【IT168 访谈】7月份微软视频漏洞在安全业内引起了不小的反响，近日IT168安全频道采访了瑞星公司高级安全工程师唐威，从专业厂商角度对其进行了深入全面的介绍，并给网友带来了防护建议。

　　唐威，瑞星公司高级安全工程师。从事安全及反病毒工作多年，撰写过电脑病毒和网络安全相关文章数百篇，曾在瑞星互联网安全技术大会上进行分论坛演讲，在电脑病毒和网络安全方面有深入的研究。

　　详细了解微软视频漏洞

　　IT168 记者：

　　很高兴唐先生接受我们的采访。

　　首先我想了解一下，最近媒体都纷纷报道微软桌面操作系统视频的漏洞问题，请唐先生给IT168的网友解释一下，微软这个漏洞到底是怎么回事?

　　瑞星公司高级安全工程师 唐威：

　　7月份发现的视频漏洞，就是根据视频的一个组件，黑客利用这个组件漏洞不是按照正常方式读取这个组件，可能读取一些不正常的数组，导致这块发生异常。由于这个组件是每个系统都有的，这个系统主要是针对XP，像2000、2003、或者VISTA等其他操作系统，是没有这类问题的。对于用户来说，在微软没有提供补丁的时候，它的攻击方式就是体现在利用这个漏洞进行病毒挂马。

　　IT168 记者：

　　这个漏洞据我们了解，早在07年、08年的时候已经有所报道。但是对于当时情况，这个漏洞报实际上并没有很大的影响。为什么从今年7月份开始微软这个视频漏洞报突然就形成比较严重的形式？

　　瑞星公司高级安全工程师 唐威：

　　针对微软视频漏洞最近有两个，一个是前一段时间出现过的(DirectShow)，DS漏洞跟这回发现的MPEG2视频漏洞有一定的区别。区别表现在，DS漏洞在攻击的时候需要借助一个视频文件进行辅助才可以挂马，而MPEG2漏洞只需读取一些数组就可以开展攻击。

　　IT168 记者：

　　它可能不需要读取一些文件？

　　瑞星公司高级安全工程师 唐威：

　　通过读取视频组件以后，直接通过端口进行喷射，然后进行攻击，不需要其他的API及读取视频。其实很早以前这个漏洞就存在，因为XP一直就有这么一个文件。这段时间的攻击可能与整个黑客产业链有关，在三年前病毒的传播还属于一种比较传统的方式，主要是文件型的，或者是邮件里面的附件，或者下载一些盗版软件以后捆绑的病毒。按照目前的病毒流行发展趋势来看，主要还是挂马。系统有漏洞，黑客第一时间就想到挂马，不像以前的冲击波，发现这个漏洞以后，实行远程攻击，导致系统异常，这种系统异常对于黑客来说收益不大。

　　IT168 记者：

　　你觉得这个漏洞会对用户造成什么样的影响?

　　瑞星公司高级安全工程师 唐威：

　　这个漏洞对用户最大的影响就是它在微软没有提供补丁之前，黑客已经利用这个漏洞进行攻击了。这种情况下，用户一旦访问了这种网站，中标机率是非常大的。

　　IT168 记者：

　　有一些网友反映看过网上一些视频，甚至于点开页面还没有正式看视频的时候，浏览器就会报错。

　　瑞星公司高级安全工程师 唐威：

　　这个漏洞在用户方面的体现，如果用户访问了漏洞的网站以后，通常的表现就是IE浏览器假死，严重一点就是IE整个崩溃，这是从表面看的现象。后台实际上已经开始下载病毒。

　　IT168 记者：

　　那就是说我上网浏览一些视频的网站，突然浏览器停止响应或者报错，是不是可以视为我已经中了这个漏洞？

　　瑞星公司高级安全工程师 唐威：

　　有这种可能，实际上还不是说你中了这个漏洞，而是说这个网站由于这个漏洞被挂马了。用户访问的时候，由于你没有这个补丁，有没有一个很好的软件进行防护的情况下，就会中毒。对于MPEG2漏洞而言，是视频网站还是其他的网站区别不大，它不需要视频做辅助，你访问任何网站都有可能被这个漏洞攻击。像前一段时间DirectShow漏洞在这方面的表现更为突出一点，因为它需要一个被黑客改写的视频文件作为辅助。很有可能在线观看视频的时候，发生攻击机会高一些。当然，也有一些黑客，挂马的时候，在后台加载一个很小的视频文件，实际上用户是感觉不出来的。

 　　瑞星云安全有效拦截微软视频漏洞

　　IT168 记者：

　　瑞星是什么时候知道这个漏洞的?

　　瑞星公司高级安全工程师 唐威：

　　我们大概在7月5号就发现了。

　　IT168 记者：

　　是第一时间?

　　瑞星公司高级安全工程师 唐威：

　　对，第一时间。

　　IT168 记者：

　　知道这个漏洞了以后，瑞星采取了什么样的措施来防御?

　　瑞星公司高级安全工程师 唐威：

　　其实我们已经不是第一次发现微软漏洞，早在08年底随着防挂马的模块功能加入到瑞星杀毒软件以后，利用漏洞进行挂马活动就已经开展。当时我们软件收集了用户上报的挂马网站，大量的挂马网站都是利用同样的模式进行攻击的，通过工程师的分析，认为这是一个新的挂马模式。我们在验证了这个漏洞以后，把漏洞情况第一时间提供给微软公司，经过微软公司确认，这确实是微软的系统漏洞。

　　瑞星拦截这种漏洞能力是最强的。据我们所知黑客现在利用这种漏洞唯一的途径就是网站挂马，而我们的防挂马模块跟其他厂家使用的网页特征码技术是完全不一样的。

　　IT168 记者：

　　我可不可以这样理解，假设我装了瑞星的杀毒软件，浏览含有视频漏洞的网站，是不是可以视作我就不会被这些漏洞挂马？

　　瑞星公司高级安全工程师 唐威：

　　对，没错。也许装了瑞星2009之后，即使微软出了相关补丁之后，你也不用去打这个补丁。为什么说我们是最强的，我们防挂马是通过脚本的行为进行判断的，不管黑客通过视频漏洞挂马，还是通过其他方式攻击进行挂马。我们只要看你最后的行为是什么，如果你的行为是做了一件坏事，不管是下载病毒，还是进行溢出攻击，这种情况下，我就拦截你。也就是说，挂马最终都有一个破坏的行为，如果没有这个行为，挂马也就不存在了。

　　IT168 记者：

　　瑞星对这个漏洞获知的时间比较快速，那这个过程有没有和瑞星所提倡的“云安全”有关系?

　　瑞星公司高级安全工程师 唐威：

　　这是瑞星用户加入云安全体系之后，访问利用视频漏洞挂马的网站的时候，瑞星相关产品在拦截挂马网站的同时，会把这条信息提供给“云安全”服务器，服务器通过大量收集以后进行分析，判断出这是一个新的攻击方式。

　　IT168 记者：

　　这次瑞星第一时间发现这个漏洞，就是“云安全”在起作用?

　　瑞星公司高级安全工程师 唐威：

　　没错。

　　IT168 记者：

　　如果我要是没有装瑞星杀毒软件，瑞星有什么第三方的工具可以帮助用户？

　　瑞星公司高级安全工程师 唐威：

　　卡卡上网安全助手或者是我们的防火墙，因为卡卡上网安全助手还有是我们的防火墙，目前都是基于云安全系统的。瑞星用户在访问了挂马网站以后，把这个网站拦截掉，并把这个信息提供给云安全中心，云安全中心收到以后进行验证，确定这是一个挂马网站，随后我们工程师再实时验证，会把这条信息加入到网址库中。如果用户没有装瑞星杀毒软件，装其他的杀毒软件，这种情况下，你可以用瑞星卡卡上网安全助手或者瑞星防火墙，通过网址库过滤漏洞网站，因为他们都共享着瑞星云安全的信息。

　　IT168 记者：

　　关于今后的网络威胁防范，您觉得对于用户而言有什么好的建议?

　　瑞星公司高级安全工程师 唐威：

　　首先针对最近一两年情况来看，病毒最主要的传播方式，还是通过挂马网站。用户为了保证自己电脑安全，最重要的一点就是选择一个具有非常好的网络防毒功能的专业杀毒软件，比如说我们现在使用的瑞星的2009，或者是我们即将要推出的瑞星2010版。实际上在防挂马方面，在09的基础上，10版又做了一些新的功能优化。对于最新漏洞的攻击，瑞星可以做到不升级，就可以实时防御。

　　采访后记：笔者在采访之前对于微软视频漏洞，瑞星可不可以谈及还心存疑虑，一方面瑞星刚刚成为微软MAPP合作伙伴，另一方面，从网络上的言论来看，安装瑞星杀毒软件的用户几乎没有提出有关于微软漏洞方面的讨论。采访过程中笔者松了口气，瑞星成为MAPP合作伙伴并没有对自己有所限制，谈论与否更主要的是促进瑞星和微软的更深层次发展。从互联网用户来说，瑞星公布此次微软漏洞，一方面显示瑞星通过搭建云安全体系，在这几年产生的巨大变化，另一方面，技术进步的同时，瑞星反馈给用户甚至于广大网友优惠性的举措也越来越多。我们有理由相信，瑞星的进步不仅仅是能给大家带来更多安全保障，更多的是揭示出民族产业的未来之路。