病毒的分类

一. 传统开机型病毒:

纯粹的开机型病毒多利用软碟开机时侵入电脑系统, 然後再伺机感染其他的软碟或硬碟, 例如∶STONED 3 ( 米开朗基罗). DISK KILLER. HEAD ELEVEN.目前市面上大多数的防毒. 扫毒程式均可预防此类病毒, 一般电脑用户对於此类病毒最好的预防方式, 即是避免使用外来软碟开机.

以1990年以後出品的AMI BIOS而言, 就已经提供了设定由硬碟开机的功能, 足可令电脑用户避开此类病毒的侵扰.使用者於电脑开机时, 压或 键即进入BIOS的设定, 其中选择 将游标移至选项, 设定, 即完成了由硬碟开机的设定.

二. 隐形开机型病毒:

此类病毒的开山始祖, 首推(C)BRAIN, 凡是为此病毒感染之系统, 再行检查开机区(PARTITION TABLE & BOOT SECTOR), 得到的将是正常的磁区资料, 就好像没有中毒一般, 此型病毒较不易为一般扫毒软体所查觉, 而防毒软体对於未知的此型病毒,必须具有辨认磁区资料真伪的能力.

此类病毒已出现的尚有FISH. NOVEMBER 4.

三. 档案感染型兼开机型病毒:

尽管防毒观念中强调, 避免使用外来的软碟开机, 但是仍仅能预防上述两种开机型病毒, 档案感染型兼开机型病毒则是利用档案感染时伺机感染开机区, 因而具有双重的行动能力, 此型较著名的病毒有 CANCER. HAMMER V , 目前市面上的防毒扫毒软体多能侦测出此类病毒.

四. 目录型病毒:

本型病毒之感染方式非常独特, DIR2即其代表, 此类病毒仅修改目录区( ROOT ),便可达到感染的目的.由於其修改目录区混淆DOS 的档案作业, 并不须去感染真正的档案, 可想而知病毒作者的功力相当高.而市面上之防毒软体皆能防止此病毒, 但面对此型之新病毒, 则仍有待考验.

五. 传统档案型病毒:

档案感染型病毒最大的特徵, 便是将病毒本身植入档案, 使档案膨胀, 以达到散播传染的目的.此型病毒的代表有 13 FRIDAY. SUNDAY.除扫瞄式防毒软体不具侦测未来毒之能力外, 其它如加值总和式. 移植检查式. 人工智慧式皆能顺利栏截.

六. 千面人病毒:

千面人病毒乃指具有自我编码能力的病毒, 1701下雨病毒. FLIP. 4096为主要的代表, 此种病毒编码的目的, 在使其感染的每一个档案, 看起来皆不一样, 干扰扫毒软体的侦测, 不过千面人病毒再怎么会编码, 仍会留下一段完全相同的程式开头, 所以各类侦防病毒之软体, 均能利用其留下的这个小辫子, 将其绳之以法.

七. 突变引擎:

有鉴於千面人病毒一个接一个被逮著, 便有人写出一种突变式病毒, 使原本千面人病毒无法解决的程式开头相同的问题, 加以克服, 并写成 OBJ副程式, 供人制造此型病毒, 此即 McTation Engine. Polymorphic Engine, 但是尽管如此, 这型病毒仅干扰了扫毒式软体, 对其它方式之防毒软体并没有太大的影响.

八. 隐形档案型病毒:

有越来越多的迹象显示, 隐形感染可避开许多防毒软体的侦测, 因为隐形病毒能直接植入DOS 的作业环境中, 当外部程式呼叫DOS 中断服务时, 便同时执行到病毒本身,使得病毒能从容地将受其感染的档案, 粉饰成正常无毒的样子.

此型病毒有4096. 512 及最近流行的DREAMING KING ( 即第三波129期介绍的 T4virion病毒 ), 其成功的取得DOS 的原始中断, 令各种加值总和式. 移植检查式之防毒软硬体毫无感觉, 而扫瞄式防毒软体更是无从侦测, 是一种难缠的新型病毒, 看来侦测此种病毒, 唯有依赖智慧型的方式了!

九. 终结型病毒:

虽然隐形式病毒是一种难缠的病毒, 但是与终结型病毒相比, 却又厚道许多, 因为病毒不论感染. 常驻. 延迟. 占满磁碟空间, 都不若破坏磁碟资料来的可怕, 而此型病毒也让许多防毒软体束手无策, 甚至避而不谈.究竟此毒有何可怕之处呢 原因就是此毒能追踪磁碟操作中断之原始进入点, 当病毒取得磁碟原始中断时, 病毒便可任意在磁碟上修改资料或破坏资料, 而不会「惊动」防毒程式, 这也就是说, 有装防毒程式和没装防毒程式, 一样危险.

这类病毒有的采用INT 1单步执行的方式, 逐步追踪磁碟中断的过程, 找出BIOS之磁碟中断的部份, 供病毒内部使用；有的采用死记的方式, 记录几个BIOS版本之磁碟中断原始进入点, 当病毒遇到熟悉的BIOS版本, 便可直接呼叫磁碟中断, 对磁碟予取予求；有的则分析磁碟中断的程式片段, 找出BIOS中的相似部份便可直接呼叫磁碟中断, 显然侦防此型病毒是防毒程式的必备条件, 目前市面上有此侦测能力的仅有一家.

终结型病毒的代表作有Hammer 6 NCU_LI. MACGYVER( 马盖先 )等.其中值得一提的是马盖先病毒, 此毒因害怕为某些防毒软体侦测出来, 特别记录如果遇到 SCAN.

CLEAN. ZLOCK, 等防毒软体时, 便乖乖的不动作, 但是其直接驱动磁碟中断的部份, 仍然为ZLOCK 所侦测出来.

十. ＷＯＲＤ巨集病毒:

ＷＯＲＤ巨集病毒可以说是目前最新的病毒种类了, 它是文件型病毒, 异於以往感染磁区或可执行的档案为主的病毒, 此类型之毒是利用ＷＯＲＤ提供的巨集功能来感染文件.目前以经在INTERNET及BBS网路上发现了不少巨集病毒, 而且此类型病毒是用类似ＢＡＳＩＣ的程式写出来的, 很容易学.想必发展速度一定很快.

发信人: ggreat@ms6.hinet.net (金帅ZLOCK), 看板: virus

标 题: E-mial 的 Good Times 病毒是真是假?

发信站: 金帅资讯科技有限公司 (Fri Nov 22 05:34:26 1996)

转信站: news.cs.nthu!thccx4!news.cc.nctu!serv.hinet.net!netnews.hinet.net

E-mail 的 Good Times 病毒是真是假?

最近透过广播与网路新闻获得一则消息, 报导发现了一种新的网际网路E-mail 病毒 "Good Times"(快乐时光), 只要读取E-mail信件, 即有可能中毒.这消息到底是真是假呢?

据金帅资讯研发部表示: 查证後之结果, 这种病毒已不可能再对现今的网际网路E-mail 系统造成危害了. 早在1988年以前, UNIX系统的确具有一项功能可以在读取E-mail信件时, 自动执行信件内容中的程式码, 因此就让病毒有可趁之机,利用这个功能而造成网路上的危机. 最有名的一个例子, 就是康乃尔研究生Robert.T.Morris(罗伯特.莫礼士)写了一个自动发信的病毒程式码, 夹带在其发出的E-mail信件中, 使所有收到这封信的人在读取时不知不觉的将病毒启动, 而让病毒重覆感染於所有来往的信件中, 并自动对所有的E-mail帐号发出病毒信件,硬碟中的资料也可能会被破坏, 所以到最後终於造成整个网路的瘫痪.

自从发生这种案例之後, 网际网路上UNIX系统已全面的改版, 取消这种自动启动的功能, 因此像此类的病毒已不可能在现今的网路上又造成同样的危机.

以下是由金帅所取得的 Good Times 原始文件内容摘要:

「若收到一封标题为"Good Times"的文件, 不要读它, 并立刻删除, 请小心,并再将此信传给所有关心你的人. FCC在对所有Internet用户提出警告,一个能透过Internet E-mail传染, 更甚於Stoned, Airwolf , Michaelangelo的E-mail病毒正透过Internet传播.一旦电脑中毒, 硬碟会被破坏,处理器也可能损坏.此程式具有寻找收发信件中内含的E-mail Address再自动将程式发出.」

此信件在网路上流传已近两年, 从来没有人中过此病毒, 而其流传主要系文中提到「请传给所有关心你的人.」以致造成以讹传讹, 希望网友在了解以上内容後,下次再收到此信件时可不于理会.

金帅资讯对此封信的内容表示「网际网路E-mail病毒"Good Times"纯属杜撰」.根据美国NCSA对此病毒的说明为 "The "Good Times" email virus alert,which is a false alarm,continues to circulate,wasting countless hour in offices around the world."

关於"Good Times", 是一个错误的警讯, 并在全球浪费了无数的时间）其他如Symantec亦对此病毒表示"This virus is a complete hoax."（ 此病毒完全是在恶作剧）.

不过, 现在的E-mail信件中有一项随信附带档案的功能, 这个档案可以是执行档, 也可能是WORD的文件档, 只要您收到类似的信件, 若没有防毒程式或WORD防毒巨集的话, 就不要冒然的去执行解开後的档案, 以免又不知不觉中毒了.