要命的是，人们似乎永远也不能彻底战胜计算机病毒

　　前不久，“冲击波”病毒的编写者之一杰弗里·李·帕森的迅速被逮被一些人誉为是反计算机犯罪战中的一次重大胜利，这个被媒体大肆炫耀的胜利给了人们一个印象：那就是文明世界有能力最终彻底制服计算机病毒。

　　先识别后战争

　　然而一项针对反病毒软件的有效性研究表明，这事儿并没有什么可庆祝的。按照这份研究报告的看法，那些正和计算机病毒进行斗争的反病毒专家们事实上必输无疑。

　　这项研究是惠普公司在英国布里斯托尔的实验室完成的。该研究是科学界第一次对反病毒软件的有效性全面进行评估。惠普公司研究员马修·威廉森说，他们的研究表明，我们同计算机病毒的斗争方式存在着根本性的缺陷，因为计算机病毒传播的速度要比反病毒补丁发布的速度更快。等到反病毒软件做出反应时，病毒的破坏就已经完成了。

　　大多数反病毒软件的工作原理是这样的：首先确定进入到计算机系统内的病毒代码的特性或独特模式。一旦得以确定，这个“识别标志”就被发布到购买该反病毒软件的用户那里，用户机器上的反病毒软件由此可以通过该“识别标志”的帮助来完成防御或清除恶意代码的工作。但威廉森指出，这种策略事实上就意味着，在你能对病毒采取什么行动之前，你必须先要知道病毒是什么“样子”的。

　　病毒与反病毒：刀快者先胜

　　要对反病毒软件的有效性进行评估，一个重要的方面是对受反病毒软件保护的网络和没有受其保护的网络进行比较。但这样做的困难显而易见，威廉森说：“很少会有公司愿意关掉他们的防火墙来配合我们的研究。”

　　于是，他就设计了一种计算机模型来模拟病毒传播的方式，该模型是仿造生物病毒传播方式建造起来的。接着再把相应参数引入到模型中，这些参数代表了反病毒软件对计算机病毒传播做出反应的方式。

　　他发现，即使在病毒“发布”之初就查获了其识别标志，只要它的繁殖速度足够快，我们也不能阻止它的传播。威廉森说，“传播速度快的病毒会迅即感染计算机用户，而且它们的传播速度正变得越来越快。”

　　另一方面，威廉森所设计的模型清晰地表明，那些反病毒代码的发布速度却做不到足够快。反病毒软件为升级所进行的检查最快不过一小时一次，而这实在是太慢了。问题是，太多的系统检查可能被误当作遭受了一次攻击。

　　当“监狱蠕虫”(Slammer)病毒在2003年1月爆发时，半个小时内就有78000台机器被其感染。这种速度可谓迅雷不及掩耳。

　　威廉森指出，尽管反病毒软件最终赢得了优势，该病毒停止了转播，“但是它已经破坏了它能感染的那些机器，到最后阶段病毒造成的损害早已完成。”

　　病毒“黑名单”将无尽增加

　　以“识别标志”为基础的反病毒机制带来的另一个问题是，它会导致系统拥塞。邮件查毒机制会对每封电子邮件进行查毒以防备现已存在的各种病毒，而现有病毒的数量数以万计，这就使得系统任务越来越重，越来越难以支撑。由于新病毒层出不穷，所以标明各种计算机病毒的“识别标志”的“黑名单”只会越开越长。

　　不过威廉森指出，基于“识别标志”的反病毒防止机制并不应该被抛弃，因为在对已被识别的病毒进行清除时，它们还是有用的。但是为了切断那些迅速繁殖的病毒的传播，反病毒机制应该在查获病毒的“识别标志”之前就发挥作用。

　　荷兰反病毒软件公司麦卡非(McAfee Avert)公司正在研发一种新型的反病毒策略。它用“启发式查毒”(实质上是一些宽松的规则和可能性集合)来找出可疑代码。这种方法在捕获新病毒时很有作用。但这里也有一个难题：它也可能会对事实上证明是正常的代码做出误判预警。

　　“误判预警是消费者所不愿看到的”，该公司的研究员马里乌斯·范·奥尔斯说，“这可能会导致无谓的恐慌”。

　　随着软件变得越来越复杂，为病毒攻击留下的漏洞也不可避免地在增加。如此病毒的编写者就不需要对编程特别精通，稍有些“犯罪”能力就可能编写出新的计算机病毒。帕森的被捕看来是缘自他所犯下的一个低级失误：他用他的网名来重新命名了该病毒文件--这实际上给我们提出了一个难题：如果下一个网络罪犯不那么“弱智”，该怎么办？(张柯)