【摘 要】:随着计算机在社会生活各个领域的广泛运用,计算机病毒攻击与防范技术也在不断发展。据报道,世界各国遭受计算机病毒感染和攻击的事件数以亿计,严重地干扰了正常人类社会生活,给计算机网络和系统带来了巨大的潜在威胁和破坏。在开放的网络环境下,计算机病毒的危害比以往要大得多,特别是近几年,通过互联网进行传播的病毒数量急剧增长,危害范围也不断扩大,由于计算机病毒带来的经济损失数量是巨大的。
【关键字】:计算机病毒、防范措施
第1章 概述
1、1计算机病毒的历史
1977年,Thomas j Ryan在科幻小说《P-1的青春》中幻想一种计算机病毒可以从一台计算机传染到另一台计算机,最终控制了7000台计算机。
1983年美国计算机安全专家FredCohen博士在VAX-11上通过实验证明了计算机病毒的存在。
1986年,巴基斯坦俩兄弟为追踪非法拷贝其软件的人制造了“巴基斯坦”病毒,成了世界上公认的第一个传染PC兼容机的病毒,并且很快在全球流行。
1988年,小球病毒传入我国,在几个月之内迅速传染了20多个省、市,成为我国第一个病毒案例。此后,如同打开的潘多拉的盒子,各种计算机病毒层出不穷。
1、2计算机病毒
计算机病毒是一个程序,一段可执行码。就像生物病毒一样,计算机病毒有独特的复制能力。计算机病毒可以很快地蔓延,又常常难以根除。它们能把自身附着在各种类型的文件上。当文件被复制或从一个用户传送到另一个用户时,它们就随同文件一起蔓延开来。除复制能力外,某些计算机病毒还有其它一些共同特性:一个被污染的程序能够传送病毒载体 。当你看到病毒载体似乎仅仅表现在文字和图象上时,它们可能也已毁坏了文件、再格式化了你的硬盘驱动或引发了其它类型的灾害。若是病毒并不寄生于一个污染程序,它仍然能通过占据存贮空间给你带来麻烦,并降低你的计算机的全部性能。
可以从不同角度给出计算机病毒的定义。一种定义是通过磁盘和网络等作为媒介传播扩散,能“传染”其他程序的程序。另一种是能够实现自身复制且借助一定的载体存在的具有潜伏性、传染性和破坏性的程序。还有的定义是一种人为制造的程序,它通过不同的途径潜伏或寄生在存储媒体(如磁盘、内存)或程序里。当某种条件或时机成熟时,它会自生复制并传播,使计算机的资源受到不同程序的破坏等等。这些说法在某种意义上借用了生物学病毒的概念,计算机病毒同生物病毒所相似之处是能够侵入计算机系统和网络,危害正常工作的“病原体”。它能够对计算机系统进行各种破坏,同时能够自我复制,具有传染性。所以,计算机病毒就是能够通过某种途径潜伏在计算机储存介质(或程序)里,当达到某种条件时即被激活的具有对计算机资源进行破坏作用的一组程序或指令集合。
1、3计算机病毒的产生
1、3、1计算机病毒是计算机犯罪的一种新的衍化形式
计算机病毒是高技术犯罪,具有瞬时性、动态性和随机性。不易取证,风险小破坏大,从而刺激了犯罪意识和犯罪活动。是某些人恶作剧和报复心态在计算机应用领域的表现。
1、3、2计算机软硬件产品的微弱性是根本的技术原因
计算机是电子产品。数据从输入、储存、处理、输出等环节,易误入,篡改、丢失、作假和破坏;程序易被删除、改写;计算机软件设计的手工方式,效率低下且生产周期长;人们至今没有办法事先了解一个程序有没有错误, 只能在运行中发现、修改错误,并不知道还有多少错误和缺陷隐藏在其中。这些脆弱性就为病毒的侵入提供了方便。
1、3、3计算机的普及应用是计算机病毒产生的必要环境
1983年11月3日美国计算机专家首次提出了计算机病毒的概念并惊醒了验证。几年前计算机病毒就迅速蔓延,到我国才是近年来的事。而这几年正是我国微型计算机普及应用热潮。微机的广泛普及, 操作系统简单明了, 软、硬件透明度高, 基本上没有什么安全措施,能够透彻了解它内部结构的用户日益增多, 对其存在的缺点和易攻击处也了解的越来越清楚, 不同的目的可以做出截然不同的选择。目前, 在IBMPC系统及其兼容机上广泛流行着各种病毒就很说明这个问题。
1、4计算机病毒的基本特征
1、4、1非授权可执行性
用户通常调用执行一个程序时,把系统控制交给这个程序,并分配给他相应系统资源,如内存,从而使之能够运行完成用户的需求。因此程序执行的过程对用户是透明的。而计算机病毒是非法程序,正常用户是不会明知是病毒程序,而故意调用执行。但由于计算机病毒具有正常程序的一切特性:可存储性、可执行性。它隐藏在合法的程序或数据中,当用户运行正常程序时,病毒伺机窃取到系统的控制权,得以抢先运行,然而此时用户还认为在执行正常程序。
1、4、2隐蔽性
计算机病毒是一种具有很高编程技巧、短小精悍的可执行程序。它通常粘附在正常程序之中或磁盘引导扇区中,以及一些空闲概率较大的扇区中,这是它的非法可储存性。病毒想方设法隐藏自身,就是为了防止用户察觉。
1、4、3传染性
传染性是计算机病毒最重要的特征,是判断一段程序代码是否为计算机病毒的依据。病毒程序一旦侵入计算机系统就开始搜索可以传染的程序或者磁介质,然后通过自我复制迅速传播。由于目前计算机网络日益发达,计算机病毒可以在极短的时间内,通过像Internet这样的网络传遍世界。
1、4、4潜伏性
计算机病毒具有依附于其他媒体而寄生的能力,这种媒体我们称之为计算机病毒的宿主。依靠病毒的寄生能力,病毒传染合法的程序和系统后,不立即发作,而是悄悄隐藏起来,然后在用户不察觉的情况下进行传染。这样,病毒的潜伏性越好,它在系统中存在的时间也就越长,病毒传染的范围也越广,其危害性也越大。
1、4、5表现性或破坏性
无论何种病毒程序一旦侵入系统都会对操作系统的运行造成不同程度的影响。即使不直接产生破坏作用的病毒程序也要占用系统资源(如占用内存空间,占用磁盘存储空间以及系统运行时间等)。而绝大多数病毒程序要显示一些文字或图像,影响系统的正常运行,还有一些病毒程序删除文件,加密磁盘中的数据,甚至摧毁整个系统和数据,使之无法恢复,造成无可挽回的损失。因此,病毒程序的表现性或破坏性体现了病毒设计者的真正意图。
1、4、6可触发性
计算机病毒一般都有一个或者几个触发条件。满足其触发条件或者激活病毒的传染机制,使之进行传染;或者激活病毒的表现部分或破坏部分。触发的实质是一种条件的控制,病毒程序可以依据设计者的要求,在一定条件下实施攻击。这个条件可以是敲入特定字符,使用特定文件,某个特定日期或特定时刻,或者是病毒内置的计数器达到一定次数等。
第2章 计算机病毒传播和防护知识
2、1计算机病毒的传播途径
一、通过不可移动的计算机硬件设备进行传播,这些设备通常有计算机的专用ASIC芯片和硬盘等。这种病毒虽然极少,但破坏力却极强,目前尚没有交好的检测手段对付。
二、通过移动存储设备来传播这些设备包括软盘、磁带、U盘等。在移动存储设备中,软盘、U盘是使用最广泛移动最频繁的存储介质。目前,大多数计算机都是从这类途径感染病毒的。
三、通过计算机网络进行传播。现代信息技术的巨大进步已使空间距离不再遥远,“相隔天涯,如在咫尺”,但也为计算机病毒的传播提供了新的“高速公路”。计算机病毒可以附着在正常文件中通过网络进入一个又一个系统, 国内计算机感染一种“进口”病毒已不再是什么大惊小怪的事了。在我们信息国际化的同时, 我们的病毒也在国际化。估计以后这种方式将成为第一传播途径。
四、通过点对点通信系统和无线通道传播。目前,这种传播途径还不是十分广泛,但预计在未来的信息时代,这种途径很可能与网络传播途径成为病毒扩散的两大“时尚渠道”。
2、2对计算机病毒攻击的防范
简而言之,病毒防治的关键是:把好入口关。防治工具——杀毒软件(病毒卡及其防火墙),如金山毒霸、KV300、KILL、PC-cillin、VRV、瑞星、诺顿等反病毒软件。
根据计算机病毒的工作原理,我们可以找到防治它们的方法。
首先,因为许多病毒程序都需要修改中断向量表,以便在出现某种中断请求时激活病毒,所以,通过检查中断向量表是否异常就可以发现病毒程序的存在及其入口地址。然后就可以对它进行剖析和进行针对性的防治。
其次,由于多数病毒潜伏在磁盘的引导扇区内,利用计算机启动过程进入内存,因此,保持和恢复DOS盘引导扇区的正确性十分重要。对于健康的磁盘必须加上“写保护”。对于有病毒的磁盘,利用DOS命令中“SYS”系统传送命令可以简单地加以治愈。当然;有病毒的DOS盘也必须完成正常的引导过程,所以必定要把正常的引导扇区保存在磁盘的某个地方,找到这个地址,把引导扇区调回原处,磁盘的病毒也就解除了。
另外,由于有病毒的磁盘都存在一定的标记便于病毒程序识别,利用这个特点,我们可以给健康的磁盘也打上这样的标记,以欺骗病毒程序使它误以为已经进行过传染工作而不再进行感染,相当于使磁盘具有了“免疫功能”。总之,针对病毒的工作原理,可以编制出各种防治病毒程序。
计算机病毒攻击与防御手段是不断发展的,要在计算机病毒对抗中保持领先地位,必须根据发展趋势,在关键技术环节上实施跟踪研究,这需要每一个反病毒工作者及爱好正义的人们为此付出孜孜不倦的努力。
2、3计算机的几种主要病毒
计算机病毒是一组通过复制自身来感染其它软件的程序。当程序运行时,嵌入的病毒也随之运行并感染其它程序。一些病毒不带有恶意攻击性编码,但更多的病毒携带毒码,一旦被事先设定好的环境激发,即可感染和破坏。自80年代莫里斯编制的第一个“蠕虫”病毒程序至今,世界上已出现了多种不同类型的病毒。在最近几年,又产生了以下几种主要病毒:
(1)“美丽杀手”(Melissa)病毒。这种病毒是专门针对微软电子邮件服务器MS Exchange和电子邮件收发软件0utlookExpress的Word宏病毒,是一种拒绝服务的攻击型病毒,能够影响计算机运行微软word97、word2000和0utlook。这种病毒是一种Word文档附件,由E-mall携带传播扩散。由于这种病毒能够自我复制,一旦用户打开这个附件,“美丽杀手”病毒就会使用0ut1ook按收件人的0ut1ook地址簿向前50名收件人自动复制发送,从而过载E-mai1服务器或使之损坏。“美丽杀手”病毒的扩散速度之快可达几何级数,据计算,如果“美丽杀手”病毒能够按照理论上的速度传播,只需要繁殖 5次就可以让全世界所有的网络用户都都收到一份。“美丽杀手”病毒的最令人恐怖之处还不仅是拒绝电子邮件服务器,而是使用户的非常敏感和核心的机密信息在不经意间通过电子邮件的反复传播和扩散而被泄漏出去,连扩散到了什么地方可能都不得而知。据外电报道,在北约对南联盟发动的战争行动中,证实“美丽杀手”病毒己使 5万部电脑主机和几十万部电脑陷于瘫痪而无法工作,网络被空数据包阻塞,迫使许多用户关机避灾。
(2)“怕怕”(Papa)病毒。“怕怕”病毒是另一种Excel宏病毒,它能够绕开网络管理人员设置的保护措施进入计算机。这种病毒与“美丽杀手”病毒相类似,其区别在于“怕怕”病毒不但能象“美丽杀手”病毒一样迅速传播,拒绝服务和阻塞网络,而且更为严重的是它能使整个网络瘫痪,使被它感染的文件所具有的宏病毒预警功能丧失作用。
(3)“疯牛”(MadCow)和“怕怕B”病毒。这俩种病毒分别是“美丽杀手”和“怕怕”病毒的新的变型病毒。正当美国紧急动员起来对付3月26日发现的“美丽杀手”和“怕怕”病毒时,在欧洲又出现了它们的新变种“美丽杀手B”(又叫作“疯牛”)和“怕怕B”,目前正横扫欧洲大陆,造成大规模破坏,而且还正在向全世界扩散蔓延。 虽然这两种病毒变种的病毒代码不同,可能不是一个人所编写,但是,它们同样也是通过发送Word和Excel文件而传播。每次被激活后, 这种病毒就会向用户电子邮件簿的前60个地址发送垃圾邮件;它还可以向一个外部网站发送网络请求,占用大量的带宽而阻滞网络的工作,其危害性比原型病毒有过之而无不及。
(4)“幸福1999”宏病毒。这是一种比“美丽杀手”的破坏作用小得多病毒。“幸福1999”病毒会改变计算机中的微软公司Windows程序与Internet网工作。这种病毒还发送一个执行文件,激活焰火显示,使屏幕碎裂。
(5)“咻咻”(Ping)轰击病毒。“咻咻”轰击病毒的英文单词是“分组Internet 搜索者”的缩写,指的是将一个分组信息发送到服务器并等待其响应的过程,这是用户用以确定一个系统是否在Internet网上运行的一种方法。据外电报道,运用“咻咻”(Ping)轰击病毒,发送大量的“咻咻”空数据包,使服务器过载,不能对其它用户做出响应。
第3章 计算机病毒发展趋势和管理方法
3、1计算机病毒的发展趋势
3、1、1我们将与病毒长久共存
人类进入了信息社会创造了智能机器(电子计算机), 同时也创造了机器(电子计算机)病毒,福祸同降。 人类在信息社会更容易与机器(电子计算机)融为一个整体,可是,破坏这个整体的一个方面将是机器病毒(计算机病毒),人类同时在与生物病毒作斗争时又要与机器病毒作斗争,这是人类在方便自己时也在为难自己。
从一九八三年计算机病毒首次被确认以来,并没有引起人们的重视。直到一九八七年计算机病毒才开使受到世界范围内的普遍重视。我国于一九八九年在计算机界发现病毒。至今,全世界已发现近数万种病毒,并且还在高速度的增加。
由于计算机软件的脆弱性与互联网的开放性,我们将与病毒长久共存。而且,病毒主要朝着能更好的隐蔽自己并对抗反病毒手段的方向发展。同时,病毒已被人们利用其特有的性质与其他功能相结合进行有目的的活动。
病毒的花样不断翻新,编程手段越来越高,防不胜防。特别是Internet的广泛应用,促进了病毒的空前活跃,网络蠕虫病毒传播更快更广,Windows病毒更加复杂,带有黑客性质的病毒和特络依木马等有害代码大量涌现。
下面按病毒先后出现的顺序,简要例举部分病毒的特性就可看出其发展。
3、1、2网络蠕虫病毒的发展
最早的网络蠕虫病毒作者是美国的小莫里思,他编写的蠕虫病毒是在美国军方的局域网内活动,但是,必需事先获取局域网的权限和口令。
世界性的一个大规模在Internet网上传播的网络蠕虫病毒是1998年底的Happy99网络蠕虫病毒,当你在网上向外发出信件时,HAPPY99网络蠕虫病毒会顶替你的信件或随你的信件从网上跑到你发信的目标出,到了1月1日,收件人一执行,便会在屏幕上不断暴发出绚丽多彩的礼花,机器就不在干什么了。
1999年3月欧美暴发了“美丽杀”网络蠕虫宏病毒,欧美最大的一些网站频频遭受到堵塞,造成巨大经济损失。
2000年至今,是网络蠕虫开始大闹互联网的发展期。
2000年,在欧美还暴发了I-WORM/Love Letter“爱虫”网络蠕虫病毒,又使欧美最大的一些网站和企业及政府的服务器频频遭受到堵塞和破坏,造成了比“美丽杀”病毒破坏还大的经济损失。目前,该病毒以有十多种变种产生,不断的到处破坏。
2001年后,有更多的网络蠕虫出现。
I_WORM.NAVIDAD网络蠕虫。该病毒能引发大规模的邮件泛滥。其传播机制不同于一般的网络蠕虫程序(如爱虫、美丽公园等),该网络蠕虫程序具有较大的迷惑性:用户通过OUTLOOK EXPRESS 收到的是一封来自你曾经发送过的人的回复信件,内容与您发送的完全一致,邮件的主题、邮件的正文都一样,只是增加了一个电子邮件的附件,该附件的文件名称是:NAVIDAD.EXE文件,文件的大小是:32768字节。该附件就是该网络蠕虫程序的主体文件。该邮件只是在微软的OUTLOOK EXPRESS邮件系统下自动传播,它会自动地给您的收件箱(而不是地址簿)的所有人发送一份该网络蠕虫程序。由于病毒修改该注册表项目的文件名称的错误,WINDOWS系统在启动,读取可执行EXE文件时,会因为找不到WINSVRC.EXE文件而不能正常启动WINDOWS系统。
I_WORM.Blebla.B网络蠕虫。该病毒是通过电子邮件的附件来发送的,文件的名称是:xromeo.exe 和xjuliet.chm,该蠕虫程序的名称由此而来。当用户在使用OE阅读信件时,这两个附件自动被保存、运行。 当运行了该附件后, 该蠕虫程序将自身发送给OUTLOOK地址薄里的每一个人,并将信息发送给alt.comp.virus 新闻组。该蠕虫程序是以一个EMAIL附件的形式发送的,信件的主体是以HTML语言写成的,并且含有两个附件:xromeo.exe及xjuliet.chm.收件人本身看不见什么邮件的内容。该蠕虫程序的危害性还表现在它还能修改注册表一些项目,使得一些文件的执行,必须依赖该蠕虫程序生成的在WINDOWS目录下的SYSRNJ.EXE文件,由此可见对于该病毒程序的清除不能简单的将蠕虫程序删除掉,而必需先将注册表中的有关该蠕虫的设置删除后,才能删除这些蠕虫程序。
I_WORM/EMANUEL网络蠕虫。该病毒通过MICROSOFT的OUTLOOK EXPRESS来自动传播给受感染计算机的地址薄里的所有人,给每人发送一封带有该附件的邮件。该网络蠕虫长度16,896-22000字节,有多个变种。在用户执行该附件后,该网络蠕虫程序在系统状态区域的时钟旁边放置一个“花”一样的图标,如果用户点击该"花"图标,会出现一个消息框,大意是不要按此按钮.如果按了该按钮的话,会出现一个以Emmanuel为标题的信息框, 当您关闭该信息框时又会出现一些别的:诸如上帝保佑您的提示信息。
还有一个网络蠕虫I-Worm/Hybris的最明显的特征是, 当您打开带有该网络蠕虫程序的附件时, 您的计算机的屏幕就会被一个始终位于最上方的图象所覆盖,该图象是活动的、转动的、黑白相见的螺旋状的圆形图形。该网络蠕虫程序与其他常见的网络蠕虫程序一样,是通过网络上的电子邮件系统OUTLOOK来传播的, 同样是修改WINDOWS系统下的主管电子邮件收发的文件wsock32.dll文件。它与别的网络蠕虫程序的不同之处在于它不断可以通过网络自动发送网络蠕虫程序本身,而且发送的文件的名称是变化的。该病毒是世界上第一个可自我将病毒体分解成多个大小可变化的程序块(插件),分别潜藏计算机内的不同位置,以便躲避查毒软件。该病毒具有将这些碎块聚合成一个完整的病毒,再进行传播和破坏。早在1997年王江民先生在〈〈计算机病毒的发展趋势与对抗手段〉〉一文中就有一段话预言会有这种病毒出现。
I_WORM/HTML.Little Davinia网络蠕虫。这是一个破坏性极大的网络蠕虫,可以清除硬盘上的所有数据,它利用WORD2000的漏洞、EMAIL等来传播。该网络蠕虫程序是复合型的, 是HTML(网页语言)形式的、VBS文件结构、带有宏的网络蠕虫程序。该病毒还能修改系统的注册表,一旦修改注册表成功,该病毒就会自动搜索所有的本地硬盘、网络盘、以及所有目录下的文件,采用覆盖的方式将发现的文件写上一些含有一些杂乱信息的文字,被损坏的文件很难修复!
I_WORM.MTX网络蠕虫病毒已大面积传播, 超过了CIH的感染率,但破坏性没CIH大。它是一个变形病毒, 变化无穷。该网络蠕虫的邮件比较特殊,它没有主题、正文,只有一个附件文件,附件的文件名是变化的。
I_WORM.AnnaKournikova网络蠕虫程序是使用了一个病毒制造机程序VBSWG制造并加密。该蠕虫程序发送的邮件的附件是:
AnnaKournikova.jpg.vbs(俄罗斯体育选手的名称命名的文件名称),它是一个VBS程序文件。当邮件用户不小心执行了该附件,那么该网络蠕虫程序会给OUTLOOK地址薄里的所有人发送一份该网络蠕虫程序,邮件的附件文件名称:AnnaKournikova.jpg.vbs(俄罗斯网球女明星的图片文件)该网络蠕虫程序的长度是2853字节左右。如果机器的日期是1月26日的话,该网络蠕虫程序会自动将您指向一个位于荷兰的计算机商店的网络地址。该网络蠕虫程序会给所有地址薄里的所有用户发送网络蠕虫程序来看,它和轰动一时的“爱虫程序”有相似之处。I_Worm.Magistr网络蠕虫恶性病毒可通过互联网上电子邮件或在局域网内进行传播。可通过Outlook、Netscape Messenger等其他电子邮件软件和新闻组在内的软件读取其中地址簿中的地址发送带毒电子邮件进行传播。该病毒随机在当前机上找一个.EXE或.SCR文件和一些.DOC或.TXT文件作为附件发出去,如果你的机中.DOC或.TXT文件是机密文件,肯定会被发在互联网上到处都是。目前,该病毒已有许许多多的变种。病毒发作时间是在病毒感染系统一个月后。病毒会改写本地机和局域网中电脑上的文件,文件内容全部被改写,这将导致文件不能恢复!如果在WIN9X环境下,该病毒会象CIH病毒一样,破坏BIOS和清除硬盘上的数据,是危害性一非常大的一种病毒。该病毒采用了多变形引擎和两组加密模块,病毒感染文件的中部和尾部,将中部的原文件部分代码加密后潜藏在病毒体内,病毒长为24000-30000字节。 病毒使用了非常复杂的感染机制,感染.EXE、.DLL、.OCX、.SCR、.CPL等文件,病毒每传染一个目标,就变化一次,具有无穷次变化,其目的是使反病毒软件难以发现和清除。
病毒在发展,网络在发展,网络又促进了病毒的发展,复杂的病毒又超着变形病毒发展。
3.1.3变形病毒
早先,国内外连续发现多种更高级的能变换自身代码的“变形”病毒,其名字有:Stea lth(诡秘)病毒、Mutation Engine(变形金钢或称变形病毒生产机)、Fear(恐怖)、Satan(恶魔)、 Tremor(地震)、 Casper(卡死脖幽灵)、One_Half/3544(幽灵)、NATAS/4744(拿他死幽灵王)、NEW DIR2病毒等。 特别是Mutation Engine,它遇到普通病毒后并能将其改造成为变形病毒。这些变形病毒具有多态性、多变性,甚至没有一个连续的字节是相同的,从而使以往的搜索病毒方法不知去搜索什么。1992年,我们首次发现了国内第一例变形病毒,病毒名字为“Doctor”(医生)。
目前,我国已发现了许许多多变形病毒, 其名字称为“Doctor” (医生)、NewFlip(颠倒屏幕)、Casper(卡死脖幽灵)、Ghost/One_Half/3544(幽灵)、VTech、NATAS/4744(拿他死幽灵王)、1982/(福州大学HXH)、1748/HXH、2560/HYY、V3、HYY/3532(福州1号变形王)、Tremor、5VOLT4、CLME、1748/HXH、NEW DIR2、CONNIE2台湾2号变形王、MADE-SP、HEFEI(合肥1号,2号)、JOKE、NIGHTALL、WIN-Marburg、WIN32/HPS、WIN32/CXDZ、WIN32/MATRIX、I-WORM/MAGISTR(马吉思)等病毒。
这些变形病毒能将自身的代码变换成亿万种样贴附在被感染的文件中,其Casper(卡死脖幽灵)、Ghost/One_Half/3544(幽灵)、1982/(福州大学HXH)病毒可变代码为数千亿种,NATAS/4744(拿他死幽灵王)、 HYY/3532(HYY/3532(福州1号变形王)、HEFEI变形鬼魂、CONNIE2台湾2号变形王、MADE-SP、HEFEI、JOKE、NIGHTALL、Marburg病毒代码可变无穷次。这使的一些病毒扫描软件产生漏查漏杀现象。其中,CONNIE2台湾2号变形王、MADE-SP、JOKE、NIGHTALL、Windows Marburg、I-WORM/MAGISTR变形病毒变形复杂,几乎达到了不可解除的状态。
通过以上例子来看,计算机病毒在不断发展,手段越来越高明,结构越来越特别。目前,对出现的上万种引导区病毒和普通的文件型病毒以及宏病毒已有了较好的对策,但变形病毒将会是今后病毒发展主要方向之一,这应当引起我们的警惕。那么变形病毒是什么样呢?
3、1、4变形病毒的基本类型
病毒都具有一定的基本特性,这些基本特性主要指的是病毒的传染性、繁殖性、破坏性、恶作剧等其它表现,这是普通病毒所应具备的基本特性。
过去,一些教科书里对病毒的基本定义简单的说是“具有传染性质的一组代码,可称为‘病毒’”。即病毒从一个文件传染到另一个文件上,许多文件会染毒。引导区病毒从一个磁盘传染到另一个磁盘上。
而在互联网时代,网络会在互联网上通过一台机器自动传播到另一台机器上,一台机器中只有一个蠕虫病毒,当然,也有的蠕虫可以在当前机器中感染大量文件。
现在应发展一下对病毒的基本定义。即对病毒的基本定义简单的说是“具有传播性质的一组代码,可称为‘病毒’”。
病毒这些基本特性不能用来决定病毒是属于第几代的。能用变化自身代码和形状来对抗反病毒手段的变形病毒才是下一代病毒首要的基本特征。我们通过多年的反病毒研究,对变形病毒做了以下定义:
变形病毒特征主要是,病毒传播到目标后,病毒自身代码和结构在空间上、时间上具有不同的变化。我们以下简要划分的变形病毒种类分为四类。
第一类变形病毒的特性是:具备普通病毒所具有的基本特性,然而,病毒每传播到一个目标后,其自身代码与前一目标中的病毒代码几乎没有三个连续的字节是相同的,但这些代码其相对空间的排列位置是不变动的, 这里称为:一维变形病毒。
在一维变形病毒中, 个别的病毒感染系统后,遇到检测时能够进行自我加密或脱密,或自我消失。有的列目录时能消失增加的字节数,或加载跟踪时,病毒能破坏跟踪或者逃之夭夭。
第二类变形病毒的特性是:除了具备一维变形病毒的特性外,并且那些变化的代码相互间的排列距离(相对空间位置),也是变化的,这里称为:二维变形病毒。
在二维变形病毒中, 有如前面提到的MADE-SP病毒等,能用某种不动声色特殊的方式或混载于正常的系统命令中去修改系统关键内核,并与之溶为一体,或干脆另创建一些新的中断调用功能。有的感染文件的字节数不定,或与文件溶为一体。
第三类变形病毒的特性是:具备二维变形病毒的特性,并且能分裂后分别潜藏在几处,当病毒引擎被激发后都能自我恢复成一个完整的病毒。病毒在附着体上的空间位置是变化的,即潜藏的位置不定。比如:可能一部分藏在第一台机器硬盘的主引导区,另外几部分也可能潜藏在几个文件中,也可能潜藏在覆盖文件中,也可能潜藏在系统引导区、也可能另开垦一块区域潜藏...等等。而在下一台被感染的机器内,病毒又改变了其潜藏的位置。这里称为:三维变形病毒。
第四类变形病毒的特性是:具备三维变形病毒的特性,并且,这些特性随时间动态变化。比如,在染毒的机器中,刚开机时病毒在内存里变化为一个样子,一段时间后又变成了另一个样子,再次开机后病毒在内存里又是一个不同的样子。还有的是这样一类病毒,其本身就是具有传播性质的“病毒生产机”病毒,它们会在计算机内或通过网络传播时,将自己重新组合代码生成于前一个有些代码不同的变种新病毒,这里称为:四维变形病毒。
四维变形病毒大部分具备网络自动传播功能,在网络的不同角落里到处隐藏。
还有一些这类高级病毒不再持有以往绝大多数病毒那种“恶作剧”的目的,它可能主要是,人类在信息社会投入巨资研究出的、可扰乱破坏社会的信息、政治、经济制序等、或是主宰战争目的的一种“信息战略武器”病毒。它们有可能接受机外遥控信息,也可以向外发出信息。比如在多媒体机上可通过视频、音频、无线电或互联网收发信息。也可以通过计算机的辐射波,向外发出信息。也可以潜藏在联接Internet网的计算机中,收集密码和重要信息,再悄悄的随着主人通信时,将重要信息发出去(I-WORM/MAGISTR(马吉思)病毒就有此功能),这些变形病毒的智能化程度相当高。
以上,我们把变形病毒划分定义为一维变形病毒、二维变形病毒、三维变形病毒、四维变形病毒。这样,可使我们站在一定的高度上对变形病毒有一个较清楚的认识,以便今后针对其采取强而有效的措施进行诊治。
以上的四类变形病毒可以说是病毒发展的趋向,也就是说:病毒主要朝着能对抗反病毒手段和有目的方向发展。目前,已发展到了一维、二维、三维变形病毒。
3.1.5特洛伊木马与有害代码
互联网的发展,使病毒、黑客、后门、漏洞、有害代码等相互结合起来,对信息社会造成极大的威胁。
国际上最早最有名的Backdoor.BO1.2、BO2K和国产的“冰河”的客户端程序是一个可潜伏在用户机中的后门程序,它可将用户上网后的计算机大开后门,任意进出。可以记录各种口令信息,获取系统信息,限制系统功能:包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制;还可远程文件操作:包括创建、上传、下载、复制、修改、删除文件或目录、文件压缩、快速浏览文件、远程打开文件等多项文件操作功能;还可对注册表操作:包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能。这在当时,影响极大。
国产类似上述的后门程序有“冰河”一系列版本,被散发的面积很大,有相当多的用户在不知不觉中使机器中“毒”。
这是一个基于TCP/IP协议和WINDOWS操作系统的网络工具,可用于监控远程计算机和配置服务器程序。但是,其被监控端后台监控程序在被执行时,没有明显的告诫警示不明用户的安装界面和安装路径及其屏幕右下角没有最小化托盘图标,而是悄悄的就安装在用户机中了,为用户带来潜在的危害。所以,被所有反病毒公司的反病毒软件做为“后门有害程序”而杀掉。
类似这类的国内外程序还有,YAI、PICTURE、NETSPY、NETBUS、DAODAN、BO.PROC、CAFCINI.09、BADBOY、INTERNA 、QAZ、SPING、THETHING、MATRIM、SUBx等等。主要的特络依木马有SURFSPY、EXEBIND、SCANDRIV、NCALRPC、WAY20、OICQ.KEY、CAINABEL151、ZERG、BO.1EANPB、COCKHORSE、ZSPYIIS、NETHISF等等。
其中OICQ.KEY、NETHISF一种可将IP地址、系统密码等发出去的特络依木马,被不轨人悄声捆绑在某OICQ在线聊天程序中,结果被人下载了几十万多次,真不知有多少人受到伤害。
还有那些直接就破坏的恶性程序,如shanghai.TCBOMB(上海TC炸弹),放在网上供人下载。不知情的用户一执行后,瞬间硬盘就不能用了,数据就取不出来了,这会使受害者茹痛不生。还有HARM/DEL-C,这个程序被人用了一个响亮的名字,一执行后,C盘下的文件全被删除了。这类恶意程序还有FUNJOKE、SIJI、HA-HA、MAILTOSPAM、SYSCRASH、CLICKME、QUAKE、WAY20、TDS.SE、STRETCH、NUKER等等。
还有那些不破坏的恶作剧,出现一幅吓人的画面,或死机,或屏幕抖动等等。这类程序有JOKE/GHOS(女鬼)、TBLUEBOMB、FLUKE、JOKEWOW等等。
攻击类的黑客程序,它是行为人(黑客)使用的工具,一般的反病毒软件不去查它,留给“网络防火墙”来处理。
网络的广泛使用和漫无边际的交流,为破坏者提供了场所。一些恶性破坏程序和恶作剧等各种各样的有害代码被人在网上传播和供人下栽,或以美丽猎奇的标题诱人上当。这些有害代码也成了反病毒软件的任务。
目前,国内外的后门、漏洞、有害代码等成了反病毒软件要对付的主攻方向,已有了2000多种,仅次于7500多种宏病毒。有害代码程序会越来越多,而查毒软件对其没有任何先知的智能化的查找方法,最多也只能在其行为上(破坏时)“实时监测”。
3、1、6病毒的种类数量
目前,病毒到底有多少ⅶ 各反病毒公司说法不一。如下:
DOS病毒: 40000 种
WIN32病毒: 15 种
WIN9x病毒: 600 种
WINNT/WIN2000病毒: 200 种
WORD宏病毒: 7500 种
EXCEL宏病毒: 1500 种
PowerPoint病毒: 100 种
Script脚本病毒: 500 种
Macintos苹果机病毒: 50 种
Linux病毒: 5 种
手机病毒: 2 种
合计: 55000 种
国际上有名的病毒编写组织有:
29A
Linezero
MetaPhase
随着计算机的不断发展,和历史原因,以及软件、硬件上技术的垄断与操作系统、办公集成系统在习惯上根深蒂固的垄断及延续,造成了计算机所固有的脆弱性。 比如,因芯片或硬盘(或光盘)或软件在技术上的被垄断, 垄断部门有可能把“病毒”设计进芯片或硬盘(或光盘)或软件的非正常区域。或在硬件、软件中留有“后门”,非常时期时再通过某种方式将“病毒”激活, 或将“后门”打开,施行毁灭性的打击,真是神不知鬼不觉。
比如说:CPU等芯片,它的功能和构造比我们身上带的BP机要强大和复杂的多,谁能说它里面没有“后门”或“病毒”呢!它是否能象BP机一样通过主板上的导线接收外来的无线信息这不是太容易了吗ⅶ 一但接收到了外来信息,它是否会放出“病毒”或开启“后门”或发出破坏指令呢,或令“死机”!哪后果可想而知…
我们已发现某一广泛使用的操作系统中的一处“缺陷”!这是“缺陷”ⅶ 还是“后门”? 我们还发现某操作系统中隐藏有一处非常危险的逻辑错误,是“错误”ⅶ还是隐藏的“炸弹”ⅶ 为什么至今连续几年的新版本都不改掉!为什么另一家相同功能的操作系统中就没有这一“错误”!这一“错误”(后门)如果在信息战中被利用,计算机将彻底瘫痪!这一现状,必应引起我们的高度重视,小规模的信息化战争和对抗已不断出现。比如说,94年4月,南非的黑人领袖在竞选总统时获得较大优势,但是,最后在统计选票的关键时刻,出现了计算机病毒的严重事件,机器被病毒搞瘫痪了,迫使选票结果推迟了几天,险些使大选结果遭到毁灭性破坏。这一事件的产生过程,直到现在还是个谜。中美黑客对抗和攻击引发我们深思…
大规模的信息战争也将一触即发。所以,我们必须加强反病毒手段的研究和全方位信息安全的研究。国际互联网Internet的广泛发展,虽然加速了病毒的传播速度和广度,但是,各国的老病毒由于其本身的局限性还不会在全球广泛传播。只有本地化和地域性的新型病毒随着国与国信息的频繁往来交流,将上升为全球性病毒。新病毒对各国来说都是新的,这就要看谁具备了快速的反病毒手段,谁具备了快速为用户能解除病毒的条件。
另外,在网络上抗病毒(防火墙)和对网络性能要求成反比,所以,总会有漏网的病毒,目前,各国都在研究各种各样的防火墙(防病毒是防火墙内的功能之一),但在网络上还没有完美无缺的抗病毒方法和产品。据实验,最好的防病毒产品,对新病毒的漏网率为20%,那么,10个新病毒就可能有2个漏网,100个新病毒就可能有20个病毒漏网,这多可怕!而往往有时用户的机器中也就染上了那么一两种病毒,而就这一两种病毒就使机器不能正常工作了,而也就在这时,这一两种病毒使那些能杀1千种、1万种、5万种的杀毒软件的威风不知道哪去了。也就为了杀除这一两种病毒,用户到处寻求有效的反病毒解决方案!
3.1.7寻找抗病毒的有效方法
在反病毒的长期过程中,我们必须用科学的观点正视如下现实:
(1)目前的防病毒软硬件不可能自动防今后一切病毒!
(2)目前的查解病毒软硬件不可能自动查解今后一切动恢复被这些新病毒感染的文件! 有些惑人的广告词,如“自动查解今后一切未知病毒”、“可解除所有病毒”、“百分之百查杀世界流行病毒”等等,太夸大其词了。如果,这些广告词的创造者,真正亲自研究解除过一百种以上病毒,那他就不会使用“一切”、“所有”的词了,因为那些病毒的创造者们头脑十分发达灵巧,魔法无穷,怪招百出。谁也不能预计今后一切病毒会发展到什么样子,很难能开发出具有先知先觉功能的“一切”、“所有”的自动反病毒软硬件和工具。
(3)目前的防、查、解病毒软件和硬件, 如果其对付的病毒种类越多,越会有误查误报现象,也不排除有误解或解坏现象。杀毒编程太费事、太累、还要冒风险,后来国外有的软件干脆只杀除其已知病毒的70%,复杂病毒只查不杀了。所以,杀病毒时,用户应遵循一查找、二备份、三解除的原则。
(4)目前的防、查、解病毒软件和硬件是易耗品, 必须经常更新、升级或自我升级。病毒穷出不尽,有时明明知道机内染有一种新病毒,那么在别的机器内和磁盘中还有此病毒吗? 这需要靠经验和时间去费力的判断,用户苦于手头没有主动式快速诊治新病毒的手段。
目前,计算机病毒之所以到处不断的泛滥,其一个方面的原因就是查解病毒的手段老是跟在一些新病毒的后面发展,所以病毒就到处传染。并且,现代信息传递有多么快、多么广,病毒就传染有多么快、多么广。病毒产生在先、诊治手段在后,让病毒牵着鼻子走的状态,怕是长久问题。
那么,有没有能紧紧跟上病毒的传播,而对其采取有效的查解手段呢? 最起码在新病毒刚露头时,就应有能立即快速将其查找出来的手段,这样可针对其采取相应的措施,将新病毒消灭在初发阶段。
目前,要想有效诊治病毒的手段之一,就是最起码应该使懂电脑基本操作的和略知病毒常识的用户,有一种能不必编程序而可方便有效的主动去快速查出新病毒的手段。查出新病毒后,可根据情况采取相应对策,这样做会及早的限制住新病毒的流行。
这种方法之一就是,用户应有一种能根据病毒特征码和开放式加载查毒模块来查出普通病毒和变形病毒的专门的程序,其新病毒的特征码和解密模块可通过专业报刊杂志和Internet网及有关渠道获得,需要有反病毒部门经常提供新病毒特征码和反毒程序模块。
那么,有这种可以随时增加查病毒能力的程序吗?那些变形病毒容易查出吗ⅶ变形病毒的出现,使抗病毒的难度加大了。在这里我们说,病毒在发展,但反病毒理论和技术也在发展!一种杀病毒软件性能优劣的一个关键方面就是看,用什么样的理论来指导技术上的快速跟进。
比如说:目前,国际上已有数万种病毒,但是变种占了一半多。把变种相似的分类,分几个、几十个、几百个一组找出它们共有的特殊代码,我们称为广谱病毒特征码,这不就是可用几组、几十组简单的广谱特征码就可查出几百个、几千个老病毒和新病毒了吗? 难道这不好吗?
再如磁盘引导区有512个字节,感染这地方的病毒有千百种,可我们只用不到十个字节的广谱病毒特征码,就可以查出几十个、几百个引导区病毒,这也不可取吗ⅶ再如WORD宏病毒大潮,来势凶凶,铺天盖地。当我们研究了一大部分宏病毒后,发现了宏病毒的广谱特性,因此,来多少杀多少!
话再说回来,狡诈的变形加密病毒,象乱线团一个,几乎让人解不开。用具有特殊技术的查毒方法,使上述病毒在静态环境中是很容易被发现。所谓静态环境就是指重新加电,用干净软盘引导系统。这样,就可在内存无病毒的状态下,用具有特殊扫描方法的软件去主动搜索病毒。即我们可用广谱过滤法、以毒攻毒法、跟踪法、逻辑法、逆转显影法、内存反转法、虚拟机法、启发式分析法、指纹分析法、神经网络敏感系统...等等,目前,还没有解不了的变形病毒。
对用户需要来说,抗病毒最有效的方法是:一备份!二备份!三备份!
对用户需要来说,抗病毒最有效的手段是:病毒库升级要快!快!快!
对用户需要来说,病毒破坏后最没办法的办法是:死马当着活马医-灾难恢复!
3、2对计算机病毒攻击的防范的对策和方法
3、2、1对计算机病毒攻击的防范对策
1.建立有效的计算机病毒防护体系
有效的计算机病毒防护体系应包括多个防护层。一是访问控制层;二是病毒检测层;三是病毒遏制层;四是病毒清除层;五是系统恢复层;六是应急计划层。上述六层计算机防护体系,须有有效的硬件和软件技术的支持,如安全设计及规范操作。
2.严把收硬件安全关
国家的机密信息系统所用设备和系列产品,应建立自己的生产企业,实现计算机的国产化、系列化;对引进的计算机系统要在进行安全性检查后才能启用,以预防和限制计算机病毒伺机入侵。
3.防止电磁辐射和电磁泄露
采取电磁屏蔽的方法,阻断电磁波辐射,这样,不仅可以达到防止计算机信息泄露的目的,而且可以防止“电磁辐射式”病毒的攻击。
4.加强计算机应急反应分队建设
应成立自动化系统安全支援分队,以解决计算机防御性的有关问题。早在1994年,美国软件工程学院就成立了计算机应急反应分队。
3、2、2对计算机病毒的方法
计算机病毒攻击与防御手段是不断发展的,要在计算机病毒对抗中保持领先地位,必须根据发展趋势,在关键技术环节上实施跟踪研究。实施跟踪研究应着重围绕以下方面进行:一是计算机病毒的数学模型。二是计算机病毒的注入方式,重点研究“固化”病毒的激发。三是计算机病毒的攻击方式,重点研究网络间无线传递数据的标准化,以及它的安全脆弱性和高频电磁脉冲病毒枪置人病毒的有效性。四是研究对付计算机病毒的安全策略及防御技术。
致 谢
在完成这篇论文之际,我要向在我大学学习的3年里,给我传授知识、教我做人处事的所有计算机系的老师表示由衷的感激;向给过我关心照顾、和睦相处的老师、同学、朋友表示真诚的感谢。
首先,感谢我的指导老师刘兴梓老师。从选题、开题到写作、修改以及审阅定稿,始终得到刘老师的悉心的关怀与细致的指导。老师认真负责的工作态度、严谨的治学风格,我衷心的敬佩。老师的风格、品质和学识值得我学习。在这里,我要向刘老师致以衷心的感谢。
其次,要感谢我的同寝室的同学。我们一起搜集资料;学习软件使用;也为我提供了使用计算机的机会,使我能够顺利的完成论文。
最后,要非常感谢我校图书馆的工作人员。我的绝大多数论文资料都来自图书馆的藏书和电子阅览室,是他们给我提供了良好的学习环境和机会,对我的论文能以完成起到了很大的帮助。
献上此论文,作为我三年大学生活的成绩汇报,向所有帮助过我的人表示我由衷的感谢!
参考文献
[1]王晓涛.浅谈计算机病毒[J] 山东电力技术,1995,(02).
[2]石铁峰.浅谈计算机系统型与文件型病毒的特点及其防治[J].南宁师范高等专科学校学报,1995,(02).
[3]张允惠.计算机病毒及其传染特点[J].华北电力技术,1994,(05).
[4] 戴原人.试论电脑病毒检测与消除[J].电脑与信息技术,1995,(06).
[5]刘志远.预防、检测病毒的简单有效方法[J].电脑,1995,(03).
[6]刘小青.浅谈计算机病毒的起源及其特点[J].地方政府管理,1995,(S1).
扫一扫
796
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
