在2004年12月21日17点07分，Santy蠕虫通过一封电子邮件到达了位于莫斯科的卡巴斯基实验室（Kaspersky Labs）。它马上就被评估、分类并分配给一个病毒分析师。到了下午6点，这位分析师已经仔细研究了该蠕虫病毒并生成了一个二进制记号。这样一来，实验室的杀毒软件就能够利用这个记号有效地屏蔽该病毒。

但是，现在要想做到对恶意软件如此快速的响应，正变得越来越困难。很多时候即使一个小时的处理过程也嫌太长。最近几个月来，自身能快速繁殖的恶意软件的数量，已经出现了大幅上升。而一些开发和销售杀毒软件的公司也承认，对付这些新攻击，有些力不从心。

去年11月，尤金·卡巴斯基（Eugene Kaspersky）在该实验室的Viruslist.com网站上发表了一篇文章。在文章中，他直言不讳地指出了当前反病毒市场所面临的严峻形势。他这样写道：“很不幸，在市场和互联网上，很少有这样的产品，能够对用户提供近100%的安全保护。大多数产品甚至连90%的安全性都无法保证。而这就是杀毒软件行业如今所面临的问题。”

卡巴斯基举出了一系列现象，比如恶意软件上升的数量、传播速度、恶意软件作者不断增加的犯罪行为、对恶意软件的扫描速度和有效性之间的权衡、不同供应商提供的杀毒程序的不兼容等，这些都是整个行业所面临的问题。

杀毒软件供应商熊猫软件美国公司（Panda Software USA）试图对付更复杂的黑客攻击。公司首席技术官（CTO）帕特里克·伊诺约萨（Patrick Hinojosa）表示：“过去，我们还有时间来判断他们在做些什么。而现在我们要面对的攻击速度比以前快得多，我们根本没有时间来给客户做好防御准备。”

卡巴斯基实验室平均每天都会收到200~300个新的恶意软件的样本。英国研究实验室Sophos公司报告说，2005年，新的攻击数量提高了48%。熊猫软件公司警告说，去年新出现的傀儡程序（Bot）超过了1万个，他们大量入侵PC，自动转化成蠕虫或木马病毒，并将这些机器变成由黑客控制的“肉机”。Sophos实验室的经理理查德·王（Richard Wang）认为：“在过去几年，甚至是过去一年中，对于什么是令人满意的病毒响应速度，游戏规则已发生绝对的改变。”

目前，恶意软件袭击的趋势表现在对一些机构和组织的有目的的攻击，比如针对银行信用卡用户的攻击，这给人们带来了新的挑战。杀毒软件公司必须认识到这些攻击的危害，然后设计专门的防御性记号来抵御他们，不过当恶意软件还未广泛传播的情况下，要做到这一点相当困难。

用户必须做好主动防御，因为用户不会再有足够的时间做到广泛有效的应激式防御。伊诺约萨表示：“一些杀毒软件供应商将会向主动防御方式转变，而那些无法跟上趋势的供应商将会在两三年内被市场淘汰。”

适应还是死亡？

许多杀毒软件公司正在努力适应这种变化。Sophos公司的王经理说，由于病毒和木马正在使用更宽泛的技术和更多样化的传播方式，因此杀毒产品也需要不断扩展功能来予以反击，其中包括自动评测功能，比如从软件或用户那里寻找可疑行为，并且屏蔽它。此外，还包括改进型的启发式分析方法，它能够更好地识别恶意软件。

大部分恶意软件作者都把注意力放在快速发布代码上。他们一旦发现某个漏洞，就会迅速发动攻击，而不是去尝试创造新的攻击方式。结果，过去体现了安全研究人员和恶意软件作者之间的斗智斗勇的病毒防范工作，已经变得更加自动化了。“我们必须转变为自动分析，并且在软件中添加一些新的工具，从而在研究人员有机会看到攻击前，先行分析攻击和新代码。”伊诺约萨解释道。这样做很有必要，“因为，我们往往是在病毒已经肆虐了全球大部分地区后，才会在实验室里看得到它。”伊诺约萨说。

如果杀毒软件供应商想要跟上那些黑客的脚步，这样的改变就很有必要。“防范恶意软件的攻击，依然是极富挑战的事业。现在我们所要的做的，只是在新方向上灵活运用自己现有的知识。”伊诺约萨表示，“旧的一页已经结束，然而新的一页又将掀开。”