文/黃彥棻 (記者) 2009-02-17
為了保證民眾電腦安全,警政署推出以行為分析模式為基礎的惡意程式掃描工具,不到半個月,更迅速改版3次。
警政署資訊室在農曆春節前推出一個免費的電腦惡意程式掃描工具(NPASCAN),根據警政署內部統計,在1月21日到2月3日期間,從警政署官方網站下載該惡意程式掃描工具的數量,官方下載次數已經超過125萬次(1,251,504次),而且該掃描程式推出不到10天,已迅速改版2次,最新的NPASCAN 1.7版也於2月3日推出。
負責研發該惡意程式掃描工具的警政署資訊室巡官叢培侃表示,雖然惡意程式掃描工具NPASCAN在Beta版時,已經先在警政單位的電腦上測試過,但民眾電腦環境千奇百怪,的確有一些少見的合法程式,因為運作行為特別而造成被誤判。
叢培侃說,警政署資訊室在農曆春節過年期間,也收到許多民眾使用掃描程式,回寄可疑的Log(登錄檔)檔。根據分析,這些多數都是有害的木馬程式和惡意程式,只有少數的合法程式被誤判。警政署資訊室為此在最短的期間內進行版本更新,在1月23日推出NPASCAN 1.6版,2月3日又再推出1.7版。為了降低誤判率,警政署在不到半個月的時間內,已經迅速改版3次。
警政署資訊室主任李相臣表示,警政署資訊室會推出此一惡意程式掃描工具,是因為之前在協助政府與民間企業處理資安事件時發現,已經有某幾款惡意程式會隱匿對外發送資料的行為,讓許多防毒公司產品無用武之地。為了確保政府與民眾的電腦安全,李相臣說,除了透過行政院研考會將警政署資訊室自行研發的惡意程式掃描工具散布到政府部門外,也藉由開放給民眾下載,提升民眾電腦的安全性。「這是一場和駭客比速度的戰役,警政署為了確保政府和民眾電腦安全,不會在這場戰役中缺席。」李相臣說。
中華電信資安辦公室資安技術研發組長李倫銓也下載、使用NPASCAN惡意程式掃描工具,掃描自己的電腦。他表示,一般資安人員在檢查系統是否被植入木馬程式或中毒時,經常對一些繁瑣的項目進行逐一驗證,不論是系統啟動區、檔案簽章或者是檔案屬性等等。但是,李倫銓說,透過使用警政署資訊室推出的惡意程式掃描工具NPASCAN,可以協助IT管理者檢查這些繁瑣項目,等於是把平常他在分析惡意程式的部分流程自動化。
李倫銓認為,世上沒有完美的偵測工具,這類以偵測惡意行為模式為基礎的惡意程式掃描工具,因為不是採用特徵碼資料庫的方式,純粹利用現有權限採靜態分析,檢查PE檔案(Portable Execution File)相關資訊,的確會因為某些軟體會使用如同病毒或者後門程式的技巧,而導致該惡意程式掃描工具的誤判。但他說:「這個惡意程式掃描工具可以協助一般人員找出資安專家需費神檢查的繁瑣項目,即使有可能誤判,但對該掃描軟體而言,仍是瑕不掩瑜。」目前NPASCAN可在微軟Win2000、Win XP、Vista等作業系統中使用。文⊙黃彥棻使用警政署惡意程式掃描工具進行電腦掃描時,一旦掃到可疑的惡意程式,該掃描程式會詢問使用者是否要刪除掃描到的惡意程式,確定刪除並重新開機後,這些惡意程式就被清除了。
http://www.ithome.com.tw/itadm/article.php?c=53430
ps: 程式請至警政署官方網站下載!