直奔“清除病毒”按钮。令我意外的是毒霸对话框此时已失去响应,毒霸大管家也变成了蓝色,处于假死状态。我想是否遇到新型病毒了,连毒霸都被扼杀了。冷静下来一想,隐约记得刚才报告中的病毒名,上网一查,元凶竟是“广外女生”,这怎么可能?这个木马我以前也遇到过多次,都被毒霸成功拦截了啊!难道是变种?也应该不是,最近反毒新闻里没有提及,笔者的系统向来稳定,软件出现非法操作的几率微乎其微。
手动清理该病毒后,面机沉痛思过……难道是启发式查毒的原因?众所周知,“广外女生”这个木马带有终止国内外反毒软件进程的功能(毒霸亦在其黑名单之列),难道毒霸的启发式查毒提供的所谓模拟环境成了“广外女生”的温床?俗话说:“我不入地狱,谁入地狱?”笔者关闭了启发式查毒,再一次运行该解压包,结果并不让我意外,在程序后台解压过程中“广外女生”就被毒霸截获并报告已成功清除。
看来的确是“启发式查毒”惹的祸,依笔者个人见解,毒霸的启发式查毒不完善在于:选择该功能后,对于已知病毒也是采取先运行再判断的方式(模拟环境并不安全),而给了那些有反病毒软体进程的程序以可乘之机,笔者在此以个人亲身经历给大家提个醒,特别是毒霸用户,请慎用“启发式查毒”,毕竟金山将该项功能一直设置为非默认开启也多多少少是有点原因的。