热点推荐
三、样本分析与判定环节
在样本分析与判定环节,哪些会造成误报呢?
1、被病毒和攻击者利用的第三方软件
在没有BO这类远程控制工具之前,攻击者就已经学会了采用一些商用第三方软件作为后门使用,他们可能会对这些软件稍加改造。这种趋势比较明显的是自DIY蠕虫开始的,由于网络上的工具越来越普遍,一些病毒作者发现,其实并不需要编写代码,把一些工具组合起来,再用批处理或者脚本调度一下,就可以写成一个“DIY病毒”,DIY蠕虫可能包括扫描部分、投放部分、升级部分、后门部门、跳板部分等等,这些都可以在网上找到现成的工具。而其中利用的一些工具,很多也并非是专门的黑客工具,有很多本来是免费甚至是商用的正常软件。我们可以通过表一来看一看经常被病毒使用的。
表一:病毒经常使用的第三方工具
对上述软件来说,反病毒的处理要高度慎重,除对行命令工具,反病毒软件基本都会选择报警外,对其他几类,由于很难分辨相关程序,是用户的正常使用,还是病毒“种植”的结果,如果将这些代码加入到病毒库,很可能造成用户信息系统的异常。
