门户网站惊现木马病毒凸显杀毒软件的另一个威力
9.29日中午11点左右卡巴斯基自动升级了一次,此后新浪,网易等知名门户网站的首页在被访问时卡巴斯基报警说有木马病毒。下图是我捕捉到的信息:
很快有人在donews上爆料163首页有木马病毒,但是不久后就被转移到其管理区,如下:
现在还可以Google一下看到Google当时收录这篇文章的信息,baidu好像找不到这篇文章:
10.2日,又有人在donews上爆料新浪的新闻首页有病毒:
从上面的信息可以看出所有木马病毒报警的都是卡巴斯基发出,且从病毒的名字和卡巴斯基捕获的信息来看所谓的木马病毒是一种植入flash的木马病毒,并且感染的文件是flash广告。9.29的报警的真实情况就是新浪和网易的ebay广告导致卡巴斯基的报警,后来ebay通过修改其flash广告的某些变量名就可以避免报警。由此可以断定这样的报警应该是其所谓智能杀毒和主动防御技术经过分析后的误报,即ebay的flash广告的某些关键字和行为偶合了卡巴斯基的预设的某种木马病毒的特征。10.2的新浪新闻报警没有具体分析,从卡巴斯基的报警信息来开也应该和9.29的报警一样,都属于误报。
但是从donews网友反应来看,认为所看网站确有病毒的(特别是大量的图例出现的时候)或者是所看站点技术力量不行(有漏洞或者被对手攻击)的占绝大多数,怀疑是卡巴斯基误报的占少数,应该说donews上的网友对电脑和互联网很是比较熟悉的,应该大部分都是中高级用户。对于更普通更基层的用户来讲,当杀毒软件报警有病毒的时候,他们的反应肯定是所看网站有病毒,从来尽量避免再次浏览这个网站。可见这个杀伤力有多大。
雅虎因为360安全卫士把雅虎助手列为流氓软件的第一位而不顾身份的大动干戈的原因在于,对于普通用户来讲他们判断什么是流氓软件绝对不是按照是否可以卸载、是否是自动安装等所谓的行业标准,而是依据他们所信赖的软件的判断,对于互联网的服务来说普通用户的市场才是真正的市场,所以用一个好名字的360安全卫士如此一招对雅虎助手杀伤很大。所以也不难理解微软为什么要杀入杀毒市场了。
现在病毒通过网页、flash、流媒体等等肆虐传播更让普通用户不知所措而抓狂,很多人的机子上可能唯一购买的正版软件就是杀毒软件,普通用户对杀毒软件的依赖要更加严重,所以当杀毒软件病毒报警时,绝大部分人肯定相信确有其毒的,从而避开再使用这项服务。这就是杀毒软件的另一个威力,一个误报就可以杀人于无形之中啊。
对此需要思考并解决如下问题:
- 减少杀毒软件的误报,这个是依靠创新和科技进步,以及某些行业监管和相互监督了,但是还是难以避免。
- 站点应该建立预报机制,当发生误报时第一时间快速解决改问题,因为用户不会怀疑到杀毒软件上的。
- 应该和主要的杀毒软件商进行保持沟通,减少脚本的交互的富媒体广告误报的可能。
- 出现问题后应该主动公布该问题,避免遮遮掩掩,减少无谓的猜忌,赢得更多的用户。