【IT168专稿】提到多形态病毒，还是在十年前，在年度Defcon黑客大会上，通过Back Orific 2.0后门木马病毒的介绍，人们首次认识到了服务器端的多形态病毒的特性。然后就是在2000年初的那次，包括Code Red, Nimda和SirCam在内的多形态蠕虫病毒大爆发。除此之外，关于多形态病毒的讨论就逐渐平息了。而最近，这个话题又恢复了热度。

　　杀毒软件束手无策

　　当公司的首席信息安全官们在谈论到多形态恶意病毒时，他们中的大多数显然认为这类病毒没什么新的话题可以探讨。自从1980年被研究者发现以来，这类病毒的恶性代码就不断改变其属性，以逃避各种杀毒软件的检测，使得无论通过签名还是以行为为基础的杀毒软件都不能检测出此类病毒。

　　Amir Lev是以色列Commtouch公司总裁，这家原始设备生产商为客户广泛提供被称作循环样本检测的病毒检测设备。Amir Lev日前提到：“目前多形态病毒主要用来发出大量木马病毒变种和漫游程序，这些病毒可以在短时间内集中爆发，而且这些病毒在被病毒监测系统发现之前，至少有一个小时的时间来改写签名或文件等。一个典型的例子就是在一月爆发的Storm蠕虫病毒。这个病毒通过垃圾电子邮件的附件传播，邮件主题为‘230 dead as storm batters Europe’。我们公司在一月份一个月内就监测到这个病毒的数以千计的变种。”

　　另一个例子就是在2006年底爆发的Stration family蠕虫病毒。据反病毒公司Sopho的高级安全分析师Ron O'Brien说，Stration病毒变化速度相当的惊人，仅一天时间，他们就发现了这个病毒的300多个变种。

　　当公司的首席信息安全官们在谈论到多形态恶意病毒时，他们中的大多数显然认为这类病毒没什么新的话题可以探讨。自从1980年被研究者发现以来，这类病毒的恶性代码就不断改变其属性，以逃避各种杀毒软件的检测，使得无论通过签名还是以行为为基础的杀毒软件都不能检测出此类病毒。　　Amir Lev是以色列Commtouch公司总裁，这家原始设备生产商为客户广泛提供被称作循环样本检测的病毒检测设备。Amir Lev日前提到：“目前多形态病毒主要用来发出大量木马病毒变种和漫游程序，这些病毒可以在短时间内集中爆发，而且这些病毒在被病毒监测系统发现之前，至少有一个小时的时间来改写签名或文件等。一个典型的例子就是在一月爆发的Storm蠕虫病毒。这个病毒通过垃圾电子邮件的附件传播，邮件主题为‘230 dead as storm batters Europe’。我们公司在一月份一个月内就监测到这个病毒的数以千计的变种。”　　另一个例子就是在2006年底爆发的Stration family蠕虫病毒。据反病毒公司Sopho的高级安全分析师Ron O'Brien说，Stration病毒变化速度相当的惊人，仅一天时间，他们就发现了这个病毒的300多个变种。

　　反多形态恶意病毒战役就像一场军备竞赛，是黑客们与网络安全供应商的较量。供应商们不断在程序中增加新的扫描功能，可以对可执行文件进行事前扫描和事后扫描，并通过搜索有效负载和程序路径来识别恶意病毒。这些任务都是在可控的环境下进行，我们称之为"沙坑（sandbox）"。这些扫描通过探索性路径或行为分析来识别潜在威胁。"比如说，当检测到某个杀毒程序正在运行时，或者病毒试图联系主控台，我们的扫描技术就会检测的这些病毒，并锁定他们。"O'Brien解释到。

　　可是Lev认为，这类可执行文件的扫描技术并不能真正解决当今多形态病毒的威胁，因为当供应商试图将病毒控制在限定环境下时，受感染的服务器根本就不起作用，同样监察其是否联系主控台也没有多大效果，因为这些病毒往往是在计算机闲置时入侵，比如在午夜。

　　因此，除了部署入侵防御系统和反恶意病毒系统，用户网络防御也应该包括多层次扫描，来检测潜在的恶意病毒变种。比如，由于多形态病毒的编码是即时改变的，所以病毒的应用通常是和其本身的压缩文件格式一致。因此，好的防御系统应该可以锁定类此的可疑文件。

　　可见，针对多形态病毒的即时变化特性，我们需要将网络的防御工作也设置为即时监察，通过多层次扫描和即时防护反馈，来减少此类病毒带来的威胁。

　　恶意软件怎样防范

　　所有组织都应该开发将提供高级别保护的防病毒解决方案。但是，甚至是在安装了防病毒软件后，许多组织仍然感染了病毒。恶意软件可以通过许多方法来损害组织。在针对恶意软件尝试组织有效的防护之前，需要了解企业基础结构中存在风险的各个部分以及每个部分的风险程度。

　　 物理安全层  物理层上的风险源自可以物理访问物理资产的攻击者。此层包括前面的所有层，因为对资产的物理访问又可以允许访问深层防护模型中的所有其他层。使用防病毒系统的组织在模型的此层上主要关注的是阻止感染文件避开外围网络和内部网络的防护。攻击者可能只是通过某个物理可移动媒体(如 USB 磁盘设备)将感染文件直接复制到主机，试图做到这一点。

　　策略、过程和意识层   围绕安全模型所有层的是，企业为满足和支持每个级别的要求需要制定的策略和过程。最后，提高组织中对所有相关方的意识是很重要的。在许多情况下，忽视风险可以导致安全违反。由于此原因，培训也应该是任何安全模型的不可缺少的部分。

　　通过将模型的安全层用作深层病毒防护方法的基础，就可以重新集中视图以便将它们优化到组织中病毒防护的分组中。在组织中进行此优化的方式完全取决于组织指定的优先级和它所使用的特定防护应用程序。重点是通过确保没有从防护中排除任何安全层，来避免不完整的和弱化的防病毒设计。

　　可以将数据层、应用程序层和主机层组合到两个防护策略中，以保护组织的客户端和服务器。虽然这些防护共享许多公共策略，但是实施客户端和服务器防护方面的差异足以保证对于每个防护都是唯一的防护方法。