木马攻击 杀毒软件失灵(2)

　　有针对性的攻击者喜欢Office文件的另外一个原因是，企业往往允许其员工用电子邮件接收这些文件，一般的可执行病毒很快会被安全软件发现，隐藏在Office文件当中相对比较“安全”。

　　零日攻击对于传统的基于“指纹”判断的安全产品是一种挑战，这种产品主要依据攻击“指纹”(特征)来判断威胁是否发生，而这至少要此类攻击曾经发生过。

　　德国Magdeburg 大学的病毒软件专家Andreas Marx说：“这是恶意攻击的未来趋势。感染零日攻击型病毒的系统无法获得杀毒软件的保护，因为没有病毒特征去让杀毒软件判断。”

　　病毒特征通常是由安全公司在收到被病毒感染公司提交的报告后创建的，安全公司会在收到报告后，将这些病毒特征与自己蜜罐(honeypots)的病毒样本，或者其它安全公司的病毒特征库中的样本进行比对，然后发布病毒特征。Marx表示：“这种机制对于有针对性的攻击不起效，因为其数量很小，只有一小部分系统感染。”

　　Shipp 为此举了一个例子，目前，只有4 种杀毒产品侦测到了一例几个月前发生的有针对性的攻击。

　　这些有针对性的攻击者的身份是一个秘。安全专家们推测说，可能是分布于世界各地的各种有组织犯罪集团制造了这些零星的攻击，但他们缺乏直接的证据。

　　这些人的攻击动机也存在争议。Shipp 认为，这类攻击的目的是为了窃取信息，也就是工业间谍活动。

　　但赛门铁克的Weafer却认为攻击的目的各种各样。

　　安全公司正在开发更为先进的技术，以弥补病毒特征模式的不足。比如，利用启发式机制，安全产品能够依据行为模式去判断攻击的发生。

　　Cluley说：“杀毒软件公司已经在着手解决这一问题。有针对性的攻击并不完全是一场灾难，虽然它们不在雷达上显示，但好的主动式保护机制仍然能够侦察出这样的攻击类型。”