漏杀,就是病毒已在互联网上出现,但暂时不能被杀毒软件检测到。反病毒专家李铁军指出,"本质上来讲,漏杀产生的根本原因是传统安全软件无法适应病毒生产、传播的全面互联网化,传统的病毒识别方法无法适应病毒的快速增长"。究其原因,主要有以下四点:
1、病毒黑色产业链的利益驱使
众多案例早已证实病毒木马所构造的互联网黑色产业,仅公安机关公布的利用计算机病毒破坏网络安全的案件,其非法收入已是数千万人民币的规模。巨大的利益吸引众多从业者和杀毒厂商打持久战。这两年还出现过为带数字签名的病毒木马,这是更加明显的商业化制造传播计算机病毒的行为。
从病毒木马的传播规律分析,明显符合"长尾定律"。数量庞大的病毒木马只感染有限数量的机器,这样木马就可以减少被杀毒厂商捕获的机会,延长病毒木马的生存周期,以图长期潜伏。
2、病毒木马作者对抗杀毒软件的情况加剧
一个可以被主流安全软件检测到的病毒,不具备商业牟利的基本条件。病毒木马制作者、传播者在发布新病毒或对老病毒进行改造之前,会针对各种主流安全软件最新版本对病毒木马进行免杀处理,保证新版病毒不被最新安全软件检测到。他们可以付出一定代价的"服务"成本,以求和"客户"(病毒木马买家)保持长久的合作关系。
3、传统的病毒识别方法决定了"漏杀"现象必然存在
传统的病毒识别方法是只在电脑上检查病毒文件(一般称之为黑文件),而病毒文件的数量集到或识别出所有病毒却在每天以万种的速度递增,黑文件不断增加,没有哪个杀毒厂商能将所有病毒收集完。
4、传统安全软件的更新周期过长
传统安全软件通常是以小时为单位更新,客户端必须下载最新的病毒库才能防御最新病毒,而将新病毒特征库分发到数以千万计的最终用户需要消耗相当长的时间。而某一种病毒木马的更新代价却要小得多。比如,那些释放后门程序的黑客只需要一条命令就可以让客户端瞬间更新版本,需要的带宽也远小于杀毒软件。
减轻或解决漏杀带来的风险是可以做到的,近年来国家制定或修订了有关法律法规,严重打击了破坏计算机网络的电子犯罪行为。安全厂商也再不断进行技术创新,以应对互联网带来的挑战。
以金山毒霸为首的国内安全厂商正在构建庞大的"可信云安全体系",如金山毒霸2011颠覆传统,全面启用了可信云安全体系,可以最大限度的减少漏杀问题。据反病毒专家李铁军介绍,传统安全软件只查病毒文件(黑文件),可信云安全系统可做到鉴定病毒的同时,识别用户电脑上的正常文件(白文件),将那些不正常的程序文件隔离在系统外面。这种新的病毒防杀理念,可以有效减少漏杀的发生。
同时,基于可信云安全系统的杀毒软件不象传统安全软件那样严重依赖客户端定时升级。因为在可信云安全的体系中,服务端的升级是分钟计的,客户端只要联网就具备最新的病毒防杀能力。