网络时代计算机病毒发展的新趋势

“计算机病毒”并不是一个新出现的词语，但在2003年和2004年上半年肯定是最热门的词语之一。根据国家计算机病毒应急处理中心的调查显示：2003年我国计算机病毒感染率高达85.57%，大多数用户在一年内都感染过两次以上的病毒并造成了不同程度的损失。“冲击波”和“震荡波”给我们带来的冲击和震荡大多数互联网用户深有感受。由于计算机病毒的肆虐，我国目前出现了一个崭新的行业：电脑急救师，据说待遇还不错。

随着计算机技术的发展，计算机病毒也在不断发展，计算机病毒与反病毒技术就象敌我双方一样在相互牵制的过程中使自身不断发展壮大，而且从目前情况来看，计算机病毒总是主动的一方，我们在被动防御和抵抗中。  

计算机病毒的新特征

计算机病毒将呈现新的发展趋势：在给我们带来很多方便和帮助的同时，互联网、局域网已经成为计算机病毒传播的主要途径；在与反病毒技术的斗争中，计算机病毒的变形速度和破坏力不断地提高；混合型病毒的出现令以前对计算机病毒的分类和定义逐步失去意义，也使反病毒工作更困难了；病毒的隐蔽性更强了，不知不觉“中毒”带来的后果更严重；人们使用最多的一些软件将成为计算机病毒的主要攻击对象。

     一、计算机网络（互联网、局域网）成为计算机病毒的主要传播途径，使用计算机网络逐渐成为计算机病毒发作条件的共同点

计算机病毒最早只通过文件拷贝传播，当时最常见的传播媒介是软盘和盗版光碟。随着计算机网络的发展，目前计算机病毒可通过计算机网络利用多种方式（电子邮件、网页、即时通讯软件等）进行传播。计算机网络的发展有助于计算机病毒的传播速度大大提高，感染的范围也越来越广。可以说，网络化带来了计算机病毒传染的高效率。这一点以“冲击波”和“震荡波”的表现最为突出。以“冲击波”为例，冲击波是利用RPC DCOM缓冲溢出漏洞进行传播的互联网蠕虫。它能够使遭受攻击的系统崩溃，并通过互联网迅速向容易受到攻击的系统蔓延。 它会持续扫描具有漏洞的系统，并向具有漏洞的系统的135端口发送数据，然后会从已经被感染的计算机上下载能够进行自我复制的代码MSBLAST.EXE，并检查当前计算机是否有可用的网络连接。如果没有连接，蠕虫每间隔10秒对Internet连接进行检查，直到Internet 连接被建立。一旦Internet连接建立，蠕虫会打开被感染的系统上的4444端口，并在端口69进行监听，扫描互联网，尝试连接至其他目标系统的135端口并对它们进行攻击。与以前计算机病毒给我们的印象相比，计算机病毒的主动性（主动扫描可以感染的计算机）、独立性（不再依赖宿主文件）更强了。

     二、计算机病毒变形（变种）的速度极快并向混合型、多样化发展

“震荡波”大规模爆发不久，它的变形病毒就出现了，并且不断更新，从变种A到变种F的出现，时间不用一个月。在人们忙于扑杀“震荡波”的同时，一个新的计算机病毒应运而生—－“震荡波杀手”，它会关闭“震荡波”等计算机病毒的进程，但它带来的危害与“震荡波”类似：堵塞网络、耗尽计算机资源、随机倒计时关机和定时对某些服务器进行攻击。在反病毒服务提供商Sophos公布的一份报告中称，今年5月份互联网上出现的各类新的蠕虫病毒种类数量创下30个月以来的新高，共出现了959种新病毒，创下了自2001年12月份以来的新高。这959种新病毒中包括了之前一些老病毒的新变种。计算机病毒向混合型、多样化发展的结果是一些病毒会更精巧，另一些病毒会更复杂，混合多种病毒特征，如红色代码病毒（Code Red）就是综合了文件型、蠕虫型病毒的特性，这种发展趋势会造成反病毒工作更加困难。2004年1月27日，一种新型蠕虫病毒在企业电子邮件系统中传播，导致邮件数量暴增，从而阻塞网络。不同反病毒厂商将其命名为Novarg、Mydoom、SCO炸弹、诺威格、小邮差变种等，该病毒采用的是病毒和垃圾邮件相结合的少见战术，不知情用户的推波助澜使得这种病毒的传播速度似乎比近来其他几种病毒的传播速度要快。

     三、运行方式和传播方式的隐蔽性

9 月 14 日 ，微软安全中心发布了9月漏洞安全公告。其中MS04-028所提及的GDI+漏洞，危害等级被定为“严重”。瑞星安全专家认为，该漏洞涉及GDI+组件，在用户浏览特定JPG图片的时候，会导致缓冲区溢出，进而执行病毒攻击代码。该漏洞可能发生在所有的Windows操作系统上，针对所有基于IE浏览器内核的软件、Office系列软件、微软.NET开发工具，以及微软其它的图形相关软件等等，这将是有史以来威胁用户数量最广的高危漏洞。这类病毒（“图片病毒”）有可能通过以下形式发作：1、群发邮件，附带有病毒的JPG图片文件；2、 采用恶意网页形式，浏览网页中的JPG文件、甚至网页上自带的图片即可被病毒感染；3、通过即时通信软件(如QQ、MSN等)的自带头像等图片或者发送图片文件进行传播。

在被计算机病毒感染的计算机中，你可能只看到一些常见的正常进程如svchost、taskmon等，其实它是计算机病毒进程。今年6月初，一部与哈里.波特相关的电影分别在美国和英国开始放映。接着，英国某安全公司就发出警告称,“网络天空”蠕虫病毒正在借助科幻角色哈里.波特而死灰复燃。安全公司指出， Netsky.P蠕虫病毒变种感染的用户大幅度增加，原因是它能够将自己伪装成与哈里·波特相关的影片文件、游戏或图书引诱用户下载。“蓝盒子（Worm.Lehs）”、“V宝贝（Win32.Worm.BabyV）”病毒和 “斯文（Worm.Swen）”病毒，都是将自己伪装成微软公司的补丁程序来进行传播的。这些伪装令人防不胜防。你不会不从计算机网络上下载任何东西吧？包括你感兴趣的相关资料、影片、歌曲？至于在主题中使用漂亮的词句吸引你打开电子邮件以便计算机病毒的入侵，已经是很常见的计算机病毒伪装了。此外，一些感染QQ、MSN等即时通讯软件的计算机病毒会给你一个十分吸引的网址，只要你浏览这个网址的网页，计算机病毒就来了。

     四、利用操作系统漏洞传播

操作系统是联系计算机用户和计算机系统的桥梁，也是计算机系统的核心，目前应用最为广泛的是WINDOWS系列的操作系统。2003年的“蠕虫王”、“冲击波”和2004年的“震荡波”、前面所提到的“图片病毒”都是利用WINDOWS系统的漏洞，在短短的几天内就对整个互联网造成了巨大的危害。开发操作系统是个复杂的工程，出现漏洞及错误是难免的，任何操作系统就是在修补漏洞和改正错误的过程中逐步趋向成熟和完善。但这些漏洞和错误就给了计算机病毒和黑客一个很好的表演舞台。

随着DOS操作系统使用率的减少，感染DOS操作系统的计算机病毒也将退出历史舞台；随着WINDOWS操作系统使用率的增加，针对WINDOWS操作系统的计算机病毒将成为主流。

     五、计算机病毒技术与黑客技术将日益融合

因为它们的最终目的是一样的：破坏。严格来说，木马和后门程序并不是计算机病毒，因为它们不能自我复制和扩散。但随着计算机病毒技术与黑客技术的发展，病毒编写者最终将会把这两种技术进行了融合。瑞星全球反病毒监测网率先截获一个可利用QQ控制的木马，并将其命名为“QQ叛徒”(Trojan.QQbot.a)病毒。据介绍，这是全球首个可以通过QQ控制系统的木马病毒，还会造成强制系统重启、被迫下载病毒文件、抓取当前系统屏幕等危害。 2003年11月中旬爆发的“爱情后门”最新变种T病毒，就具有蠕虫、黑客、后门等多种病毒特性，杀伤力和危害性都非常大。Mydoom蠕虫病毒是通过电子邮件附件进行传播的，当用户打开并运行附件内的蠕虫程序后，蠕虫就会立即以用户信箱内的电子邮件地址为目标向外发送大量带有蠕虫附件的欺骗性邮件，同时在用户主机上留下可以上载并执行任意代码的后门。这些计算机病毒或许就是计算机病毒技术与黑客技术融合的雏形。

六、物质利益将成为推动计算机病毒发展的最大动力

从计算机病毒的发展史来看，对技术的兴趣和爱好是计算机病毒发展的源动力。但越来越多的迹象表明，物质利益将成为推动计算机病毒发展的最大动力。2004年6月初，我国和其他国家都成功截获了针对银行网上用户帐号和密码的计算机病毒。金山毒霸成功截获网银大盗最新变种B，该变种会盗取更多银行的网上帐号和密码，可能会造成巨大的经济损失；德国信息安全联邦委员会（BSI）提醒广大的计算机用户，日前他们发现一种新的互联网病毒“Korgo”，Korgo病毒与上一个月疯狂肆虐的“震荡波”病毒颇为相似，但它的主要攻击目标是银行账户和信用卡信息。其实不仅网上银行，网上的股票账号、信用卡账号、房屋交易乃至游戏账号等都可能被病毒攻击，甚至网上的虚拟货币也在病毒目标范围之内。比较著名的有“快乐耳朵”、“股票窃密者”等，还有很多不知名，因此是更可怕的病毒。针对网络游戏的计算机病毒在这一点表现更为明显，网络游戏帐号和数以千元甚至万元的虚拟装备莫明其妙地转到了他人手中。

如今，不少银行都提供网上验证或密码钥匙，用户千万不要只图节省费用而冒失去巨大资金风险。买密码钥匙或数字证书是相当必要的。

 

 

计算机病毒集中攻击的几类软件及应对策略

一 、 Windows操作系统及其集成的软件
     Windows系列操作系统之所以容易受到病毒攻击，主要是因为操作系统设计复杂，会出现大量的安全漏洞，这些安全漏洞给了病毒可乘之机的同时，给计算机系统的安全带来了很大的隐患。如2003年8月份全球泛滥的“冲击波（Worm.Blaster）”病毒就是利用了系统的RPC缓冲区漏洞才得以大面积传播与泛滥。 今年的“震荡波”则利用了LASS漏洞使远程攻击者完全控制受感染系统。
     除了RPC漏洞外，操作系统还存在许多其它的漏洞，比如说年初的“蠕虫王”病毒就是利用了SQL Server 2000的缓冲区漏洞。另外，IIS 和Outlook类软件（Outlook以及Outlook Express）也存在着大量的安全漏洞，他们越来越得到众多计算机病毒和黑客的青睐。据不完全统计，Windows NT系列操作系统已存在有近千个已知的安全漏洞。

IE浏览器是我们使用最多的浏览器，它同样存在许多安全漏洞并成为了病毒的攻击对象。最常见的病毒攻击方式是利用脚本执行漏洞。该漏洞会在用户浏览网页时自动执行网页中的有害脚本程序，或者自动下载一些有害的病毒，从而对用户的电脑造成破坏。计算机病毒内嵌在网页的代码中，当用户在不知情的情况下打开含有该病毒的网页时，病毒就会修改用户的IE默认首页、在桌面上建立大量的色情网站链接和修改注册表，影响用户正常使用计算机，更恶劣的是通过恶意代码达到格式化浏览用户的硬盘的目的或利用代码传输木马和后门程序。

应对策略：对于我们普通用户，要做的只能是不断地打补丁填补漏洞。我们只能期望微软和其他的操作系统制造商能有更好的办法，但从技术发展的角度来看我们不得不不断地打补丁。问题是：有一天，微软说“要想打补丁，就要拿钱来。”，我们怎么办？至于对电子邮件病毒的防治，实时的邮件病毒监控系统是不可缺少的。保护IE浏览器的最好方法是使用杀毒软件的脚本监控功能和注册表修复工具。
    　二、  即时通讯软件
      QQ、MSN、网易泡泡这些即时通讯软件的出现拉近了人与人之间的距离。QQ软件在中国已经拥有了1亿多用户，每天都有几十万的用户同时在线。然而，随着这类软件使用人数的增加，这类软件也成了病毒的新攻击对象。
    　攻击即时通讯软件的计算机病毒主要有两种形式。一种是偷盗用户号码。它会将自己伪装成即时通讯软件的登录页面来欺骗用户，当用户在这个登录框中输入自己的用户名和密码时，病毒便会自动将这些信息发送到指定邮箱，从而失去即时通讯软件中的网络身份。另一种是利用即时通讯软件的活链接功能来进行传播，活链接功能即当用户收到好友发来的一个网址时，只要点击该网址就能直接进入该网页。由于该功能的方便性，被很多病毒利用，病毒运行时会利用聊天窗口向所有在线好友发送一个含有计算机病毒的网址的活链接，当好友误以为是有用网址点击时就会中毒，从而使病毒得到广泛传播，比如在去年大规模泛滥的“QQ尾巴(Trojan.QQ3344.s)”病毒。 世界上第一例通过微软即时聊天工具MSN Messager进行大规模传播的电脑病毒“GFleming”病毒的传播非常的迅速，一旦用户感染该病毒，该蠕虫会首先查看用户是否安装了MSN Messager并且已经登录。若用户已经登录，该蠕虫就会通过MSN Messager的对话窗口向所有联系人名单中的人发送欺骗性的信息。收到该信息的用户不小心点击这个链接执行了这个蠕虫的话，蠕虫就会继续通过MSN Messager向其他联系人发送同样的信息，引起连锁反应，造成病毒的快速传播。

应对策略：在2004年里，类似“QQ尾巴(Trojan.QQ3344.s)”、针对各种即时通讯软件的病毒还将大量出现。用户可以下载专门的病毒专杀工具定期清除电脑中隐藏的病毒。对电脑比较了解的用户还可以使用防火墙来防止一些非法的程序来访问网络。
    　三、 网络游戏
    　目前市场上流行的网络游戏已达数十种。网游市场在2000年的规模只有0.38亿元，2002年就上涨到10.2亿元，到2003年12月底我国网络游戏的市场规模已经达到17.8亿元，预计2004年超过20亿元。（《广州日报》 2004 年 6 月 8 日 A22）网络游戏的发展带动电信服务、IT设备制造等关联行业增长近150亿元。据预计，到2007年，中国网络游戏产业规模将达到67亿元，用户将达4180万。（《南方都市报》2004.10.13）

网络游戏的火爆让攻击网络游戏的病毒也大量地滋生。根据瑞星反病毒部门统计，目前国内遭病毒威胁最严重的前三个网络游戏分别是：传奇（包括传奇，传奇3和传奇世界）、奇迹和魔力宝贝。其中一个名为“传奇终结者（Trojan.PSW.LMir）”的病毒就是专门针对“传奇”游戏的，到目前为止已经先后出现了516个变种，成为名副其实的毒王。攻击网络游戏软件的病毒大多数会通过网络扫描的方式或者向外发送大量病毒邮件的方式来感染用户计算机，感染成功后，病毒就会偷盗特定网络游戏的密码信息，然后在电脑联网时将这些信息发送到指定信箱。如“密码狩猎者（Worm.PSW.CqSys）”病毒就是这样的病毒，病毒运行时会通过局域网传播并偷盗“传奇”游戏的密码，使用户的游戏身份和虚拟财产丢失。
    　应对策略：由于攻击网络游戏的病毒很多，而且病毒变种产生的速度也很快，令人防不胜防，建议玩家在玩游戏时打开实时监控程序和防火墙来防止病毒攻击。

   　四 、　P2P软件
    　P2P软件是点对点的传输通讯工具，只要使用同一个P2P软件，用户之间就可以直接进行交流、聊天、交换文件等。随着P2P软件使用范围的普及，有越来越多的病毒开始盯上这类软件。以 P2P 资源共享网络为目标的病毒正在不断增加，P2P 网络正成为破坏性病毒和蠕虫病毒扩散的绝佳土壤。特别是在使用公司的电脑或服务器运行资源共享软件时，很可能招致网络黑客与病毒的入侵并导致内部文件的外泄，这直接关系到公司的安全问题。

在欧美备受欢迎的文件交换软件“Kazaa”中，一种被称为“Benjamin”的蠕虫病毒已经蔓延开来，该病毒假冒流行音乐、录像或软件中常见的文件名来欺骗用户，引诱用户下载。另外一种被称为“TROJ_DOAL.A”的蠕虫病毒正在资源共享软件中蔓延，它在网络上以“Windows XP Home Edition Key Generator”的文件名出现，往往使人误认为是可以使用的盗版产品，这是一种被称为“特洛伊木马”的非法程序，该程序可以还会删除硬盘数据。为了确保安全， 2002 年 7 月 25 日 （美国时间）微软规定禁止公司员工利用公司内的电脑或网络进行文件交换。

     应对策略：对付这类病毒，可以采用杀毒软件的文件监控及内存监控功能了。文件监控是监视系统中的所有文件读写操作，发现病毒时就会直接将病毒清除，而内存监控则会监视内存中活的病毒，在病毒还未发作时，将病毒清除。

五、电子政务系统网络安全亟需加强

在电子政务系统中，政府机关的公文往来、资料存储、服务提供都以电子化的形式来实现，是基于互联网平台的，从技术角度来说，互联网是存在许多不安全因素的全球性网络。电子政务系统在提高办公效率、扩大政府服务内容的同时，也为某些居心不良者提供了通过技术手段窃取重要信息的可能。

应对策略：防火墙和防病毒软件是保护电子政务安全系统的必要措施，另外，从实际应用方面，内网和外网的隔离也是保障电子政务系统安全的必要技术手段。在文件传输方面，相互之间的认证是一个十分重要的问题。

 

【参考文献】

1、林　海等，《计算机网络安全》，高等教育出版社，2001.7

2、《恶性蠕虫病毒`冲击波`Worm/MSBlast病毒资料》，华军软件园资讯中心

3、《从用户角度探讨病毒： 解析并防范计算机蠕虫病毒》，瑞星反病毒资讯网2004.2.4