近日微软揭开了其新安全系统的神秘面纱，使用自动的“蜜猴”技术在Web上巡逻，以查找那些自动在Windows XP系统安装恶意代码的站点。

微软表示，在实施Strider HoneyMonkey研究计划的第一个月里，已经查找到了链接到287个站点上的752个Web地址，可以自动感染未打补丁的机器。同时还发现了有一种攻击利用以前未曾发现的漏洞，甚至可以入侵一个安装完整Windows XP SP2补丁的机器。

微软最初在五月份开始讨论蜜猴程序，并在上个星期公布了一项有关其细节的研究报告。

该计划目前是在一个相对比较小的范围内进行的；目前他只能查找无需用户交互而自动安装的恶意代码，而不考虑目前基于社会工程学的成功率日益提高的复杂攻击，诸如钓鱼攻击。

不过，据微软计算机安全和系统管理研究组的负责人王一民表示，微软相信，自动化的处理方法有可能成为一个非常有价值的工具，用于检测尚未广泛传播的新类型攻击。在攻击者的圈子里，通常共享新的漏洞，会快速散布到多数站点。

王一民在报告中提到，“尽管手动分析通常能提供非常有用的详细信息，诸如什么漏洞被利用了和什么恶意程序被安装了等，但是这种分析不是局部的，不能提供问题的一个全面图解。”

例如，在7月初，微软的蜜猴们发现了一个Windows XP SP2的漏洞，当时没有其他站点在利用它。两个星期后，287个站点中的40个已经在利用这一漏洞。它是利用了以前未被发现的在COM对象、Jview事件探查器（javaprxy.dll）中的BUG，上月底该漏洞已被修补。

新安全系统使用了一系列的蜜猴，这个名字来自于“蜜罐”，一个专门等待黑客攻击的被动式安全研究服务器系统。每一个蜜猴是一个运行在虚拟机上的打着不同级别补丁的Windows XP系统。最初是一个没有打任何补丁的蜜猴在网络上查找潜在的恶意站点。当某个站点被发现安装了恶意代码后，这个虚拟机就被废弃了，另一个新的取代它的位置。

目标URL然后被移交给另一个具有更高安全级别的虚拟机，来看看系统是否还会被这个站点的恶意代码感染。如此循环，直到装有所有补丁的Windows XP 系统，微软如此表示。

王一民表示，系统会建立一个基于整个过程的拓扑图，可以查找出造成大量漏洞网页的几个主要罪魁祸首。

在蜜猴系统中运行了许多不同的工具来监视恶意站点，包括微软的rootkit检测和移除程序－Stider GhostBuster。

微软表示，计划最后将在几个不同地理位置分散的部署数百个蜜猴来检查不同的站点。

OVER