趨勢病毒實驗室
前言
講到實驗室,大家一定會立刻聯想到從前唸書時上化學實驗課的情景,每一個人必須身著白袍,大夥圍著長方形的實驗桌而坐,再加上一些試管和一盞本生?以及研缽和石蕊試紙。如果是換作是研究病毒的實驗室,想必每一位研究人員都必須身著無菌衣,然後在掛滿了各式各樣病毒圖片的實驗室中研究病毒的生態。不過趨勢科技專門分析電腦病毒的實驗室就和以上所描述的真實狀況有點差異了。其實趨勢病毒實驗室所關的全是那些在各個企業裡面為非作歹,犯案累累,經過趨勢抓毒大隊的全力緝捕終於束手就擒的電腦病毒,諸如曾經惡名遠揚的台灣
NO.1和最近造成全球恐慌的CIH電腦腸病毒都已經收集在趨勢病毒實驗室之中,所以這個實驗室又有一個「病毒惡魔島」的外號,任何電腦病毒一旦進入實驗室,就別想在有生之年可以逃離。
成立目的
病毒實驗室之所以成立必須回溯到一年半以前,在當時所有的病毒樣本都存在一台
Novell Server 中,沒有專業的資料備份系統,每天必須透過人工將
Server 中的資料備份到磁帶上。此外,測試專用的機器也相當有限,每個月僅能提供一次病毒碼及掃描引擎更新的服務,為了確保出貨的品質,每次病毒碼或掃描引擎的更新都必通過嚴密的測試程序,至少必須能夠
100% 偵測並清除 Server 中的所有病毒樣本,一旦發現任何瑕庛,研發工程師們就得把這個問題修補到好為止,否則測試工程師絕對不會輕易放水讓產品過關,也由於這個原因,機器設備往往就成了問題瓶頸的所在。為了履行承諾及提供更好的服務品質,於是我們投下了近千萬的經費在台灣、美國、菲律賓等三地成立病毒實驗室。以台灣目前來說,實驗室中總共有四十部以上的電腦,其中包括了七部高檔伺服器,三十幾部供病毒碼及掃描引擎測試之用的
Pentium MMX 200MHz 電腦,還有 DEC Alpha,SUN
SPARC等幾個 UNIX 作業平台的機器,目的也是為了服務非
Intel 處理器平台的使用者。為了讓這些昂貴的機器都能物盡其用,這些機器每天平均都得工作十八個小時以上,電腦的好處是你叫它做什麼它就做什麼,然而它也是有脾氣的,曾經有一兩次中央空系統調在半夜忽然失靈,隔天早上進實驗室彷彿和進三溫暖一樣,當然半數以上的電腦也全部以實際行動舉白布條
(當機) 抗議。
這七台伺服器中,其中有一台是實實在在的「大毒窟」,這台伺服器中搜集了全球一萬五千種以上的電腦病毒,這些病毒包括有開機型病毒,專門感染
DOS 下執行檔的傳統型病毒,最近頗為流行的
Windows 檔案型病毒,巨集病毒以及
Internet 病毒 (又稱為第二代病毒,指的是
ActiveX 及 Java 病毒)。為了瞭解每隻病毒的感染情形,我們嚐試讓病毒去感染各式各樣的檔案以及作業系統,以模擬電腦病毒在使用者端的情形及可能對使用者造成的影響,所以一萬五千種以上的電腦病毒原形,再加上這些各式各樣被感染的檔案,總共超過十萬個以上遭受電腦病毒感染的檔案一併被收藏在這台稱為「Virus
Bank」 的伺器中。另外還有一台伺服器專門存放「In
the Wild 病毒」,所謂「In the Wild 病毒」指的是真正在全球廣為流行的電腦病毒,美國國家電腦安全協會(ICSA,International
Computer Security Association) 每個月都會公佈全球最流行的電腦病毒調查結果,像是五月份才在台灣爆發的
CIH 電腦腸病毒,拜 Internet 所賜,在短短二個月的時間已經紅遍海內外,根據今年七月份
ICSA 公佈的最新名單,CIH 已經榜上有名。針對這些
In the Wild 重點病毒,我們特別做了最慎重、仔細的處理,在每一次的病毒碼及掃描引擎更新版本出貨之前,都必須通過當月份最新
In the Wild 病毒的試測 (100% 偵測及清除)
底線才能出貨,而這也是我們對客戶負責的一個最基本要求。
抓毒大隊與危安特勤小組
既然談到電腦病毒,當然不能不提一下最重要的幕後功臣,前面曾不止一次的提到病毒碼及掃描引擎,我想各位看倌一定都非常好奇想知道,全世界這麼多電腦病毒我們是如何處理的呢?
事實上,趨勢科技在處理全球電腦病毒問題上下了極大的功夫,目前我們在菲律賓,美國,台灣三地設置了全球病毒聯合防禦火網,每個國家都駐紮了大批的抓毒大隊,而這些抓毒大隊的成員各個都受過嚴格的專業訓練,必需熟知各種檔案格式
(file format) 的架構及每種病毒的感染型態及特性。大家都知道,如果企業內部感染了電腦病毒,除非在很的時間內立刻加以控制,否則很可能會造成不可預期的損失,所以透過菲律賓及美國兩地專職的防毒支援中心
(Anti-Virus Support Center),我們能夠即時的為亞太地區及歐美國家使用者做全天侯的緊急處理,若支援中心遇到無法解決的問題,則會在第一時間送達台灣的危安特勤小組手上,並由危安特勤小組成員接手完成後續的工作。
危安特勤小組成員主要是由
Scan Engine Team 及資深抓毒工程師所組成,目的是解決一些突如奇來的新型態病毒,以今年三月間發現的
Access 巨集病毒為例,由於過去大家認為只有
Word 和 Excel 的檔案會感染巨集病毒,而完全沒有考慮到
Access 是不是也可能寫出巨集病毒,直到今年三月間第一隻
Access 巨集病毒問世才讓全世界的防毒軟體公司大為錯愕,這時危安特勤小組就必須馬上擔負起責任,立刻尋找解決方案,果然在三天內首先提出解決方法,並且即刻更新趨勢科技網頁上「Internet
到府掃毒」的程式,同時這也成為當時全球第一個提出解決方案的產品。當然想要在短時間內找出解決方案也不是件簡單的事,這三天對危安特勤小組的成員來講,是再漫長不過的三天了,每天幾乎都人人絞盡腦汁做盡各式各樣的測試及比較,直到第三天還是大夥一起撐到天亮才把結果做出來。
尾聲
有人曾經問我,從事防毒軟體的工作最大的欒趣是什麼?
我覺得研究電腦病毒就好比科學家們在分析真實世界中的病毒是一樣的,最大的樂趣莫過於它無常之變化,舊病毒一旦被控制住沒多久,新種病毒馬上就問世,生生不息,潮起潮落,似乎永遠都沒有終止的一天。科學家與病毒之間是人與天爭,而我們與電腦病毒之間則是人與人爭,一場防毒軟體與電腦病毒創作者之間的腦力激盪競賽。警察不能保證壞人那一天會從世界上消失,但警察所能做的就是加強巡邏,徹底防範宵小。趨勢成立病毒實驗室的目的也是如此,電腦駭客不可能從世界上消失,Internet
的普及更是把世界村的理想逐步實現,從前美國的電腦病毒須要兩年的時間才能夠漂洋過海來到國內,現在只需彈指的時間,建立龐大的電腦病毒資料庫只是我們的第一步,而提供最快速的整體服務才是我們最後的目標。
|