今年，在 巴塞隆纳所举行的第21届 Virus Bulletin国际大会上亮点不断，研究人员有三场在企业议题的简报，还有一场在技术议题的简报。Ethan XY Chen在第一天的技术议题和第二天的企业议题中报告了文件信誉评比。Max Goncharov报告了成为恶意软件散播工具的流量重导系统。David Sancho和Rainer Link 谈到了从sinkholing僵尸网络所得到的经验。趋势科技全球教育主管David Perry谈到了消失的恶意软件指标。
 

在这次大会不同主题的报告中，我们被技术议题所讨论的内容给吸引住。这里列出我们觉得特别感兴趣的部份。

手机恶意软件监狱

这个来自Axelle Apvrille的简报主题为“用OpenBTS GSM所做出来的手机恶意软件监狱”，讨论信息安全人员在分析手机威胁时所面临的挑战。

如她所说的，杀毒公司的最高指导原则是不能散播我们所分析的恶意软件。但是在测试恶意软件时，有时需要有网络连线或是能在分析过程中连到某些地方，以验证或分析他们的行为。分析被恶意软件感染的电脑比较容易，因为可以轻易的跟网络环境隔绝开来，而还是可以看到他们在做什么。然而，手机恶意软件就没那么容易控制环境了，因为没有网络线可以拔，再来分析它们。

既然我们不想在分析手机病毒时担上感染同事的智能手机的风险，就需要一种方法能够有效地分析手机恶意软件而不会危及其他用户。

Apvrille所提出的解决方案就是建立一个虚拟的GSM服务运营商。跟用法拉第笼来阻绝讯号比起来，这是一个便宜的解决方案，而且可以有效的控制恶意软件运行环境。它使用一个以Unix为基础的开放原始代码应用程序 - OpenBTS，和一个通用软件无线电周边设备（Universal Software Radio Peripheral, USRP）。怎么个便宜法呢？大概 1,000美元。虽然还是有点贵，不过对于杀毒公司来说，仍然是一个不错的投资，因为手机恶意软件也变得越来越多了。

诈骗和隐形的恶意软件

这个诈骗型恶意软件的分析报告告诉我们假杀毒软件Fake AV和假工具软件已经出现有一段时间了，而且可能还会继续下去，因为他们会随着新电脑技术的进步而跟着变化。

根据这个报告，趋我们可以想像这样的威胁在在未来几年内会出现在移动操作系统上。

隐形恶意软件的分析报告提到最近出现的rootkits和bookits，包括恶名昭彰的TDL家族，Zeroaccess，POPUREB和Mebromi（又名MyBios）。

文件信誉研究

在微软的Tim Ebringer的简报中，他谈到了很难去找出和一个特定文件相关的恶意软件。这跟Ethan YX Chen的报告类似，在里面他提出结合信誉评比和内容分析的解决方案。他对于如何去对抗今天高度变化又微量分布的恶意软件提供了不同的观点 。

现在有很多的恶意软件家族，所以我们如何去认定某个样本属于某个特定的恶意软件家族呢？

对于流行的恶意软件（开机型病毒、在线游戏木马和假杀毒软件），这并没有问题。但对于那些不那么流行的（RAMNIT，SYSWRT），就很有可能会当成新的家族。而这样，就会破坏恶意软件的分类。

利用Bindex，所有的恶意软件样本都切割成程序代码区块，并且储存在数据库中。如果一个工程师正在分析的新样本包含了一段有意思的程序代码片段，他可以用这片段来搜寻数据库，并找到相关的恶意软件。如果结果出来太多（例如，属于不同的家族），那他所搜寻的片段可能是编译器的程序代码。

能够识别编译器的程序代码可以帮助避免误判，因为工程师就会知道这段程序代码不能被用来做恶意软件的特徵代码。总的来说，我们认为这个应用程序对于加强启发式侦测有很大的帮助。

参加VB2011是一个很好的经验去跟其他在防恶意软件产业的人见面。总之，我们在大会期间所学到的东西一定会帮助我们在未来跟威胁对抗时变得更加强大，最终会提供更好的解决方案，以更佳地保护使用者。

(责任编辑：安博涛)