(共7张PPT)
计算机病毒
什么是计算机病毒
计算机病毒的特征
计算机病毒的种类
计算机病毒发作的症状
计算机病毒的传播途径
计算机病毒的防治
计算机道德规范
计算机病毒:
是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。
计算机病毒的特征:
(1)非授权可执行性
(2)隐蔽性
(3)传染性
(4)潜伏性
(5)表现性或破坏性
(6)可触发性
计算机病毒的种类
系统病毒
蠕虫病毒
(通过网络或者系统漏洞进行传播 )
木马病毒、黑客病毒
脚本病毒
宏病毒
后门病毒
捆绑机病毒(QQ病毒 )
计算机病毒发作的症状
(1) 屏幕异常滚动,和行同步无关。
(2) 系统文件长度发生变化。
(3) 出现异常信息、异常图形。
(4) 运行速度减慢,系统引导、打印速度变慢。
(5) 存储容量异常减少。
(6) 系统不能由硬盘引导。
(7) 系统出现异常死机。
(8) 数据丢失。
(9) 执行异常操作。
计算机病毒的传播途径
软盘
光盘
U盘
硬盘
电子邮件
BBS(电子布告栏)
Qq聊天
下载
网上浏览
磁盘
网络
计算机病毒的防治
在系统中安装杀毒软件
外来磁盘经过杀毒后才能使用
不要使用非法复制的盘,特别是盗版盘
定期对计算机杀毒
杀毒软件的病毒库升级要快
经常对硬盘上的有用文件进行备份
对计算机系统留有备份
专机专用
计算机道德规范
未经许可,不要动用别人的计算机,不能复制别人的文件,更不能修改或删除他人的文件。
不得利用计算机信息系统从事危害国家利益、集体利益和公民合法利益的活动,不得危害计算机信息系统的安全。
遵守“青少年网络文明公约”
要善于网上学习,不浏览不良信息。
要诚实友好交流,不侮辱欺诈他人。
要增强自护意识,不随意约会网友。
要维护网络安全,不破坏网络秩序。
要有益身心健康,不沉溺虚拟时空。计算机病毒的传播途径
计算机病毒的传染性是计算机病毒最基本的特性,病毒的传染性是病毒赖以生存繁殖的条件,如果计算机病毒没有传播渠道,则其破坏性小,扩散面窄,难以造成大面积流行。
计算机病毒必须要“搭载”到计算机上才能感染系统,通常它们是附加在某个文件上。
计算机病毒的传播主要通过文件拷贝、文件传送、文件执行等方式进行,文件拷贝与文件传送需要传输媒介,文件执行则是病毒感染的必然途径(Word、Excel等宏病毒通过Word、Excel调用间接地执行),因此,病毒传播与文件传播媒体的变化有着直接关系。
据有关资料报道,计算机病毒的出现是在70年代,那时由于计算机还未普及,所以病毒造成的破坏和对社会公众造成的影响还不是十分大。1986年巴基斯坦智囊病毒的广泛传播,则把病毒对PC机的威胁实实在在地摆在了人们的面前。1987年“黑色星期五”大规模肆虐于全世界各国的IBM PC及其兼容机之中,造成了相当大的恐慌。这些计算机病毒如同其他计算机病毒一样,最基本的特性就是它的传染性。通过认真研究各种计算机病毒的传染途径,有的放矢地采取有效措施,必定能在对抗计算机病毒的斗争中占据有利地位,更好地防止病毒对计算机系统的侵袭。
计算机病毒的主要传播途径有:
1.软盘
软盘作为最常用的交换媒介,在计算机应用的早期对病毒的传播发挥了巨大的作用,因那时计算机应用比较简单,可执行文件和数据文件系统都较小,许多执行文件均通过软盘相互拷贝、安装,这样病毒就能通过软盘传播文件型病毒;另外,在软盘列目录或引导机器时,引导区病毒会在软盘与硬盘引导区互相感染。因此软盘也成了计算机病毒的主要寄生的“温床”。
2.光盘
光盘因为容量大,存储了大量的可执行文件,大量的病毒就有可能藏身于光盘,对只读式光盘,不能进行写操作,因此光盘上的病毒不能清除。以谋利为目的非法盗版软件的制作过程中,不可能为病毒防护担负专门责任,也决不会有真正可靠可行的技术保障避免病毒的传入、传染、流行和扩散。当前,盗版光盘的泛滥给病毒的传播带来了极大的便利。
3.硬盘
由于带病毒的硬盘在本地或移到其他地方使用、维修等,将干净的软盘传染并再扩散。
4.BBS
电子布告栏(BBS)因为上站容易、投资少,因此深受大众用户的喜爱。BBS是由计算机爱好者自发组织的通讯站点,用户可以在BBS上进行文件交换(包括自由软件、游戏、自编程序)。由于BBS站一般没有严格的安全管理,亦无任何限制,这样就给一些病毒程序编写者提供了传播病毒的场所。各城市BBS站间通过中心站间进行传送,传播面较广。随着BBS在国内的普及,给病毒的传播又增加了新的介质。
5.网络
现代通信技术的巨大进步已使空间距离不再遥远,数据、文件、电子邮件可以方便地在各个网络工作站间通过电缆、光纤或电话线路进行传送,工作站的距离可以短至并排摆放的计算机,也可以长达上万公里,正所谓“相隔天涯,如在咫尺”,但也为计算机病毒的传播提供了新的“高速公路”。计算机病毒可以附着在正常文件中,当您从网络另一端得到一个被感染的程序,并在您的计算机上未加任何防护措施的情况下运行它,病毒就传染开来了。这种病毒的传染方式在计算机网络连接很普及的国家是很常见的,国内计算机感染一种“进口”病毒已不再是什么大惊小怪的事了。在我们信息国际化的同时,我们的病毒也在国际化。大量的国外病毒随着互联网络传入国内。
随着Internet的风靡,给病毒的传播又增加了新的途径,并将成为第一传播途径。Internet开拓性的发展使病毒可能成为灾难,病毒的传播更迅速,反病毒的任务更加艰巨。Internet带来两种不同的安全威胁,一种威胁来自文件下载,这些被浏览的或是通过FTP下载的文件中可能存在病毒。另一种威胁来自电子邮件。大多数Internet邮件系统提供了在网络间传送附带格式化文档邮件的功能,因此,遭受病毒的文档或文件就可能通过网关和邮件服务器涌入企业网络。网络使用的简易性和开放性使得这种威胁越来越严重。
当前,Internet网上病毒的最新趋势是:(1)不法分子或好事之徒制作的匿名个人网页直接提供了下载大批病毒活样本的便利途径。(2)由于学术研究的病毒样本提供机构同样可以成为别有用心的人的使用工具。(3)由于网络匿名登录才成为可能的专门关于病毒制作研究讨论的学术性质的电子论文、期刊、杂志及相关的网上学术交流活动,如病毒制造协会年会等等,都有可能成为国内外任何想成为新的病毒制造者学习、借鉴、盗用、抄袭的目标与对象。(4)散见于网站上大批病毒制作工具、向导、程序等等,使得无编程经验和基础的人制造新病毒成为可能。(5)新技术、新病毒使得几乎所有人在不知情时无意中成为病毒扩散的载体或传播者。
上面讨论了计算机病毒的传染渠道,随着各种反病毒技术的发展和人们对病毒各种特性的了解,通过对各条传播途径的严格控制,来自病毒的侵扰会越来越少从技术的角度谈病毒防治
病毒的防治技术总是在与病毒的较量中得到发展的。总的来讲,计算机病毒的防治技术分成四个方面,即检测、清除、免疫和防御。除了免疫技术因目前找不到通用的免疫方法而进展不大之外,其他三项技术都有相当的进展。
1.病毒预防技术
计算机病毒的预防技术是指通过一定的技术手段防止计算机病毒对系统进行传染和破坏,实际上它是一种特征判定技术,也可能是一种行为规则的判定技术。也就是说,计算机病毒的预防是根据病毒程序的特征对病毒进行分类处理,而后在程序运行中凡有类似的特征点出现则认定是计算机病毒。具体来说,计算机病毒的预防是通过阻止计算机病毒进入系统内存或阻止计算机病毒对磁盘的操作尤其是写操作,以达到保护系统的目的。
计算机病毒的预防技术主要包括磁盘引导区保护、加密可执行程序、读写控制技术和系统监控技术等。计算机病毒的预防应该包括两个部分:对已知病毒的预防和对未来病毒的预防。目前,对已知病毒预防可以采用特征判定技术或静态判定技术,对未知病毒的预防则是一种行为规则的判定技术即动态判定技术。
2.病毒检测技术
计算机病毒检测技术是指通过一定的技术手段判定出计算机病毒的一种技术。病毒检测技术主要有两种,一种是根据计算机病毒程序中的关键字、特征程序段内容、病毒特征及传染方式、文件长度的变化,在特征分类的基础上建立的病毒检测技术;另一种是不针对具体病毒程序自身检验技术,即对某个文件或数据段进行检验和计算并保存其结果,以后定期或不定期地根据保存的结果对该文件或数据段进行检验,若出现差异,即表示该文件或数据段的完整性已遭到破坏,从而检测到病毒的存在。
计算机病毒的检测技术已从早期的人工观察发展到自动检测某一类病毒,今天又发展到能自动对多个驱动器、上千种病毒自动扫描检测。目前,有些病毒检测软件还具有在不扩展由压缩软件生成的压缩文件内进行病毒检测的能力。现在大多数商品化的病毒检测软件不仅能够检查隐藏在磁盘文件和引导扇区内的病毒,还能检测内存中驻留的计算机病毒。
3.病毒消除技术
计算机病毒的消除技术是计算机病毒检测技术发展的必然结果,是病毒传染程序的一种逆过程。从原理上讲,只要病毒不进行破坏性的覆盖式写盘操作,病毒就可以被清除出计算机系统。安全、稳定的计算机病毒清除工作完全基于准确、可靠的病毒检测工作。
计算机病毒的消除严格地讲是计算机病毒检测的延伸,病毒消除是在检测发现特定的计算机病毒基础上,根据具体病毒的消除方法从传染的程序中除去计算机病毒代码并恢复文件的原有结构信息。
4.病毒免疫技术
计算机病毒的免疫技术目前没有很大发展。针对某一种病毒的免疫方法已没有人再用了,而目前尚没有出现通用的能对各种病毒都有免疫作用的技术,也许根本就不存在这样一种技术。现在,某些反病毒程序使用给可执行程序增加保护性外壳的方法,能在一定程度上起保护作用。若在增加保护性外壳前该文件已经被某种尚无法由检测程序识别的病毒感染,则此时作为免疫措施为该程序增加的保护性外壳就会将程序连同病毒一起保护在里面。等检测程序更新了版本,能够识别该病毒时又因为保护程序外壳的“护驾”,而不能检查出该病毒。另外,某些如DIR 2类的病毒仍能突破这种保护性外壳的免疫作用。计算机病毒及防治技术
随着计算机技术的发展和互联网的扩大,计算机已成为人们生活和工作中所依赖的重要工具。但与此同时,计算机病毒对计算机及网络的攻击与日俱增,而且破坏性日益严重。一旦病毒发作,它能冲击内存,影响性能,修改数据或删除文件。一些病毒甚至能擦除硬盘或使硬盘不可访问。病毒的最大危害是使整个网络陷于瘫痪。1999年,CIH病毒在我国发作造成了巨大的损失。可见,计算机病毒防治是一种保证信息安全的重要技术。
一、计算机病毒及特点
计算机病毒是将自身纳入另外的程序或文件的一段小程序。广义的计算机病毒还包括逻辑炸弹、特洛伊木马和系统陷阱入口等等。计算机病毒虽是一个小小程序,但它和普通的计算机程序不同,具有以下特点。
(1) 自我复制的能力。它可以隐藏在合法程序内部,随着人们的操作不断地进行自我复制。
(2) 它具有潜在的破坏力。系统被病毒感染后,病毒一般不即时发作,而是潜藏在系统中,等条件成熟后,便会发作,给系统带来严重的破坏。
(3) 它只能由人为编制而成。计算机病毒不可能随机自然产生,也不可能由编程失误造成。
(4) 它只能破坏系统程序,不可能损坏硬件设备。
(5) 它具有可传染性,并借助非法拷贝进行这种传染。计算机病毒通常都附着在其他程序上,在病毒发作时,有一部分是自己复制自己,并在一定条件下传染给其他程序;另一部分则是在特定条件下执行某种行为。
二、计算机病毒的典型症状
计算机病毒和人体中和病毒一样,它的发作也有自己的典型症状,主要有:
(1) 屏幕异常滚动,和行同步无关。
(2) 系统文件长度发生变化。
(3) 出现异常信息、异常图形。
(4) 运行速度减慢,系统引导、打印速度变慢。
(5) 存储容量异常减少。
(6) 系统不能由硬盘引导。
(7) 系统出现异常死机。
(8) 数据丢失。
(9) 执行异常操作。
病毒本身各具特性,病毒的症状也是各种各样的。有的病毒表现欲极强。如有一种叫"杨基"的病毒,它进入内存后,于每天下午五点准时奏响"杨基"歌。有的病毒则偏爱沉默。如有一种叫"幽灵"的病毒,系统被它感染后,毫无症状,除了COM文件增加608个字节外,对系统不造成危害。在众多的病毒中,以恶作剧多。如"周日"病毒,它每个星期天发作,这时屏幕会显示:"今天是星期天,何必这么辛苦呢?"之后,就会捣毁FAT表摧毁全部硬盘数据。
虽然病毒形式多种多样,但它们发作的目的都是为了破坏程序的完整性,篡改文件的精确性,使系统及其所支持的数据和服务失去功效。其主要表现形式有:
(1) 破坏文件分配表,使磁盘上的用户信息丢失。
(2) 改变磁盘分配,造成数据的错误。
(3) 删除磁盘上特定的文件,或破坏文件的数据。
(4) 影响内存中的常驻程序。
(5) 自我繁殖,侵占大量存储空间。
(6) 改变正常运行程序。
(7) 盗用用户的重要数据
三、计算机网络病毒的特点及危害
计算机网络病毒是在计算机网络上传播扩散,专门攻击网络薄弱环节、破坏网络资源的计算机病毒。
计算机病毒攻击网络的途径主要是通过软盘拷贝、互联网上的文件传输、硬件设备中的固化病毒程序等等。病毒还可以利用网络的薄弱环节攻击计算机网络。在现有的各计算机系统中都存在着一定的缺陷,尤其是网络系统软件方面存在着漏洞。因此网络病毒利用软件的破绽和研制时因疏忽而留下的"后门",大肆发起攻击。网络病毒可以突破网络的安全的防御,侵入到网络的主机上,导致计算机工作效率下降,资源遭到严重破坏,甚至造成网络系统的瘫痪。
计算机网络病毒破坏性极强。它不仅攻击程序,而且能破坏网络上的主机硬分区,造成主机无法启动,使整个网络无法工作。网络病毒有很强的繁殖或再生机制,一旦一个网络病毒深入到一个公共的实用工具或实用软件中,便会很快传播扩散到整个网络上。在传播扩散的同时,伪装隐蔽自己,不易被发现,其传播扩散的速度是单台计算机的几倍乃至几十倍。少则几个小时,多则一个星期,病毒就会充满整个网络。潜伏在网络中的病毒一旦等到触发条件成熟,便会立刻活跃起来,触发条件可以是用户名、内部时钟、网络的一次操作或是一次通讯对话等等。一种网络病毒并不针对、也不可能针对所有的计算机及网络主机进行攻击。限于操作系统的不同,一种网络病毒只有一种毒性,有的专门攻击微机DOS操作系统的计算机,有的专门攻击UNIX操作系统或MACINTOSH计算机。从以上这些特点来看,计算机网络病毒比单机病毒的危害更大,杀伤力也更强,必须采取措施加强防治。
四、计算机病毒的防治技术
(1)、计算机病毒防治基本方法
目前,反病毒技术所采取的基本方法,同医学上对付生理病毒的方法极其相似即:发现病毒――提取标本――解剖病毒――研制疫苗。
所谓发现病毒,就是靠外观检查法和对比检查法来检测是否有病毒存在。如看看是否有异常画面,文件容量是否改变,A盘引导扇区是否已经感染病毒等。一旦发现了新的病毒,反病毒专家就会设法提取病毒的样本,并对其进行解剖。
通过解剖,可以发现病毒的个体特征,即病毒本身所独有的特征字节串。这种特征字节串是从任意地方开始的、连续的、不长于64个字节的,并且是不含空格的。这种字节也被视为病毒的遗传基因。有了特征字节串就可以进一步建立病毒特征字节串的数据库,进而研制出反病毒软件,即病毒疫苗。
当用户使用反病毒软件时,实际上是反病毒软件在进行特征字节串扫描,以发现病毒数据库中的已知病毒。但这种反病毒软件也有缺点,就是它对新发现的病毒,只能采取改变程序的方法予以应付,而对未发现的病毒则无能为力。所以,用户只能通过不断升级反病毒软件版本,来对付新的病毒。采取解剖技术反病毒,只能视为"亡羊补牢"却不能"防患于未然"。
2、计算机网络病毒的防治方法
计算机网络中最主要的软硬件实体就是服务器和工作站,所以防治计算机网络病毒应该首先考虑这两个部分,另外加强综合治理也很重要。
(1) 基于工作站的防治技术。工作站就像是计算机网络的大门,只有把好这道大门,才能有效防止病毒的侵入。工作站防治病毒的方法有三种:一是软件防治,即定期不定期地用反病毒软件检测工作站的病毒感染情况。软件防治可以不断提高防治能力,但需人为地经常去启动软盘防病毒软件,因而不仅给工作人员增加了负担,而且很有可能在病毒发作后才能检测到。二是在工作站上插防病毒卡。防病毒卡可以达到实时检测的目的,但防病毒卡的升级不方便,从实际应用的效果看,对工作站的运行速度有一定的影响。三是在网络接口卡上安装防病病毒芯片。它将工作站存取控制与病毒防护合二为一,可以更加实时有效地保护工作站及通向服务器的桥梁。但这种方法同样也存在芯片上的软件版本升级不便的问题,而且对网络的传输速度也会产生一定的影响。
上述三种方法,都是防病毒的有效手段,应根据网络的规模、数据传输负荷等具体情况确定使用哪一种方法。
(2) 基于服务器的防治技术。网络服务器是计算机网络的中心,是网络的支柱。网络瘫痪的一个重要标志就是网络服务器瘫痪。网络服务器一旦被击垮,造成的损失是灾难性的、难以挽回和无法估量的。目前基于服务器的防治病毒的方法大都采用防病毒可装载模块(NLM),以提供实时扫描病毒的能力。有时也结合利用在服务器上的插防毒卡等技术,目的在于保护服务器不受病毒的攻击,从而切断病毒进一步传播的途径。
(3) 加强计算机网络的管理。计算机网络病毒的防治,单纯依靠技术手段是不可能十分有效地杜绝和防止其蔓延的,只有把技术手段和管理机制紧密结合起来,提高人们的防范意识,才有可能从根本上保护网络系统的安全运行。目前在网络病毒防治技术方面,基本处于被动防御的地位,但管理上应该积极主动。首先应从硬件设备及软件系统的使用、维护、管理、服务等各个环节制定出严格的规章制度,对网络系统的管理员及用户加强法制教育和职业道德教育,规范工作程序和操作规程,严惩从事非法活动的集体和个人。其次,应有专人负责具体事务,及时检查系统中出现病毒的症状,汇报出现的新问题、新情况,在网络工作站上经常做好病毒检测的工作,把好网络的第一道大门。除在服务器主机上采用防病毒手段外,还要定期用查毒软件检查服务器的病毒情况。最重要的是,应制定严格的管理制度和网络使用制度,提高自身的防毒意识;应跟踪网络病毒防治技术的发展,尽可能采用行之有效的新技术、新手段,建立"防杀结合、以防为主、以杀为辅、软硬互补、标本兼治"的最佳网络病毒安全模式。如何根据名称识别计算机病毒
很多时候大家已经用杀毒软件查出了自己的机子中了例如Backdoor.RmtBomb.12 、Trojan.Win32.SendIP.15 等等这些一串英文还带数字的病毒名,这时有些人就懵了,那么长一串的名字,我怎么知道是什么病毒啊?
其实只要我们掌握一些病毒的命名规则,我们就能通过杀毒软件的报告中出现的病毒名来判断该病毒的一些公有的特性了。
世界上那么多的病毒,反病毒公司为了方便管理,他们会按照病毒的特性,将病毒进行分类命名。虽然每个反病毒公司的命名规则都不太一样,但大体都是采用一个统一的命名方法来命名的。一般格式为:<病毒前缀>.<病毒名>.<病毒后缀> 。
病毒前缀是指一个病毒的种类,他是用来区别病毒的种族分类的。不同的种类的病毒,其前缀也是不同的。比如我们常见的木马病毒的前缀 Trojan ,蠕虫病毒的前缀是 Worm 等等还有其他的。
病毒名是指一个病毒的家族特征,是用来区别和标识病毒家族的,如以前著名的CIH病毒的家族名都是统一的“ CIH ”,还有近期闹得正欢的振荡波蠕虫病毒的家族名是“ Sasser ”。
病毒后缀是指一个病毒的变种特征,是用来区别具体某个家族病毒的某个变种的。一般都采用英文中的26个字母来表示,如 Worm.Sasser.b 就是指 振荡波蠕虫病毒的变种B,因此一般称为 “振荡波B变种”或者“振荡波变种B”。如果该病毒变种非常多(也表明该病毒生命力顽强 ^_^),可以采用数字与字母混合表示变种标识。
综上所述,一个病毒的前缀对我们快速的判断该病毒属于哪种类型的病毒是有非常大的帮助的。通过判断病毒的类型,就可以对这个病毒有个大概的评估(当然这需要积累一些常见病毒类型的相关知识,这不在本文讨论范围)。而通过病毒名我们可以利用查找资料等方式进一步了解该病毒的详细特征。病毒后缀能让我们知道现在在你机子里呆着的病毒是哪个变种。
下面附带一些常见的病毒前缀的解释(针对我们用得最多的Windows操作系统):
1、系统病毒
系统病毒的前缀为:Win32、PE、Win95、W32、W95等。这些病毒的一般公有的特性是可以感染windows操作系统的 *.exe 和 *.dll 文件,并通过这些文件进行传播。如CIH病毒。
2、蠕虫病毒
蠕虫病毒的前缀是:Worm。这种病毒的公有特性是通过网络或者系统漏洞进行传播,很大部分的蠕虫病毒都有向外发送带毒邮件,阻塞网络的特性。比如冲击波(阻塞网络),小邮差(发带毒邮件) 等。
3、木马病毒、黑客病毒
木马病毒其前缀是:Trojan,黑客病毒前缀名一般为 Hack 。木马病毒的公有特性是通过网络或者系统漏洞进入用户的系统并隐藏,然后向外界泄露用户的信息,而黑客病毒则有一个可视的界面,能对用户的电脑进行远程控制。木马、黑客病毒往往是成对出现的,即木马病毒负责侵入用户的电脑,而黑客病毒则会通过该木马病毒来进行控制。现在这两种类型都越来越趋向于整合了。一般的木马如QQ消息尾巴木马 Trojan.QQ3344 ,还有大家可能遇见比较多的针对网络游戏的木马病毒如 Trojan.LMir.PSW.60 。这里补充一点,病毒名中有PSW或者什么PWD之类的一般都表示这个病毒有盗取密码的功能(这些字母一般都为“密码”的英文“password”的缩写)一些黑客程序如:网络枭雄(her.Client)等。
4、脚本病毒
脚本病毒的前缀是:Script。脚本病毒的公有特性是使用脚本语言编写,通过网页进行的传播的病毒,如红色代码(Script.Redlof)——可不是我们的老大代码兄哦 ^_^。脚本病毒还会有如下前缀:VBS、JS(表明是何种脚本编写的),如欢乐时光(VBS.Happytime)、十四日(Js.Fortnight.c.s)等。
5、宏病毒
其实宏病毒是也是脚本病毒的一种,由于它的特殊性,因此在这里单独算成一类。宏病毒的前缀是:Macro,第二前缀是:Word、Word97、Excel、Excel97(也许还有别的)其中之一。凡是只感染WORD97及以前版本WORD文档的病毒采用Word97做为第二前缀,格式是:Macro.Word97;凡是只感染WORD97以后版本WORD文档的病毒采用Word做为第二前缀,格式是:Macro.Word;凡是只感染EXCEL97及以前版本EXCEL文档的病毒采用Excel97做为第二前缀,格式是:Macro.Excel97;凡是只感染EXCEL97以后版本EXCEL文档的病毒采用Excel做为第二前缀,格式是:Macro.Excel,依此类推。该类病毒的公有特性是能感染OFFICE系列文档,然后通过OFFICE通用模板进行传播,如:著名的美丽莎(Macro.Melissa)。
6、后门病毒
后门病毒的前缀是:Backdoor。该类病毒的公有特性是通过网络传播,给系统开后门,给用户电脑带来安全隐患。如54很多朋友遇到过的IRC后门Backdoor.IRCBot 。
7、病毒种植程序病毒
这类病毒的公有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下,由释放出来的新病毒产生破坏。如:冰河播种者(Dropper.BingHe2.2C)、MSN射手(Dropper.Worm.Smibag)等。
8.破坏性程序病毒
破坏性程序病毒的前缀是:Harm。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒便会直接对用户计算机产生破坏。如:格式化C盘(Harm.formatC.f)、杀手命令(mand.Killer)等。
9.玩笑病毒
玩笑病毒的前缀是:Joke。也称恶作剧病毒。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒会做出各种破坏操作来吓唬用户,其实病毒并没有对用户电脑进行任何破坏。如:女鬼(Joke.Girlghost)病毒。
10.捆绑机病毒
捆绑机病毒的前缀是:Binder。这类病毒的公有特性是病毒作者会使用特定的捆绑程序将病毒与一些应用程序如QQ、IE捆绑起来,表面上看是一个正常的文件,当用户运行这些捆绑病毒时,会表面上运行这些应用程序,然后隐藏运行捆绑在一起的病毒,从而给用户造成危害。如:捆绑QQ(Binder.QQPass.QQBin)、系统杀手(Binder.killsys)等。
以上为比较常见的病毒前缀,有时候我们还会看到一些其他的,但比较少见,这里简单提一下:
DoS:会针对某台主机或者服务器进行DoS攻击;
Exploit:会自动通过溢出对方或者自己的系统漏洞来传播自身,或者他本身就是一个用于Hacking的溢出工具;
HackTool:黑客工具,也许本身并不破坏你的机子,但是会被别人加以利用来用你做替身去破坏别人。
你可以在查出某个病毒以后通过以上所说的方法来初步判断所中病毒的基本情况,达到知己知彼的效果。在杀毒无法自动查杀,打算采用手工方式的时候这些信息会给你很大的帮助。计算机病毒的特征
非授权可执行性 用户通常调用执行一个程序时,把系统控制交给这个程序,并分配给他相应系统资源,如内存,从而使之能够运行完成用户的需求。因此程序执行的过程对用户是透明的。而计算机病毒是非法程序,正常用户是不会明知是病毒程序,而故意调用执行。但由于计算机病毒具有正常程序的一切特性:可存储性、可执行性。它隐藏在合法的程序或数据中,当用户运行正常程序时,病毒伺机窃取到系统的控制权,得以抢先运行,然而此时用户还认为在执行正常程序。
隐蔽性 计算机病毒是一种具有很高编程技巧、短小精悍的可执行程序。它通常粘附在正常程序之中或磁盘引导扇区中,或者磁盘上标为坏簇的扇区中,以及一些空闲概率较大的扇区中,这是它的非法可存储性。病毒想方设法隐藏自身,就是为了防止用户察觉。
传染性 传染性是计算机病毒最重要的特征,是判断一段程序代码是否为计算机病毒的依据。病毒程序一旦侵入计算机系统就开始搜索可以传染的程序或者磁介质,然后通过自我复制迅速传播。由于目前计算机网络日益发达,计算机病毒可以在极短的时间内,通过像 Internet这样的网络传遍世界。
潜伏性 计算机病毒具有依附于其他媒体而寄生的能力,这种媒体我们称之为计算机病毒的宿主。依靠病毒的寄生能力,病毒传染合法的程序和系统后,不立即发作,而是悄悄隐藏起来,然后在用户不察觉的情况下进行传染。这样,病毒的潜伏性越好,它在系统中存在的时间也就越长,病毒传染的范围也越广,其危害性也越大。
表现性或破坏性 无论何种病毒程序一旦侵入系统都会对操作系统的运行造成不同程度的影响。即使不直接产生破坏作用的病毒程序也要占用系统资源(如占用内存空间,占用磁盘存储空间以及系统运行时间等)。而绝大多数病毒程序要显示一些文字或图像,影响系统的正常运行,还有一些病毒程序删除文件,加密磁盘中的数据,甚至摧毁整个系统和数据,使之无法恢复,造成无可挽回的损失。因此,病毒程序的副作用轻者降低系统工作效率,重者导致系统崩溃、数据丢失。病毒程序的表现性或破坏性体现了病毒设计者的真正意图。
可触发性 计算机病毒一般都有一个或者几个触发条件。满足其触发条件或者激活病毒的传染机制,使之进行传染;或者激活病毒的表现部分或破坏部分。触发的实质是一种条件的控制,病毒程序可以依据设计者的要求,在一定条件下实施攻击。这个条件可以是敲入特定字符,使用特定文件,某个特定日期或特定时刻,或者是病毒内置的计数器达到一定次数等。计算机病毒的分类
从第一个病毒出世以来,究竟世界上有多少种病毒,说法不一。无论多少种,病毒的数量仍在不断增加。据国外统计,计算机病毒以10种/周的速度递增,另据我国公安部统计,国内以4 -6种/月的速度递增。不过,孙悟空再厉害,也逃不过如来佛的手掌心,病毒再多,也逃不出下列种类。病毒分类是为了更好地了解它们。
按照计算机病毒的特点及特性,计算机病毒的分类方法有许多种。因此,同一种病毒可能有多种不同的分法。
1.按照计算机病毒攻击的系统分类
(1)攻击DOS系统的病毒。这类病毒出现最早、最多,变种也最多,目前我国出现的计算机病毒基本上都是这类病毒,此类病毒占病毒总数的99%。
(2)攻击Windows系统的病毒。由于Windows的图形用户界面(GUI)和多任务操作系统深受用户的欢迎, Windows正逐渐取代DOS,从而成为病毒攻击的主要对象。目前发现的首例破坏计算机硬件的CIH病毒就是一个Windows95/98病毒。
(3)攻击UNIX系统的病毒。当前,UNIX系统应用非常广泛,并且许多大型的操作系统均采用 UNIX作为其主要的操作系统,所以UNIX病毒的出现,对人类的信息处理也是一个严重的威胁。
(4)攻击OS/2系统的病毒。世界上已经发现第一个攻击OS/2系统的病毒,它虽然简单,但也是一个不祥之兆。
2.按照病毒的攻击机型分类
(1)攻击微型计算机的病毒。这是世界上传染最为广泛的一种病毒。
(2)攻击小型机的计算机病毒。小型机的应用范围是极为广泛的,它既可以作为网络的一个节点机, 也可以作为小的计算机网络的主机。起初,人们认为计算机病毒只有在微型计算机上才能发生而小型机则不会受到病毒的侵扰,但自1988年11月份Internet网络受到worm程序的攻击后,使得人们认识到小型机也同样不能免遭计算机病毒的攻击。
(3)攻击工作站的计算机病毒。近几年,计算机工作站有了较大的进展,并且应用范围也有了较大的发展, 所以我们不难想象,攻击计算机工作站的病毒的出现也是对信息系统的一大威胁。
3.按照计算机病毒的链结方式分类
由于计算机病毒本身必须有一个攻击对象以实现对计算机系统的攻击,计算机病毒所攻击的对象是计算机系统可执
行的部分。
(1)源码型病毒
该病毒攻击高级语言编写的程序,该病毒在高级语言所编写的程序编译前插入到原程序中,经编译成为合法程序的一部分。
(2)嵌入型病毒
这种病毒是将自身嵌入到现有程序中,把计算机病毒的主体程序与其攻击的对象以插入的方式链接。这种计算机病毒是难以编写的)一旦侵入程序体后也较难消除。如果同时采用多态性病毒技术、超级病毒技术和隐蔽性病毒技术,将给当前的反病毒技术带来严峻的挑战。
(3)外壳型病毒
外壳型病毒将其自身包围在主程序的四周,对原来的程序不作修改。这种病毒最为常见,易于编写,也易于发现,一般测试文件的大小即可知。
(4)操作系统型病毒
这种病毒用它自己的程序意图加入或取代部分操作系统进行工作,具有很强的破坏力,可以导致整个系统的瘫痪。圆点病毒和大麻病毒就是典型的操作系统型病毒。这种病毒在运行时,用自己的逻辑部分取代操作系统的合法程序模块,根据病毒自身的特点和被替代的操作系统中合法程序模块在操作系统中运行的地位与作用以及病毒取代操作系统的取代方式等,对操作系统进行破坏。
4。按照计算机病毒的破坏情况分类
按照计算机病毒的破坏情况可分两类:
(1)良性计算机病毒
良性病毒是指其不包含有立即对计算机系统产生直接破坏作用的代码。这类病毒为了表现其存在,只是不停地进行扩散,从一台计算机传染到另一台,并不破坏计算机内的数据。有些人对这类计算机病毒的传染不以为然,认为这只是恶作剧,没什么关系。其实良性、恶性都是相对而言的。良性病毒取得系统控制权后,会导致整个系统运行效率降低,系统可用内存总数减少,使某些应用程序不能运行。它还与操作系统和应用程序争抢CPU的控制权, 时时导致整个系统死锁,给正常操作带来麻烦。有时系统内还会出现几种病毒交叉感染的现象,一个文件不停地反复被几种病毒所感染。例如原来只有10KB的文件变成约90KB,就是被几种病毒反复感染了数十次。这不仅消耗掉大量宝贵的磁盘存储空间,而且整个计算机系统也由于多种病毒寄生于其中而无法正常工作。因此也不能轻视所谓良性病毒对计算机系统造成的损害。
(2)恶性计算机病毒
恶性病毒就是指在其代码中包含有损伤和破坏计算机系统的操作,在其传染或发作时会对系统产生直接的破坏作用。这类病毒是很多的,如米开朗基罗病毒。当米氏病毒发作时,硬盘的前17个扇区将被彻底破坏,使整个硬盘上的数据无法被恢复,造成的损失是无法挽回的。有的病毒还会对硬盘做格式化等破坏。这些操作代码都是刻意编写进病毒的,这是其本性之一。因此这类恶性病毒是很危险的,应当注意防范。所幸防病毒系统可以通过监控系统内的这类异常动作识别出计算机病毒的存在与否,或至少发出警报提醒用户注意。
5.按照计算机病毒的寄生部位或传染对象分类
传染性是计算机病毒的本质属性,根据寄生部位或传染对象分类,也即根据计算机病毒传染方式进行分类,有以下几种:
(1)磁盘引导区传染的计算机病毒
磁盘引导区传染的病毒主要是用病毒的全部或部分逻辑取代正常的引导记录,而将正常的引导记录隐藏在磁盘的其他地方。由于引导区是磁盘能正常使用的先决条件,因此,这种病毒在运行的一开始(如系统启动)就能获得控制权,其传染性较大。由于在磁盘的引导区内存储着需要使用的重要信息,如果对磁盘上被移走的正常引导记录不进行保护,则在运行过程中就会导致引导记录的破坏。引导区传染的计算机病毒较多,例如,“大麻”和“小球”病毒就是这类病毒。
(2)操作系统传染的计算机病毒
操作系统是一个计算机系统得以运行的支持环境,它包括。COM、。EXE等许多可执行程序及程序模块。操作系统传染的计算机病毒就是利用操作系统中所提供的一些程序及程序模块寄生并传染的。通常,这类病毒作为操作系统的一部分,只要计算机开始工作,病毒就处在随时被触发的状态。而操作系统的开放性和不绝对完善性给这类病毒出现的可能性与传染性提供了方便。操作系统传染的病毒目前已广泛存在,“黑色星期五”即为此类病毒。
(3)可执行程序传染的计算机病毒
可执行程序传染的病毒通常寄生在可执行程序中,一旦程序被执行,病毒也就被激活,病毒程序首先被执行,并将自身驻留内存,然后设置触发条件,进行传染。
对于以上三种病毒的分类,实际上可以归纳为两大类:一类是引导扇区型传染的计算机病毒;另一类是可执行文件型传染的计算机病毒。
6.按照计算机病毒激活的时间分类
按照计算机病毒激活的时间可分为定时的和随机的。
定时病毒仅在某一特定时间才发作,而随机病毒一般不是由时钟来激活的。
7.按照传播媒介分类
按照计算机病毒的传播媒介来分类,可分为单机病毒和网络病毒。
(1)单机病毒
单机病毒的载体是磁盘,常见的是病毒从软盘传人硬盘,感染系统,然后再传染其他软盘,软盘又传染其他系统。
(2)网络病毒
网络病毒的传播媒介不再是移动式载体,而是网络通道,这种病毒的传染能力更强,破坏力更大。
8.按照寄生方式和传染途径分类
人们习惯将计算机病毒按寄生方式和传染途径来分类。计算机病毒按其寄生方式大致可分为两类,一是引导型病毒,二是文件型病毒;它们再按其传染途径又可分为驻留内存型和不驻留内存型,驻留内存型按其驻留内存方式又可细分。
混合型病毒集引导型和文件型病毒特性于一体。
引导型病毒会去改写(即一般所说的“感染”)磁盘上的引导扇区(BOOT SECTOR)的内容, 软盘或硬盘都有可能感染病毒。再不然就是改写硬盘上的分区表(FAT)。如果用已感染病毒的软盘来启动的话,则会感染硬盘。
引导型病毒是一种在ROM BIOS之后,系统引导时出现的病毒,它先于操作系统,依托的环境是BIOS中断服务程序。引导型病毒是利用操作系统的引导模块放在某个固定的位置,并且控制权的转交方式是以物理地址为依据,而不是以操作系统引导区的内容为依据,因而病毒占据该物理位置即可获得控制权,而将真正的引导区内容搬家转移或替换,待病毒程序被执行后,将控制权交给真正的引导区内容,使得这个带病毒的系统看似正常运转,而病毒己隐藏在系统中伺机传染、发作。
有的病毒会潜伏一段时间, 等到它所设置的日期时才发作。 有的则会在发作时在屏幕上显示一些带有“宣示”或“警告”意味的信息。这些信息不外是叫您不要非法拷贝软件,不然就是显示特定的图形,再不然就是放一段音乐给您听……。病毒发作后,不是摧毁分区表,导致无法启动,就是直接FORMAT硬盘。也有一部分引导型病毒的“手段”没有那么狠,不会破坏硬盘数据,只是搞些“声光效果”让您虚惊一场。
引导型病毒几乎清一色都会常驻在内存中,差别只在于内存中的位置。(所谓“常驻”,是指应用程序把要执行的部分在内存中驻留一份。这样就可不必在每次要执行它的时候都到硬盘中搜寻,以提高效率)。
引导型病毒按其寄生对象的不同又可分为两类,即MBR(主引导区)病毒, BR(引导区)病毒。 MBR病毒也称为分区病毒,将病毒寄生在硬盘分区主引导程序所占据的硬盘0头0柱面第1个扇区中。典型的病毒有大麻(Stoned)、2
708等。 BR病毒是将病毒寄生在硬盘逻辑0扇区或软盘逻辑0扇区(即0面0道第1个扇区)。典型的病毒有Brain、 小球病毒等。
顾名思义,文件型病毒主要以感染文件扩展名为 .COM、.EXE和,OVL等可执行程序为主。它的安装必须借助于病毒的载体程序,即要运行病毒的载体程序,方能把文件型病毒引人内存。已感染病毒的文件执行速度会减缓,甚至完全无法执行。有些文件遭感染后,一执行就会遭到删除。大多数的文件型病毒都会把它们自己的程序码复制到其宿主的开头或结尾处。这会造成已感染病毒文件的长度变长,但用户不一定能用DIR命令列出其感染病毒前的长度。 也有部分病毒是直接改写“受害文件”的程序码,因此感染病毒后文件的长度仍然维持不变。
感染病毒的文件被执行后,病毒通常会趁机再对下一个文件进行感染。有的高明一点的病毒,会在每次进行感染的时候,针对其新宿主的状况而编写新的病毒码,然后才进行感染,因此,这种病毒没有固定的病毒码—以扫描病毒码的方式来检测病毒的查毒软件,遇上这种病毒可就一点用都没有了。但反病毒软件随着病毒技术的发展而发展,针对这种病毒现在也有了有效手段。
大多数文件型病毒都是常驻在内存中的。
文件型病毒分为源码型病毒、嵌入型病毒和外壳型病毒。源码型病毒是用高级语言编写的,若不进行汇编、链接则无法传染扩散。嵌入型病毒是嵌入在程序的中间,它只能针对某个具体程序,如dBASE病毒。 这两类病毒受环境限制尚不多见。目前流行的文件型病毒几乎都是外壳型病毒,这类病毒寄生在宿主程序的前面或后面,并修改程序的第一个执行指令,使病毒先于宿主程序执行,这样随着宿主程序的使用而传染扩散。
文件外壳型病毒按其驻留内存方式可分为高端驻留型、常规驻留型、内存控制链驻留型、设备程序补丁驻留型和不驻留内存型。
混合型病毒综合系统型和文件型病毒的特性,它的“性情”也就比系统型和文件型病毒更为“凶残”。此种病毒透过这两种方式来感染,更增加了病毒的传染性以及存活率。不管以哪种方式传染,只要中毒就会经开机或执行程序而感染其他的磁盘或文件,此种病毒也是最难杀灭的。
引导型病毒相对文件型病毒来讲,破坏性较大,但为数较少,直到90年代中期,文件型病毒还是最流行的病毒。但近几年情形有所变化,宏病毒后来居上,据美国国家计算机安全协会统计,这位“后起之秀”已占目前全部病毒数量的80%以上。另外,宏病毒还可衍生出各种变形变种病毒,这种“父生子子生孙”的传播方式实在让许多系统防不胜防,这也使宏病毒成为威胁计算机系统的“第一杀手”。
随着微软公司Word字处理软件的广泛使用和计算机网络尤其是Internet的推广普及,病毒家族又出现一种新成员,这就是宏病毒。宏病毒是一种寄存于文档或模板的宏中的计算机病毒。一旦打开这样的文档,宏病毒就会被激活,转移到计算机上,并驻留在Normal模板上。从此以后,所有自动保存的文档都会“感染”上这种宏病毒,而且如果其他用户打开了感染病毒的文档,宏病毒又会转移到他的计算机上。计算机病毒的发展趋势及KV3000的反病毒对策
北京江民新科技术有限公司
王江民
关键词: 病毒、网络蠕虫、变形病毒、病毒生产机、特络依木马、有害代码、抗病毒软件、数据备份、快速升级、灾难恢复
一 摘 要 ┃
文章概略的揭示了计算机病毒出现由简单到复杂的特性与目的,编病毒者还抛出了“病毒自动生产机”软件。文中指出了计算机病毒自身结构主要将向能对抗反病毒手段的变形病毒方向发展,并把这类病毒归纳为一维、二维、三维、四维变形病毒,使人们站在一定的高度上对变形病毒有一个较清楚的认识,以便今后针对其采取有效的措施进行主动诊治。文中提到的病毒名字都是作者亲自编程杀过的, 作者总结了多年的反病毒经验,提出抗病毒最基本的做法是:一备份,二快升级,三灾难恢复。 二 我们将与病毒长久共存 ┃
人类进入了信息社会创造了智能机器(电子计算机), 同时也创造了机器(电子计算机)病毒,福祸同降。 人类在信息社会更容易与机器(电子计算机)融为一个整体,可是,破坏这个整体的一个方面将是机器病毒(计算机病毒),人类同时在与生物病毒作斗争时又要与机器病毒作斗争,这是人类在方便自己时也在为难自己。
从一九八三年计算机病毒首次被确认以来,并没有引起人们的重视。直到一九八七年计算机病毒才开使受到世界范围内的普遍重视。我国于一九八九年在计算机界发现病毒。至今,全世界已发现近数万种病毒,并且还在高速度的增加。
由于计算机软件的脆弱性与互联网的开放性,我们将与病毒长久共存。而且,病毒主要朝着能更好的隐蔽自己并对抗反病毒手段的方向发展。同时,病毒已被人们利用其特有的性质与其他功能相结合进行有目的的活动。
病毒的花样不断翻新,编程手段越来越高,防不胜防。特别是Internet的广泛应用,促进了病毒的空前活跃,网络蠕虫病毒传播更快更广,Windows病毒更加复杂,带有黑客性质的病毒和特络依木马等有害代码大量涌现。
下面按病毒先后出现的顺序,简要例举部分病毒的特性就可看出其发展过程。
三 病毒的发展过程 ┃
20世纪60年代初,美国贝尔实验室里,三个年轻的程序员编写了一个名为“磁芯大战”的游戏,游戏中通过复制自身来摆脱对方的控制,这就是所谓“病毒”的第一个雏形。
20世纪70年代,美国作家雷恩在其出版的<
>一书中构思了一种能够自我复制的计算机程序,并第一次称之为“计算机病毒”。
1983年11月,在国际计算机安全学术研讨会上,美国计算机专家首次将病毒程序在VAX/750计算机上进行了实验,世界上第一个计算机病毒就这样出生在实验室中。
20世纪80年代后期,巴基斯坦有两个编软件为生的兄弟,他们为了打击那些盗版软件的使用者,设计出了一个名为“巴基斯坦智囊”的病毒,该病毒只传染软盘引导。这就是最早在世界上流行的一个真正的病毒。
1988年至1989年,我国也相继出现了也能感染硬盘和软盘引导区的Stoned(石头)病毒,该病毒体代码中有明显的标志“Your PC is now Stoned!”、“LEGALISE MARIJUANA!”,也称为“大麻”病毒”等。该病毒感染软硬盘0面0道1扇区,并修改部分中断向量表。该病毒不隐藏也不加密自身代码,所以很容易被查出和解除。类似这种特性的还有“小球、Azusa/Hong-Kong/2708、 Michaelangelo,这些都是从国外传染进来的。而国产的有Bloody、 Torch、Disk Killer等病毒,实际上它们大多数是Stoned病毒的翻版。
20世纪90年代初,感染文件的病毒有Jerusalem(黑色13号星期五)、 YankeeDoole、 Liberty、 1575、 Traveller、1465、2062,4096等,主要感染.COM和.EXE文件。这类病毒修改了部分中断向量表,被感染的文件明显的增加了字节数,并且病毒代码主体没有加密,也容易被查出和解除。 这些病毒中, 略有对抗反病毒手段的只有Yankee Doole病毒, 当它发现你用DEBUG工具跟踪它的话,它会自动从文件中逃走。
接着, 又一些能对自身进行简单加密的病毒相继出现,有1366(DaLian)、1824(N64)、1741(Dong)、1100等病毒。它们加密的目的主要是防止跟踪或掩盖有关特征等。
在内存有1741病毒时, 用DIR列目录表,病毒会掩盖被感染文件所增加的字节数,使看起来字节数很正常。
而1345-64185病毒却每传染一个目标就增加一个字节, 增到64185个字节时,文件就被破坏。
以后又出现了引导区、文件型“双料”病毒,这类病毒既感染磁盘引导区、又感染可执行文件,常见的有Flip/Omicron、 XqR(New century)、Invader/侵入者、 Plastique/塑料炸弹、3584/郑州(狼)、3072(秋天的水)、ALFA/3072-2、Ghost/One_Half/3544(幽灵)、Natas(幽灵王)、TPVO/3783等,如果只解除了文件上的病毒,而没解除硬盘主引导区的病毒,系统引导时又将病毒调入内存,会重新感染文件。如果只解除了主引导区的病毒,而可执行文件上的病毒没解除,一执行带毒的文件时,就又将硬盘主引导区感染。
Flip/Omicron(颠倒)、XqR(New century新世纪)这两种病毒都设计有对抗反病毒技术的手段,Flip(颠倒)病毒对其自身代码进行了随机加密,变化无穷,使绝大部分病毒代码与前一被感染目标中的病毒代码几乎没有三个连续的字节是相同的,该病毒在主引导区只潜藏了少量的代码,病毒另将自身全部代码潜藏于硬盘最后6个扇区中,并将硬盘分区表和DOS引导区中的磁盘实用扇区数减少了6个扇区,所以再次起动系统后, 硬盘的实用空间就减少了6个扇区。这样,原主引导记录和病毒主程序就保存在硬盘实用扇区外,避免了其它程序的覆盖,而且用DEBUG的L命令也不能调出查看,就是用FORMAT进行格式化也不能消除病毒,可见,病毒编制者用意深切!与此相似的还有Denzuko病毒。
XqR(New century新世纪)病毒也有它更狡猾的一面,它监视着INT13、INT21中断有关参数,当你要查看或搜索被其感染了的主引导记录时,病毒就调换出正常的主引导记录给你查看或让你搜索,使你认为一切正常,病毒却蒙混过关。病毒的这种对抗方法,我们在此称为:病毒在内存时,具有“反串”(反转)功能。这类病毒还有Mask(假面具)、2709/ROSE(玫瑰)、One_Half/3544(幽灵)、Natas/4744、Monkey、PC_LOCK、DIE_HARD/HD2、GranmaGrave/Burglar/1150、 3783病毒等,现在的新病毒越来越多的使用这种功能来对抗按装在硬盘上的抗病毒软件,但用无病毒系统软盘引导机器后,病毒就失去了“反串”(反转)功能。
1345、 1820、PCTCOPY-2000病毒却直接隐藏在文件内的空闲(0代码)部位,从外表上看,文件一个字节也没增加。
INT60(0002)病毒隐藏的更加神秘,它不修改主引导记录, 只将硬盘分区表修改了两个字节,使那些只检查主引导记录的程序认为完全正常,病毒主体却隐藏在这两个字节指向的区域。硬盘引导时,ROM-BIOS程序糊理糊涂的按这两个字节的引向,将病毒激活。病毒太狡猾了,只需两个字节,就可以牵着机器的鼻子走!
Monkey(猴子)、PC_LOCK(加密锁)病毒将硬盘分区表加密后再隐藏起来, 如果轻易将硬盘主引导记录更换,或用FDISK/MBR格式轻易将硬盘主引导记录更换, 那么,就再进不了硬盘了,数据也取不出来了,所以,不要轻易使用FDISK/MBR格式。
1992年以来,DIR2-3、DIR2-6、NEW DIR2病毒以一种全新的面貌出现,具有感染力极强,无任何表现,不修改中断向量表,而直接修改系统关键中断的内核,修改可执行文件的首簇数, 将文件名字与文件代码主体分离。 在系统有此病毒的情况下,一切就象没发生一样。而在系统无病毒时,你用无病毒的文件去覆盖有病毒的文件,灾难就会发生,全盘所有被感染的可执行文件内容都是刚覆盖进去的文件内容。这是病毒“我死你也活不成”的罪恶伎俩。该病毒的出现,使病毒又多了一种新类型。
20世纪内,决大多数病毒是基于DOS系统的,有80%的病毒能在WINDOWS中传染。TPVO/3783病毒是“双料性”、(传染引导区、文件)“双重性”(DOS、WINDOWS)病毒,这是病毒随着操作系统发展而发展。当然,Internet的广泛应用,Java恶意代码病毒也出现了。
脚本病毒“HAPPYTIME快乐时光”是一种传染能力非常强的病毒。
该病毒利用体内VBScript代码在本地的可执行性(通过Windows Script Host进行),对当前计算机进行感染和破坏。即,一旦我们将鼠标箭头移到带有“HAPPYTIME快乐时光”病毒体的邮件名上时,不必打开信件,就能受到HAPPYTIME“快乐时光”病毒的感染,该病毒传染能力很强。
近几年,出现了近万种WORD(MACRO宏)病毒,并以迅猛的势头发展,已形成了病毒的另一大派系。由于宏病毒编写容易,不分操作系统,再加上Internet网上用WORD格式文件进行大量的交流,宏病毒会潜伏在这些WORD文件里,被人们在Internet网上传来传去。
早在1995年时,出现了一个更危险的信号,在我们对众多的病毒剥析中,发现部分病毒好象出于一个家族,其“遗传基因”相同,简单的说,是“同族”病毒。但绝不是其他好奇者简单的修改部分代码而产生的“改形”病毒。
“改形”病毒的定义此应简单的说,与“原种”病毒的代码长度相差不大,绝大多数病毒代码与“原种”的代码相同, 并且相同的代码其位置也相同, 否则就是一种新的病毒。
大量具有相同“遗传基因”的“同族”病毒的涌现,使人不的不怀疑“病毒生产机”软件已出现。1996年下半年在国内终于发现了“G2、IVP、VCL”三种“病毒生产机软件”,不法之徒,可以用来编出千万种新病毒。目前国际上已有上百种“病毒生产机”软件。
这种“病毒生产机”软件可不用绞尽脑汁的去编程序,便会轻易的自动生产出大量的“同族”新病毒。这些病毒代码长度各不相同,自我加密、解密的密钥也不相同,原文件头重要参数的保存地址不同,病毒的发作条件和现象不同,但是,这些病毒的主体构造和原理基本相同。
“病毒生产机”软件,其“规格”有专门能生产变形病毒的、有专门能生产普通病毒的。目前,国内发现的、或有部分变形能力的病毒生产机有“G2、 IVP、VCL病毒生产机等十几种。具备变形能力的有CLME、DAME-SP/MTE病毒生产机等。它们生产的病毒都有“遗传基因”于相同的特点,没有广谱性能的查毒软件,只能是知道一种,查一种,难于应付“病毒生产机”生产出的大量新病毒。
据港报载, 香港已有人也模仿欧美的Mutation Eneine(变形金刚病毒生产机)软件编写出了一种称为CLME(Crazy Lord Mutation Eneine)即“疯狂贵族变形金刚病毒生产机”, 已放出了几种变形病毒, 其中一种名为CLME.1528。 国内也发现了一种名为CLME.1996、DAME-SP/MTE的病毒。 更令人可恶的是,编程者公然在BBS站和国际互联网Internet中纵恿他人下传。“病毒生产机”的存在,随时就有可能存在着“病毒暴增”的危机!
危机一个接一个,网络蠕虫病毒I-WORM.AnnaKournikova,就是一种VBS/I-WORM病毒生产机生产的,它一出来,短时间内就传便了全世界。这种病毒生产机也传到了我国。
Windows9x、win2000操作系统的发展,也使病毒种类和样随其变化而变化。以下例举几个点型的WINDOWS病毒。
WIN32.CAW.1XXX病毒是驻留内存的Win32病毒,它感染本地和网络中的PE格式文件。该病毒的产生是来源一种32位的Windows“CAW病毒生产机”, 该“CAW病毒生产机”是国际上一家有名的病毒编写组织开发的。
“CAW病毒生产机”能生产出来各种各样的CAW病毒,有加密的和不加密的,其字节数一般在1000至2000内。目前在国内流行的有:CAW.1531、CAW.1525、CAW.1457、CAW.1419、CAW.1416、CAW.1335、CAW.1226等,在国际上流行的CAW.1XXX病毒种类更多。
病毒有以下几项破坏:
1、当病毒驻留内存时,病毒会在每日的整点时间,如1:00, 6:00, 10:00,...,病毒就会删除一些特定的文件,如:.BMP、.JPG、.DOC、.WRI、.BAS、.SAV、.PDF、.RTF、.TXT、WINWORD.EXE。
2、当7月7日的时候CAW病毒就会发作,删除硬盘上的所有文件。
3、某些CAW.1XXX病毒有缺陷,被传染上该病毒的文件被破坏了,杀毒后文件也无法修复,只能用正常文件覆盖坏文件。病毒还有一个缺陷,即重复多层次感染文件,容易将文件写坏了。
WIN32.FunLove.4099病毒感染本地和网络中的PE-EXE文件。
病毒本身就是只具有'.code'部分PE格式的可执行文件。
当染毒的文件被运行时,该病毒将在Windows\system目录下创建FLCSS.EXE文件,在其中只写入病毒的纯代码部分,并运行这个生成的文件。
一旦在创建FLCSS.EXE文件的时候发生错误,病毒将从染毒的主机文件中运行传染模块。该传染模块被作为独立的线程在后台运行,主机程序在执行时几乎没有可察觉的延时。
传染模块将扫描本地从 C: to Z:的所有驱动器,然后搜索网络资源,扫描网络中的子目录树并感染具有.OCX, .SCR or .EXE扩展名的PE文件。
这个病毒类似Bolzano病毒那样修补NTLDR和WINNT\System32\ntoskrnl.exe,被修补的文件不可以恢复只能通过备份来恢复。
WIN32.KRIZ.4250病毒已大面积传播, 这是一个变形病毒, 变化多端, 每年的12月25日象CIH病毒一样破坏硬盘数据与主板BIOS,该病毒目前也有许多字节数不同的变种。
病毒的种类、传染和攻击的手法越来越高超,一种流传到国内的“子母弹”病毒Demiurg,被北京江民公司反病毒应急中心捕获。
该病毒被激活后,会象“子母弹”一样,分裂出多种类型的病毒来分别攻击并感染计算机内不同类型的文件。
该病毒分裂时,会在C盘根目录下产生出几个具有独立传染能力和传染各不相同文件性质的子病毒。它们的名字是:DEMIURG.EXE、DEMIURG.SYS、DEMIURG.XLS和EXCEL的启动子目录内的XLSTART.XLS,这些都是子病毒,分别传染各自不同的文件。
该病毒感染文件的类型比较多,它既感染DOS可执行程序、批处理文件、WINDOWS的可执行程序,而且还感染EXCEL97/2000文件。
该病毒感染的文件的具体类型有:DOS下的COM文件、DOS下的EXE文件、BAT文件、XLS文件以及WINDOWS下的PE格式的可执行文件、NE格式的可执行文件、内核文件KERNEL32.DLL等文件。
该病毒感染EXCEL97/2000文件的长度为16354字节,感染WIN_PE文件的长度为17408字节, 感染、.EXE文件的长度为27552字节左右。
该病毒感染EXCEL文档的过程是将一个受感染的文件放在EXCEL的启动子目录XLSTART目录下,同时在系统的根目录下建立一个文件DEMIURG.SYS,每次EXCEL启动时,EXCEL会自动调用\XLSTART子目录下的受病毒感染的文件,进而感染别的EXCEL文件。
Internet网的发展,激发了病毒更加广泛的活力。病毒通过网络的快速传播和破坏,为世界带来了一次一次的巨大灾难。
1999年2月,“美丽杀”病毒席卷欧美大陆,是世界上最大的一次病毒浩劫,也是最大的一次网络蠕虫大泛滥。
1998年2月,台湾省的陈盈豪,编写出了破坏性极大的Windows恶性病毒CIH-1.2版,并定于每年的4月26日发作破坏,然后,悄悄的潜伏在网上的一些供人下载的软件中。
可是,两个月的时间,被人下载的不多,到了4月26日,病毒只在台湾省少量发作,并没引起重视。心理扭曲的陈盈豪不甘心,又炮制了CIH-1.3版,并将破坏时间设在6月26日。
可是,还是两个月的时间,1.3版被人下载的不多,6月26日也没多大破坏。心理扭曲到极点的陈盈豪有点恼怒,没看到很大的破坏,心理很不痛快。7月,又炮制出了CIH-1.4版。这次,他干脆将破坏时间设为每个月的26日,他要月月看到人们遭殃。
就在那一年,很不巧的是,当时在国内外上映的台湾电视剧的女主角“小龙女”的肖像被广泛用在计算机中的屏幕保护程序中,CIH-1.2、CIH-1.4病毒也被悄悄注进该程序中,大量的用户从网上下载使用,同时,该程序也被广泛的装进各种各样的盗版光盘中,三种版本的CIH病毒被广泛的扩散,当时的反病毒公司也没有及时的发现。
因此,这种全新的Windows病毒到处传播,危机的阴影迅速的笼罩着四方。
一个月后,也就是到了1998年8月26日,CIH-1.4病毒首先跳出来发作,我国部分地区遭到袭击,但损害面积不大。事后,为了必免更大灾害,我国政府职能部门公安部发出了通缉三种CIH病毒的通告。可是,使用正版杀毒软件的意识不被一些用户重视,又不经常保持升级杀毒软件,CIH-1.2病毒又经过一年的传播,已传遍全世界,世界性的巨大杀机潜伏下来了,一场人类史无前例的信息大却难即将暴发。
1999年4月26日,一个计算机行业难以忘却的日子,也就是到了CIH-1.2病毒第二年的发作日,人们起早一上班便轻松的打开计算机准备工作,可是,打开一台计算机后,只看到屏幕一闪便就黑暗一片。再打开另外几台,也同样一闪后就再也启动不起来了...,计算机史上,病毒造成的又一次巨大的浩劫发生了。
一大早,反病毒软件公司所有的电话铃声急急不断的振耳,急促促的报警电话蜂拥而来。门外,需求修复数据而手持硬盘和抬着机器的人们象一条长龙一样,从楼上到楼下,一直排到大街上。“谁能给我修好数据,我出高价!”的叫喊声到处可听见。
据报导,此次病毒的浩劫,在东方的亚州国家最严重。欧美国家嘲笑东方国家,一说盗版严重而带来,二说反病毒软件落后。可是,在此前的一个月,欧美的“美丽杀”病毒在西方造成了更为严重的灾难,其经济损失远远超过CIH病毒对亚洲造成的损失,而CIH病毒造成的破坏,绝大部分则可以修好。
由于欧美国家先一个月发生“美丽杀”病毒灾难,引起欧亚国家媒体暴炒“美丽杀”病毒,在一定程度上起了误导作用。国内的老牌反病毒公司北京江民公司,通过在国内强大的病毒反馈网,以灵敏的嗅觉,警惕到CIH-1.2病毒要在4月26日大发作!便不昔重金在报纸上用广告和文章形式在4月26前连篇提醒人们重视防范CIH病毒。这在当时可能是国内唯一的一家提醒人们重视防范CIH病毒的反病毒公司。但是,还是被淹没在暴炒“美丽杀”病毒的文章中。只有部分看到防范CIH病毒的报纸后,并即时的升级查杀了CIH病毒,才幸免遇难。事后,<<软件报>>在一篇文章中给予了北京
江民公司极高的评价。
“美丽杀”病毒对欧美的破坏,比CIH病毒对亚洲的破坏要大的多。“美丽杀”病毒对亚洲没什么破坏,而“CIH”病毒同样对欧美有较大的破坏。欧美所谓先进的反病毒软件也不堪一击,所谓全球病毒监测网如同虚构。
随着Internet网的发展,使病毒传播更加方便、更加广泛,网络蠕虫病毒已成为病毒主力,这应使我们严加防犯。
四 网络蠕虫病毒的发展 ┃
最早的网络蠕虫病毒作者是美国的小莫里思,他编写的蠕虫病毒是在美国军方的局域网内活动,但是,必需事先获取局域网的权限和口令。
世界性的第一个大规模在Internet网上传播的网络蠕虫病毒是1998年底的Happy99网络蠕虫病毒,当你在网上向外发出信件时,HAPPY99网络蠕虫病毒会顶替你的信件或随你的信件从网上跑到你发信的目标出,到了1月1日,收件人一执行,便会在屏幕上不断暴发出绚丽多彩的礼花,机器就不在干什么了。
1999年3月欧美暴发了“美丽杀”网络蠕虫宏病毒,欧美最大的一些网站频频遭受到堵塞,造成巨大经济损失。
2000年至今,是网络蠕虫开始大闹互联网的发展期。
2000年,在欧美还暴发了I-WORM/Love Letter“爱虫”网络蠕虫病毒,又使欧美最大的一些网站和企业及政府的服务器频频遭受到堵塞和破坏,造成了比“美丽杀”病毒破坏还大的经济损失。目前,该病毒以有十多种变种产生,不断的到处破坏。
2001后,有更多的网络蠕虫出现。
I-WORM.NAVIDAD网络蠕虫。该病毒能引发大规模的邮件泛滥。其传播机制不同于一般的网络蠕虫程序(如爱虫、美丽公园等),该网络蠕虫程序具有较大的迷惑性:用户通过OUTLOOK EXPRESS 收到的是一封来自你曾经发送过的人的回复信件,内容与您发送的完全一致,邮件的主题、邮件的正文都一样,只是增加了一个电子邮件的附件,该附件的文件名称是:NAVIDAD.EXE文件,文件的大小是:32768字节。该附件就是该网络蠕虫程序的主体文件。该邮件只是在微软的OUTLOOK EXPRESS邮件系统下自动传播,它会自动地给您的收件箱(而不是地址簿)的所有人发送一份该网络蠕虫程序。
由于病毒修改该注册表项目的文件名称的错误,WINDOWS系统在启动,读取可执行EXE文件时,会因为找不到WINSVRC.EXE文件而不能正常启动WINDOWS 系统。
I_WORM.Blebla.B网络蠕虫。该病毒是通过电子邮件的附件来发送的,文件的名称是:xromeo.exe 和xjuliet.chm,该蠕虫程序的名称由此而来。
当用户在使用OE阅读信件时,这两个附件自动被保存、运行。 当运行了该附件后, 该蠕虫程序将自身发送给OUTLOOK地址薄里的每一个人,并将信息发送给p.virus 新闻组。该蠕虫程序是以一个EMAIL附件的形式发送的,信件的主体是以HTML语言写成的,并且含有两个附件:xromeo.exe及xjuliet.chm.收件人本身看不见什么邮件的内容。
该蠕虫程序的危害性还表现在它还能修改注册表一些项目,使得一些文件的执行,必须依赖该蠕虫程序生成的在WINDOWS目录下的SYSRNJ.EXE文件,由此可见对于该病毒程序的清除不能简单的将蠕虫程序删除掉,而必需先将注册表中的有关该蠕虫的设置删除后,才能删除这些蠕虫程序。
I_WORM/EMANUEL网络蠕虫。该病毒通过MICROSOFT的OUTLOOK EXPRESS来自动传播给受感染计算机的地址薄里的所有人,给每人发送一封带有该附件的邮件。该网络蠕虫长度16,896-22000字节,有多个变种。
在用户执行该附件后,该网络蠕虫程序在系统状态区域的时钟旁边放置一个“花”一样的图标,如果用户点击该"花"图标,会出现一个消息框,大意是不要按此按钮.如果按了该按钮的话,会出现一个以Emmanuel为标题的信息框, 当您关闭该信息框时又会出现一些别的:诸如上帝保佑您的提示信息.
还有一个网络蠕虫I-Worm/Hybris的最明显的特征是, 当您打开带有该网络蠕虫程序的附件时, 您的计算机的屏幕就会被一个始终位于最上方的图象所覆盖,该图象是活动的、转动的、黑白相见的螺旋状的圆形图形。
该网络蠕虫程序与其他常见的网络蠕虫程序一样,是通过网络上的电子邮件系统OUTLOOK来传播的, 同样是修改WINDOWS系统下的主管电子邮件收发的文件wsock32.dll文件。它与别的网络蠕虫程序的不同之处在于它不断可以通过网络自动发送网络蠕虫程序本身,而且发送的文件的名称是变化的。
该病毒是世界上第一个可自我将病毒体分解成多个大小可变化的程序块(插件),分别潜藏计算机内的不同位置,以便躲避查毒软件。该病毒具有将这些碎块聚合成一个完整的病毒,再进行传播和破坏。早在1997年王江民先生在〈〈计算机病毒的发展趋势与对抗手段〉〉一文中就有一段话预言会有这种病毒出现。
I_WORM/HTML.Little Davinia网络蠕虫。这是一个破坏性极大的网络蠕虫,可以清除硬盘上的所有数据,它利用WORD2000的漏洞、EMAIL等来传播。该网络蠕虫程序是复合型的, 是HTML(网页语言)形式的、VBS文件结构、带有宏的网络蠕虫程序。
该病毒还能修改系统的注册表,一旦修改注册表成功,该病毒就会自动搜索所有的本地硬盘、网络盘、以及所有目录下的文件,采用覆盖的方式将发现的文件写上一些含有一些杂乱信息的文字,被损坏的文件很难修复!
I_WORM.MTX网络蠕虫病毒已大面积传播, 超过了CIH的感染率,但破坏性没CIH大。
它是一个变形病毒, 变化无穷。该网络蠕虫的邮件比较特殊,它没有主题、正文,只有一个附件文件,附件的文件名是变化的。
I-WORM.AnnaKournikova网络蠕虫程序是使用了一个病毒制造机程序VBSWG制造并加密。该蠕虫程序发送的邮件的附件是:
AnnaKournikova.jpg.vbs(俄罗斯体育选手的名称命名的文件名称),它是一个VBS程序文件。当邮件用户不小心执行了该附件,那么该网络蠕虫程序会给OUTLOOK地址薄里的所有人发送一份该网络蠕虫程序,邮件的附件文件名称:
AnnaKournikova.jpg.vbs(俄罗斯网球女明星的图片文件)
该网络蠕虫程序的长度是2853字节左右。
如果机器的日期是1月26日的话,该网络蠕虫程序会自动将您指向一个位于荷兰的计算机商店的网络地址。
该网络蠕虫程序会给所有地址薄里的所有用户发送网络蠕虫程序来看,它和轰动一时的“爱虫程序”有相似之处。
I-Worm.Magistr网络蠕虫恶性病毒可通过互联网上电子邮件或在局域网内进行传播。可通过Outlook、Netscape Messenger等其他电子邮件软件和新闻组在内的软件读取其中地址簿中的地址发送带毒电子邮件进行传播。
该病毒随机在当前机上找一个.EXE或.SCR文件和一些.DOC或.TXT文件作为附件发出去,如果你的机中.DOC或.TXT文件是机密文件,肯定会被发在互联网上到处都是。
目前,该病毒已有许许多多的变种。病毒发作时间是在病毒感染系统一个月后。病毒会改写本地机和局域网中电脑上的文件,文件内容全部被改写,这将导致文件不能恢复!
如果在WIN9X环境下,该病毒会象CIH病毒一样,破坏BIOS和清除硬盘上的数据,是危害性一非常大的一种病毒。
该病毒采用了多变形引擎和两组加密模块,病毒感染文件的中部和尾部,将中部的原文件部分代码加密后潜藏在病毒体内,病毒长为24000-30000字节。 病毒使用了非常复杂的感染机制,感染.EXE、.DLL、.OCX、.SCR、.CPL等文件,病毒每传染一个目标,就变化一次,具有无穷次变化,其目的是使反病毒软件难以发现和清除。
病毒在发展,网络在发展,网络又促进了病毒的发展,复杂的病毒又超着变形病
毒发展。
五 变形病毒
早先,国内外连续发现多种更高级的能变换自身代码的“变形”病毒,其名字有:Stea lth(诡秘)病毒、Mutation Engine(变形金钢或称变形病毒生产机)、Fear(恐怖)`Satan(恶魔)、 Tremor(地震)、 Casper(卡死脖幽灵)、One_Half/3544(幽灵)、NATAS/4744(拿他死幽灵王)、NEW DIR2病毒等。 特别是Mutation Engine,它遇到普通病毒后并能将其改造成为变形病毒。这些变形病毒具有多态性、多变性,甚至没有一个连续的字节是相同的,从而使以往的搜索病毒方法不知去搜索什么。1992年,我们首次发现了国内第一例变形病毒,病毒名字为“Doctor”(医生)。
目前, 我国已发现了许许多多变形病毒, 其名字称为“Doctor” (医生)、NewFlip(颠倒屏幕)、Casper(卡死脖幽灵)、Ghost/One_Half/3544(幽灵)、VTech、NATAS/4744(拿他死幽灵王)、1982/(福州大学HXH)、1748/HXH、2560/HYY、V3、HYY/3532(福州1号变形王)、Tremor、5VOLT4、CLME、1748/HXH、NEW DIR2、CONNIE2台湾2号变形王、MADE-SP、HEFEI(合肥1号,2号)、JOKE、NIGHTALL、WIN-Marburg、WIN32/HPS、WIN32/CXDZ、WIN32/MATRIX、I-WORM/MAGISTR(马吉思)等病毒。
这些变形病毒能将自身的代码变换成亿万种样贴附在被感染的文件中,其Casper(卡死脖幽灵)、Ghost/One_Half/3544(幽灵)、1982/(福州大学HXH)病毒可变代码为数千亿种,NATAS/4744(拿他死幽灵王)、 HYY/3532(HYY/3532(福州1号变形王)、HEFEI变形鬼魂、CONNIE2台湾2号变形王、MADE-SP、HEFEI、JOKE、NIGHTALL、Marburg病毒代码可变无穷次。这使的一些病毒扫描软件产生漏查漏杀现象。其中,CONNIE2台湾2号变形王、MADE-SP、JOKE、NIGHTALL、Windows Marburg、I-WORM/MAGISTR变形病毒变形复杂,几乎达到了不可解除的状态。
通过以上例子来看,计算机病毒在不断发展,手段越来越高明,结构越来越特别。目前,对出现的上万种引导区病毒和普通的文件型病毒以及宏病毒已有了较好的对策,但变形病毒将会是今后病毒发展主要方向之一,这应当引起我们的警惕。那么变形病毒是什么样呢
六 变形病毒的基本类型
病毒都具有一定的基本特性,这些基本特性主要指的是病毒的传染性、繁殖性、破坏性、恶作剧等其它表现,这是普通病毒所应具备的基本特性。
过去,一些教科书里对病毒的基本定义简单的说是“具有传染性质的一组代码,可称为‘病毒’”。即病毒从一个文件传染到另一个文件上,许多文件会染毒。引导区病毒从一个磁盘传染到另一个磁盘上。
而在互联网时代,网络会在互联网上通过一台机器自动传播到另一台机器上,一台机器中只有一个蠕虫病毒,当然,也有的蠕虫可以在当前机器中感染大量文件。
现在应发展一下对病毒的基本定义。即对病毒的基本定义简单的说是“具有传播性质的一组代码,可称为‘病毒’”。
病毒的这些基本特性不能用来决定病毒是属于第几代的。能用变化自身代码和形状来对抗反病毒手段的变形病毒才是下一代病毒首要的基本特征。我们通过多年的反病毒研究,对变形病毒做了以下定义:
变形病毒特征主要是,病毒传播到目标后,病毒自身代码和结构在空间上、时间上具有不同的变化。我们以下简要划分的变形病毒种类分为四类。
第一类变形病毒的特性是:具备普通病毒所具有的基本特性,然而,病毒每传播到一个目标后,其自身代码与前一目标中的病毒代码几乎没有三个连续的字节是相同的,但这些代码其相对空间的排列位置是不变动的, 这里称为:一维变形病毒。
在一维变形病毒中, 个别的病毒感染系统后,遇到检测时能够进行自我加密或脱密,或自我消失。有的列目录时能消失增加的字节数,或加载跟踪时,病毒能破坏跟踪或者逃之夭夭。
第二类变形病毒的特性是:除了具备一维变形病毒的特性外,并且那些变化的代码相互间的排列距离(相对空间位置),也是变化的,这里称为:二维变形病毒。
在二维变形病毒中, 有如前面提到的MADE-SP病毒等,能用某种不动声色特殊的方式或混载于正常的系统命令中去修改系统关键内核,并与之溶为一体,或干脆另创建一些新的中断调用功能。有的感染文件的字节数不定,或与文件溶为一体。
第三类变形病毒的特性是:具备二维变形病毒的特性,并且能分裂后分别潜藏在几处,当病毒引擎被激发后都能自我恢复成一个完整的病毒。病毒在附着体上的空间位置是变化的,即潜藏的位置不定。比如:可能一部分藏在第一台机器硬盘的主引导区,另外几部分也可能潜藏在几个文件中,也可能潜藏在覆盖文件中,也可能潜藏在系统引导区、也可能另开垦一块区域潜藏...等等。而在下一台被感染的机器内,病毒又改变了其潜藏的位置。这里称为:三维变形病毒。
第四类变形病毒的特性是:具备三维变形病毒的特性,并且,这些特性随时间动态变化。比如,在染毒的机器中,刚开机时病毒在内存里变化为一个样子,一段时间后又变成了另一个样子,再次开机后病毒在内存里又是一个不同的样子。还有的是这样一类病毒,其本身就是具有传播性质的“病毒生产机”病毒,它们会在计算机内或通过网络传播时,将自己重新组合代码生成于前一个有些代码不同的变种新病毒,这里称为:四维变形病毒。
四维变形病毒大部分具备网络自动传播功能,在网络的不同角落里到处隐藏。
还有一些这类高级病毒不再持有以往绝大多数病毒那种“恶作剧”的目的,它可能主要是,人类在信息社会投入巨资研究出的、可扰乱破坏社会的信息、政治、经济制序等、或是主宰战争目的的一种“信息战略武器”病毒。它们有可能接受机外遥控信息,也可以向外发出信息。比如在多媒体机上可通过视频、音频、无线电或互联网收发信息。也可以通过计算机的辐射波,向外发出信息。也可以潜藏在联接Internet网的计算机中,收集密码和重要信息,再悄悄的随着主人通信时,将重要信息发出去(I-WORM/MAGISTR(马吉思)病毒就有此功能),这些变形病毒的智能化程度相当高。
以上,我们把变形病毒划分定义为一维变形病毒、二维变形病毒、三维变形病毒、四维变形病毒。这样,可使我们站在一定的高度上对变形病毒有一个较清楚的认识,以便今后针对其采取强而有效的措施进行诊治。
以上的四类变形病毒可以说是病毒发展的趋向,也就是说:病毒主要朝着能对抗
反病毒手段和有目的方向发展。目前,已发展到了一维、二维、三维变形病毒。
七 特络依木马与有害代码
互联网的发展,使病毒、黑客、后门、漏洞、有害代码等相互结合起来,对信息社会造成极大的威胁。
国际上最早最有名的Backdoor.BO1.2、BO2K和国产的“冰河”的客户端程序是一个可潜伏在用户机中的后门程序,它可将用户上网后的计算机大开后门,任意进出。可以记录各种口令信息,获取系统信息,限制系统功能:包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制;还可远程文件操作:包括创建、上传、下载、复制、修改、删除文件或目录、文件压缩、快速浏览文件、远程打开文件等多项文件操作功能;还可对注册表操作:包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能。这在当时,影响极大。
国产类似上述的后门程序有“冰河”一系列版本,被散发的面积很大,有相当多的用户在不知不觉中使机器中“毒”。
这是一个基于TCP/IP协议和WINDOWS操作系统的网络工具,可用于监控远程计算机和配置服务器程序。但是,其被监控端后台监控程序在被执行时,没有明显的告诫警示不明用户的安装界面和安装路径及其屏幕右下角没有最小化托盘图标,而是悄悄的就安装在用户机中了,为用户带来潜在的危害。所以,被所有反病毒公司的反病毒软件做为“后门有害程序”而杀掉。
类似这类的国内外程序还有,YAI、PICTURE、NETSPY、NETBUS、DAODAN、BO.PROC、CAFCINI.09、BADBOY、INTERNA 、QAZ、SPING、THETHING、MATRIM、SUBx等等。主要的特络依木马有SURFSPY、EXEBIND、SCANDRIV、NCALRPC、WAY20、OICQ.KEY、CAINABEL151、ZERG、BO.1EANPB、COCKHORSE、ZSPYIIS、NETHISF等等。
其中OICQ.KEY、NETHISF一种可将IP地址、系统密码等发出去的特络依木马,被不轨人悄声捆绑在某OICQ在线聊天程序中,结果被人下载了几十万多次,真不知有多少人受到伤害。
还有那些直接就破坏的恶性程序,如shanghai.TCBOMB(上海TC炸弹),放在网上供人下载。不知情的用户一执行后,瞬间硬盘就不能用了,数据就取不出来了,这会使受害者茹痛不生。还有HARM/DEL-C,这个程序被人用了一个响亮的名字,一执行后,C盘下的文件全被删除了。这类恶意程序还有FUNJOKE、SIJI、HA-HA、MAILTOSPAM、SYSCRASH、CLICKME、QUAKE、WAY20、TDS.SE、STRETCH、NUKER等等。
还有那些不破坏的恶作剧,出现一幅吓人的画面,或死机,或屏幕抖动等等。这类程序有JOKE/GHOS(女鬼)、TBLUEBOMB、FLUKE、JOKEWOW等等。
攻击类的黑客程序,它是行为人(黑客)使用的工具,一般的反病毒软件不去查它,留给“网络防火墙”来处理。
网络的广泛使用和漫无边际的交流,为破坏者提供了场所。一些恶性破坏程序和恶作剧等各种各样的有害代码被人在网上传播和供人下栽,或以美丽猎奇的标题诱人上当。这些有害代码也成了反病毒软件的任务。
目前,国内外的后门、漏洞、有害代码等成了反病毒软件要对付的主攻方向,已有了2000多种,仅次于7500多种宏病毒。有害代码程序会越来越多,而查毒软件对其没有任何先知的智能化的查找方法,最多也只能在其行为上(破坏时)进行“实时监测”。
八 病毒的种类与数量
目前,病毒到底有多少ⅶ 各反病毒公司说法不一。笔者于2000年12月参加了在日本东京举行的“亚洲计算机反病毒大会”,几乎世界各国的反病毒专家和著名的反病毒厂家也参加了会议。大会对2000年11月以前的病毒种类和数量作出了初步的报告。如下:
DOS病毒: 40000 种
WIN32病毒: 15 种
WIN9x病毒: 600 种
WINNT/WIN2000病毒: 200 种
WORD宏病毒: 7500 种
EXCEL宏病毒: 1500 种
PowerPoint病毒: 100 种
Script脚本病毒: 500 种
Macintos苹果机病毒: 50 种
Linux病毒: 5 种
手机病毒: 2 种
合计: 55000 种
国际上有名的病毒编写组织有:
29A
Linezero
MetaPhase
随着计算机的不断发展,和历史原因,以及软件、硬件上技术的垄断与操作系统、办公集成系统在习惯上根深蒂固的垄断及延续,造成了计算机所固有的脆弱性。 比如,因芯片或硬盘(或光盘)或软件在技术上的被垄断, 垄断部门有可能把“病毒”设计进芯片或硬盘(或光盘)或软件的非正常区域。或在硬件、软件中留有“后门”,非常时期时再通过某种方式将“病毒”激活, 或将“后门”打开,施行毁灭性的打击,真是神不知鬼不觉。
比如说:CPU等芯片,它的功能和构造比我们身上带的BP机要强大和复杂的多,谁能说它里面没有“后门”或“病毒”呢!它是否能象BP机一样通过主板上的导线接收外来的无线信息这不是太容易了吗ⅶ 一但接收到了外来信息,它是否会放出“病毒”或开启“后门”或发出破坏指令呢,或令“死机”!哪后果可想而知...
我们已发现某一广泛使用的操作系统中的一处“缺陷”!这是“缺陷”ⅶ 还是“后门” 我们还发现某操作系统中隐藏有一处非常危险的逻辑错误,是“错误”ⅶ还是隐藏的“炸弹”ⅶ 为什么至今连续几年的新版本都不改掉!为什么另一家相同功能的操作系统中就没有这一“错误”!这一“错误”(后门)如果在信息战中被利用,计算机将彻底瘫痪!这一现状,必应引起我们的高度重视,小规模的信息化战争和对抗已不断出现。比如说,94年4月,南非的黑人领袖在竞选总统时获得较大优势,但是,最后在统计选票的关键时刻,出现了计算机病毒的严重事件,机器被病毒搞瘫痪了,迫使选票结果推迟了几天,险些使大选结果遭到毁灭性破坏。这一事件的产生过程,直到现在还是个谜。中美黑客对抗和攻击引发我们深思...。
大规模的信息战争也将一触即发。所以,我们必须加强反病毒手段的研究和全方位信息安全的研究。
国际互联网Internet的广泛发展,虽然加速了病毒的传播速度和广度,但是,各国的老病毒由于其本身的局限性还不会在全球广泛传播。只有本地化和地域性的新型病毒随着国与国信息的频繁往来交流,将上升为全球性病毒。新病毒对各国来说都是新的,这就要看谁具备了快速的反病毒手段,谁具备了快速为用户能解除病毒的条件。
另外,在网络上抗病毒(防火墙)和对网络性能要求成反比,所以,总会有漏网的病毒,目前,各国都在研究各种各样的防火墙(防病毒是防火墙内的功能之一),但在网络上还没有完美无缺的抗病毒方法和产品。据实验,最好的防病毒产品,对新病毒的漏网率为20%,那么,10个新病毒就可能有2个漏网,100个新病毒就可能有20个病毒漏网,这多可怕!而往往有时用户的机器中也就染上了那么一两种病毒,而就这一两种病毒就使机器不能正常工作了,而也就在这时,这一两种病毒使那些能杀1千种、1万种、5万种的杀毒软件的威风不知道哪去了。也就为了杀除这一两种病毒,用户到处寻求有效的反病毒解决方案!
九 寻找抗病毒的有效方法
在反病毒的长期过程中,我们必须用科学的观点正视如下现实:
1) 目前的防病毒软硬件不可能自动防今后一切病毒!
2) 目前的查解病毒软硬件不可能自动查解今后一切病毒而又能正确自动恢复被这些新病毒感染的文件! 有些惑人的广告词,如“自动查解今后一切未知病毒”、“可解除所有病毒”、“百分之百查杀世界流行病毒”等等,太夸大其词了。如果,这些广告词的创造者,真正亲自研究解除过一百种以上病毒,那他就不会使用“一切”、“所有”的词了,因为那些病毒的创造者们头脑十分发达灵巧,魔法无穷,怪招百出。谁也不能预计今后一切病毒会发展到什么样子,很难能开发出具有先知先觉功能的“一切”、“所有”的自动反病毒软硬件和工具。
3) 目前的防、查、解病毒软件和硬件, 如果其对付的病毒种类越多,越会有误查误报现象,也不排除有误解或解坏现象。杀毒编程太费事、太累、还要冒风险,后来国外有的软件干脆只杀除其已知病毒的70%,复杂病毒只查不杀了。所以,杀病毒时,用户应遵循一查找、二备份、三解除的原则。
4) 目前的防、查、解病毒软件和硬件是易耗品, 必须经常更新、升级或自我升级。
病毒穷出不尽,有时明明知道机内染有一种新病毒,那么在别的机器内和磁盘中还有此病毒吗 这需要靠经验和时间去费力的判断,用户苦于手头没有主动式快速诊治新病毒的手段。
目前,计算机病毒之所以到处不断的泛滥,其一个方面的原因就是查解病毒的手段老是跟在一些新病毒的后面发展,所以病毒就到处传染。并且,现代信息传递有多么快、多么广,病毒就传染有多么快、多么广。病毒产生在先、诊治手段在后,让病毒牵着鼻子走的状态,怕是长久问题。
那么,有没有能紧紧跟上病毒的传播,而对其采取有效的查解手段呢 最起码在新病毒刚露头时,就应有能立即快速将其查找出来的手段,这样可针对其采取相应的措施,将新病毒消灭在初发阶段。
目前,要想有效诊治病毒的手段之一,就是最起码应该使懂电脑基本操作的和略知病毒常识的用户,有一种能不必编程序而可方便有效的主动去快速查出新病毒的手段。查出新病毒后,可根据情况采取相应对策,这样做会及早的限制住新病毒的流行。
这种方法之一就是,用户应有一种能根据病毒特征码和开放式加载查毒模块来查出普通病毒和变形病毒的专门的程序,其新病毒的特征码和解密模块可通过专业报刊杂志和Internet网及有关渠道获得,需要有反病毒部门经常提供新病毒特征码和反毒程序模块。
那么,有这种可以随时增加查病毒能力的程序吗?那些变形病毒容易查出吗ⅶ变形病毒的出现,使抗病毒的难度加大了。在这里我们说,病毒在发展,但反病毒理论和技术也在发展!一种杀病毒软件性能优劣的一个关键方面就是看,用什么样的理论来指导技术上的快速跟进。
比如说:目前,国际上已有数万种病毒,但是变种占了一半多。把变种相似的分类,分几个、几十个、几百个一组找出它们共有的特殊代码,我们称为广谱病毒特征码,这不就是可用几组、几十组简单的广谱特征码就可查出几百个、几千个老病毒和新病毒了吗 难道这不好吗
再如磁盘引导区有512个字节,感染这地方的病毒有千百种,可我们只用不到十个字节的广谱病毒特征码,就可以查出几十个、几百个引导区病毒,这也不可取吗ⅶ再如WORD宏病毒大潮,来势凶凶,铺天盖地。当我们研究了一大部分宏病毒后,发现了宏病毒的广谱特性,因此,来多少杀多少!
话再说回来,狡诈的变形加密病毒,象乱线团一个,几乎让人解不开。用具有特殊技术的查毒方法,使上述病毒在静态环境中是很容易被发现。所谓静态环境就是指重新加电,用干净软盘引导系统。这样,就可在内存无病毒的状态下,用具有特殊扫描方法的软件去主动搜索病毒。即我们可用广谱过滤法、以毒攻毒法、跟踪法、逻辑法、逆转显影法、内存反转法、虚拟机法、启发式分析法、指纹分析法、神经网络敏感系统...等等,目前,还没有解不了的变形病毒。
对用户需要来说,抗病毒最有效的方法是:一备份!二备份!三备份!
对用户需要来说,抗病毒最有效的手段是:病毒库升级要快!快!快!
对用户需要来说,病毒破坏后最没办法的办法是:死马当着活马医-灾难恢复