360杀毒疑似按文件名杀毒 凸显高误杀率

上岗闲人

最近专业论坛爆出，360杀毒存在一个“畸形”漏洞，使其在扫描或监控某些文件时严重拖慢电脑速度。有技术人员在研究此漏洞时却发现了360扫毒引擎更为雷人的一幕，360竟疑似按文件名扫描病毒。
    事情是这样的，专业论坛近日爆出360杀毒(最新的2.0.0.2061)在扫描一个仅100K的“畸形”EXE文件时，10几分钟过去了连初始化都未完成(更恐怖的是360会耗尽硬盘空间，C盘剩余空间越多它越慢)，而其他的杀毒软件如卡巴、金山毒霸、瑞星、只需几秒钟就可以完成检测!

图1  360扫描截图
    笔者在研究时发现如果将此文件改名为”我是木马.TXT”，也就是文件变成没有任何安全威胁的txt文本文件，360一扫描却直接将其报为病毒并要求清除。仅仅是文件名的改变，360就将同一个文件一个认为是安全、一个认为是危险。难道说文件名才是360杀毒判断的关键指标？这样的病毒判断逻辑，恐怕只有错杀3000正常文件才能使1个病毒落网吧，如此看来360在AV-C的测试中误报率高也就不难理解了。

图2  360杀毒截图

图3  360国外测试误杀率高
       据业内人士分析造成这种情况的原因是360扫描算法不够智能，其实360的这种漏洞。并不是什么新鲜事，早在2007年的BlackHat大会上，著名安全专家Sowhat（现供职微软）就公布了类似的杀软漏洞，因此绝大多数杀毒软件都能避免自身产品中出现“畸形”漏洞。360之所以到现在还保留问题主要是因为自己无核心技术，杀毒引擎关键技术都依赖于罗马尼亚等外国厂商，在扫描算法效率、扫描引擎的校验文件、内部事件响应机制，以及任务调度等多项专业技术方面都受制于人，在这种情况下360只能在文件名上下功夫也就不足为奇。