杀还是不杀
Friday, May 18th, 2007首先,本人是这次诺顿病毒事件的受害者。早上收到公司IT发送出来的病毒警告后,在未搞清原因的情况下主动升级了病毒库,导致中招。接下来的几个小时,IT连续发出几封紧急邮件救险,直到临下班前升级到5.17 rev 73才算告一段落。今天是星期五,将会有相当多的机器在周一上班重新开机的时候出问题。可以想像Symantec眼睁睁看着这些已经关机的机器,却什么也做不了的心情,很残忍。
从技术方面,我想到的是well informed decision。如果病毒分析本身的风险性在逐渐上升,依靠在单机上运行的算法匹配病毒在这次事件背景下可能需要重新思考一下。讲的俗一点,用Web 2.0的方式,病毒分析软件在找到可疑文件后也许不应该立刻采取行动,而是应该把你找到的模式上传给服务器。服务器根据一系列参数,如时间、时序、历史记录、当前改模式总的激活数量等实时的手段进行分析,以确定这的确是个问题或者是误报。每个装在客户机上的杀毒软件都像一片RFID,把它收到的数据分享给其他人,通过event driven系统最终得出结论,杀还是不杀?
杀毒软件也需要个虚拟论坛,杀毒前要到坛子里问问,以做出正确判断。
