初探计算机病毒及其预防和处理措施
时间:2022-08-13 12:42:55
摘要:该文简要的介绍了计算机病毒的发展史,分析了计算机病毒及计算机网络病毒的特点、分类及其造成的危害。列出了几种典型的病毒,并对其进行技术分析,从而来初步探讨对付计算机病毒的方法和预防措施。
关键词:病毒;特点;防范;网络
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2013)26-5843-11
现在网络高度发达,互联网日益成为全球性工具,为计算机病毒的大规模爆发提供了有效的传播途径,因此计算机病毒就成为信息系统安全的主要威胁 ,尤其是计算机网络病毒,通过网络特别是电子邮件传播的病毒,与传统计算机病毒相比,表现出了更快的传播速度以及更强的破坏性。有鉴于此,为了确保计算机系统及网络信息的安全,研究计算机病毒的性质特征、传染途径、防范措施等,对于防范计算机系统及网络信息的安全尤为重要。
1 计算机网络病毒的特点及危害
在计算机病毒刚出现时,人们对计算机病毒的认识不够,防范意识不强,还没来得及深刻认识它的作用,它就已经开始大量传播,肆意横行了。刚开始的计算机病毒只是在单机中传播,而如今随着计算机网络应用的日益普及,计算机病毒凭借互联网迅速的传播、繁殖,其速度和危害性已引起越来越多人的重视。目前,在网络信息安全领域,计算机病毒特别是网络病毒已经成为一种有效的攻击手段。
1.1 计算机病毒的概念
计算机病毒是根据计算机软、硬件所固有的弱点,编制出的具有特殊功能的程序。
电脑病毒最初的历史,可以追溯至一九八二年,Rich Skerta撰写了一个名为:“Elk Cloner”的电脑程序,到现在已经发现的计算机病毒近七十万个,极大地威胁着计算机信息安全。从广义上讲,凡能够引起计算机故障,破坏计算机数据的程序统称为计算机病毒。1994年2月18日,我国正式颁布实施《中华人民共和国计算机信息系统安全保护条例》,在其中第二十八条中明确指出,计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能,或者毁坏数据、影响计算机使用,并能自我复制的一组计算机指令或者程序代码。
1.2 计算机病毒的特点
1)传染性
这是病毒的基本特征。计算机病毒会通过各种渠道从已被感染的计算机扩散到未被感染的计算机,造成被感染的计算机工作失常甚至瘫痪。是否具有感染性是判别一个程序是否为计算机病毒的重要条件。
2)隐蔽性
病毒通常附在正常程序中或磁盘较隐蔽的地方,也有的以隐含文件形式出现。如果不经过代码分析,病毒程序与正常程序是不容易区分开来的。计算机病毒的源程序可以是一个独立的程序体,源程序经过扩散生成的再生病毒一般采用附加和插入的方式隐藏在可执行程序和数据文件中,采取分散和多处隐藏的方式,当有病毒程序潜伏的程序被合法调用时,病毒程序也合法进入,并可将分散的程序部分在所非法占用的存储空间进行重新分配,构成一个完整的病毒体投入运行。
3) 潜伏性
大部分病毒感染系统后,会长期隐藏在系统中,悄悄的繁殖和扩散而不被发觉,只有在满足其特定条件的时候才启动其表现(破坏)模块。
4) 破坏性(表现性)
任何病毒只要入侵系统,就会对系统及应用程序产生程度不同的影响。轻则会降低计算机工作效率,占用系统资源,重则可导致系统崩溃,根据病毒的这一特性可将病毒分为良性病毒和恶性病毒。良性病毒可能只显示些画面或无关紧要的语句,或者根本没有任何破坏动作,但会占用系统资源。恶性病毒具有明确的目的,或破坏数据、删除文件,或加密磁盘、格式化磁盘,甚至造成不可挽回的损失。
5) 不可预见性
从病毒的监测方面看,病毒还有不可预见性。计算机病毒常常被人们修改,致使许多病毒都生出不少变种、变体,而且病毒的制作技术也在不断地深入性提高,病毒对反病毒软件常常都是超前的,无法预测。
6) 触发性
病毒因某个事件或数值的出现,诱使病毒实施感染或进行进攻的特性称为可触发性。病毒既要隐蔽又要维持攻击力,就必须有可触发性。
病毒的触发机制用于控制感染和破坏动作的频率。计算机病毒一般都有一个触发条件,它可以按照设计者的要求在某个点上激活并对系统发起攻击。
触发的条件有以下几种。
?以时间作为触发条件。计算机病毒程序读取系统内部时钟,当满足设计的时间时,开始启发。
?以计数器作为触发条件。计算机病毒程序内部设定一个计数单元,当满足设计者的特定值时就发作。
?以特定字符作为触发条件。当敲入某些特定字符时即发作。
?组合触发条件。综合以上几个条件作为计算机病毒的触发条件。
7) 针对性
有一定的环境要求,并不一定对任何系统都能感染。
8) 寄生性(依附性)
计算机病毒程序嵌入到宿主程序中,依赖于宿主程序的执行而生存,这就是计算机病毒的寄生性。病毒程序在浸入到宿主程序后,一般会对宿主程序进行一定的修改,宿主程序一旦执行,病毒程序就被激活,从而进行自我复制。
通常认为,计算机病毒的主要特点是传染性、隐蔽性、潜伏性、寄生性、破坏性。
1.3 计算机病毒的分类
计算机病毒的分类方法有许多种,所以,同一种病毒可能有多重不同的分法。
1.3.1 基于破坏程度分类
基于破坏程度分类是最流行、最科学的分类方法之一,按照此种分类方法,病毒可以分为良性病毒和恶性病毒。
1) 良性病毒
良性病毒是指其中不含有立即对计算机系统产生直接破坏作用的代码。这类病毒为了表现其存在,只是不停的进行扩散,会使计算机程序工作异常,但不会破坏计算机内的数据。
良性病毒取得系统控制权后,会导致整个系统运行效率降低,可用内存容量减少,某些应用程序不能运行,还与操作系统和应用程序争抢CPU的控制权,有时还会导致整个系统死锁。常见的良性病毒有“小球”病毒、“台湾一号”、“维也纳”、“巴基斯坦”病毒等。
2) 恶性病毒
恶性病毒在其代码中包含有破坏计算机系统的操作,在其传染或发作时会对系统产生直接的破坏作用。恶性病毒感染后一般没有异常表现,会将自己隐藏的很深,但是一旦发作,就会破坏计算机数据、删除文件,有的甚至会对硬盘进行格式化,造成整个计算机瘫痪,等人们察觉时,已经对计算机数据或硬件造成了破坏,损失将难以挽回。
这种病毒很多,如“黑色星期五”病毒,“CIH系统毁灭者”病毒等。
1.3.2 基于传染方式分类
按照传染方式不同,病毒可分为引导型病毒、文件型病毒和混合型病毒三种。
1) 引导型病毒
引导型病毒是指开机启动时,病毒在DOS的引导过程中被载入内存,它先于操作系统运行,所依靠的环境是BIOS中断服务程序。引导区是磁盘的一部分,它在开机启动时控制计算机系统。引导型病毒正是利用了操作系统的引导区位置固定,且控制权的转交方式以物理地址为依据,而不是以引导区内容为依据这一特点,将真正的引导区内容进行转移或替换,待病毒程序被执行后,再将控制权交给真正的引导区内容,使得这个带病毒的系统看似正常运转,而病毒已隐藏在系统中等待传染和发作。
引导型病毒按其寄生对象的不同,又可分为主引导区病毒和引导区病毒。主引导区病毒又称分区病毒,此病毒寄生在硬盘分区主引导程序所占据的硬盘0磁头0柱面第1个扇区中。引导区病毒是将病毒寄生在硬盘逻辑0扇区或移动存储器的0扇区。
2) 文件型病毒
文件型病毒存放在可执行文件的头部或尾部。目前绝大多数的病毒都属于文件型病毒。
文件型病毒将病毒的代码加载到运行程序的文件中,只要运行该程序,病毒就会被激活,引入内存,并占领CPU得到控制权。病毒会在磁盘中寻找未被感染的可执行文件,将自身放入其首部或尾部,并修改文件的长度使病毒程序合法化,它还能修改该程序,使该文件执行前首先挂靠病毒程序,在病毒程序的出口处再跳向原程序开始处,这样就使该执行文件成为新的病毒源。已感染病毒的文件执行速度会减缓,甚至会完全无法执行,有些文件遭感染后,一执行就会被删除。
文件型病毒按照传染方式的不同,又分为非常驻型、常驻型和隐形3钟。
?非常驻型病毒:非常驻型病毒将自己寄生在.com、.exe或是.sys文件中,当执行感染病毒的程序时,该病毒就会传染给其他文件。
?常驻型病毒:常驻型病毒躲藏在内存中,会对计算机造成更大的伤害,一旦它进入内存中,只要文件被执行,就会迅速感染其他文件。
?隐形文件型病毒:把自己植入操作系统里,当程序向操作系统要求中断服务时,它就会感染这个程序,而且没有任何表现。
另外,需要注意的一点是,随着微软公司的Word字处理软件的广泛使用以及Internet的推广普及,又出现了一种新病毒,这就是宏病毒。宏病毒应该算是文件型病毒的一种。宏病毒已占目前全部病毒数量的80%以上,它是发展最快的病毒,而且宏病毒可以衍生出各种变种病毒。
3) 混合型病毒
混合型病毒通过技术手段把引导型病毒和文件型病毒组合成一体,使之具有引导型病毒和文件型病毒两种特征,以两者相互促进的方式进行传染。这种病毒既可以传染引导区又可以传染可执行文件,增加了病毒的传染性以及生存率,使其传播范围更广,更难于清除干净。
1.3.3 基于算法分类
按照病毒特有的算法,可以划分为伴随型病毒、蠕虫型病毒和寄生型病毒。
1)伴随型病毒
伴随型病毒并不改变文件本身,而是根据算法产生.exe文件的伴随体,与文件具有同样的名称和不同的扩展名。当DOS加载文件时,伴随体优先被执行,再由伴随体加载执行原来的.exe文件。
2) 蠕虫型病毒
蠕虫型病毒通过计算机网络进行传播,它不改变文件和资料信息,而是根据计算机的网络地址,将病毒通过网络发送,蠕虫病毒除了占用内存外一般不占用其他资源。
3) 寄生型病毒
除伴随型病毒和蠕虫型病毒之外的其他病毒均可称为寄生型病毒。它们依附在系统的引导区或文件中,通过系统的功能进行传播,按算法又可分为练习型病毒、诡秘型病毒和变型病毒。
?练习型病毒自身包含错误,不能很好的传播,例如一些处在调试阶段的病毒。
?诡秘型病毒一般不直接修改DOS中断和扇区数据,而是通过设备技术和文件缓冲区等进行DOS内部修改,由于该病毒使用比较高级的技术,所以不易清除。
?变型病毒又称幽灵病毒,这种病毒使用较复杂的算法,使自己每传播一份都具有不同的内容和长度。它们通过由一段混有无关指令的解码算法和变化过的病毒体组成。
1.3.4 基于链接方式分类
按照病毒的链接方式,可以分为源码型病毒、入侵型病毒、外壳型病毒和操作系统型病毒。
1)源码型病毒
源码型病毒攻击的目标是源程序。在源程序编译之前,将病毒代码插入源程序,编译后,病毒变成合法程序的一部分,成为以合法身份存在的非法程序。源码型病毒比较少见,在编写时要求源码病毒所用语言必须与被攻击源码程序语言相同。
2) 入侵型病毒
入侵型病毒可用自身代替宿主程序中的部分模块或堆栈区,因此这类病毒只攻击某些特定程序,针对性强,而且该病毒一旦入侵程序体后很难消除。
3) 外壳型病毒
外壳型病毒将其自身附在宿主程序的头部或尾部,相当于给宿主程序增加了一个外壳,但对宿主程序不做修改。这种病毒最为常见,易于编写,也易于被发现,通过测试文件的大小即可发现。大部分的文件型病毒都属于这一类。
4) 操作系统型病毒
操作系统型病毒用它自己的程序加入或取代部分操作系统进行工作,具有很强的破坏力,可以导致整个系统瘫痪。圆点病毒和大麻病毒就是典型的操作系统型病毒。这种病毒运行时,用自己的逻辑部分取代操作系统的合法程序模块,对操作系统进行破坏。
1.3.5 基于传播的媒介分类
按照病毒传播的媒介,可以分为网络病毒和单机病毒两种。
?网络病毒通过计算机网络传播感染网络中的可执行文件。这种病毒的传染能力强、破坏力大。
?单机型病毒的载体是磁盘,常见的是病毒从移动存储介质传入硬盘,感染系统,然后再传染其他接入本机的移动存储介质,再由移动存储介质传染给其他系统。
1.3.6 基于攻击的系统分类
按照计算机病毒攻击的系统,可以分为攻击DOS系统的病毒、攻击Windows系统的病毒、攻击UNIX系统的病毒和攻击OS/2系统的病毒。
?攻击DOS系统的病毒,这类病毒出现最早、数量最大、变种也最多,以前计算机病毒基本上都是这类病毒。
?攻击Windows系统的病毒,Windows因其图形用户界面和多任务操作系统而深受用户的欢迎,Windows逐渐取代DOS,从而成为病毒攻击的主要对象。
?攻击UNIX系统的病毒,UNIX系统应用非常广泛,尤其许多大型的操作系统均采用UNIX作为主要的操作系统,所以UNIX病毒的出现,对信息处理也是一个严重的威胁。
?攻击OS/2系统的病毒,世界上已经有了攻击OS/2系统的病毒。
1.3.7 基于激活的时间分类
按照病毒激活的时间,可分为定时病毒和随机病毒。
定时病毒仅在某一特定时间才发作;随机病毒一般不是由时钟来激活的。
1.4 计算机网络病毒的概念
1.4.1 计算机网络病毒的概念
传统的网络病毒是指利用网络进行传播的一类病毒的总称。然而严格的说,网络病毒是以网络为平台,能在网络中传播、复制及破坏的计算机病毒,例如像网络蠕虫病毒这些威胁到计算机,及计算机网络正常运行和安全的病毒才可以算作计算机网络病毒。计算机网络病毒专门使用网络协议(如TCP/IP、FTP、UDP、HTTP、SMTP和POP3等)来进行传播,它们通常不修改系统文件或硬盘的引导区,而是感染客户计算机的内存,强制这些计算机向网络发送大量信息,导致网络速度下降甚至完全瘫痪。
1.4.2 计算机网络病毒的传播方式
Internet技术的进步同样给许多恶毒的网络攻击者提供了一条便捷的攻击路径,他们利用网络来传播病毒,其破坏性和隐蔽性更强。
一般来说,计算机网络的基本构成包括网络服务器和网络节点(包括有盘工作站、无盘工作站和远程工作站)。病毒在网络环境下的传播,实际上是按“工作站——服务器——工作站”的方式循环传播。具体说,其传播方式有以下几种。
?病毒直接从有盘工作站复制到服务器中。
?病毒先感染工作站,在工作站内存驻留,等运行网络盘内程序时再感染服务器。
?病毒先感染工作站,在工作站内存驻留,当病毒运行时通过映像路径感染到服务器。
?如果远程工作站被病毒侵入,病毒也可以通过通信中数据的交换进入网络服务器。
计算机网络病毒的传播和攻击主要通过两个途径,用户邮件和系统漏洞。所以,一方面网络用户要加强自身的网络意识,对陌生的电子邮件和网络提高警惕;另一方面操作系统要及时进行系统升级,以加强病毒的防范能力。
1.5 计算机网络病毒的特点
从计算机网络病毒的传播方式可以看出,计算机网络病毒除具有一般病毒的特点外,还有以下新的特点。
1.5.1 传染方式多
病毒入侵网络系统的主要途径是通过工作站传播到服务器硬盘,再由服务器的共享目录传播到其他工作站。但病毒传染方式比较复杂,通常有以下几种:
?引导型病毒对工作站或服务器的硬盘分区表或DOS引导区进行传染。
?通过在有盘工作站上执行带毒程序,而传染服务器映射盘上的文件。
?病毒通过工作站的复制操作进入服务器,进而在网上传播。
?利用多任务可加载模块进行传染。
?若Novell服务器的DOS分区程序Server.exe已被病毒感染,则文件服务器系统有可能被感染。
1.5.2 传播速度快
网络病毒可以通过网络通信机制,借助于高速电缆迅速扩散。
1.5.3 清除难度大
再顽固的单机病毒也可以通过删除带毒文件、格式化硬盘等措施将病毒清除,而网络中只要有一台工作站未消毒干净,就可使整个网络重新被病毒感染,即使刚刚完成杀毒工作的一台工作站也有可能被网上另一台工作站的带毒程序所传染。因此,仅对工作站进行杀毒并不能彻底解决网络病毒问题。
1.5.4 扩散面广
网络病毒不但能迅速感染局域网内所有计算机,还能通过远程工作站将病毒在瞬间传播到千里之外。
1.5.5 破坏性大
网络病毒轻则降低网络速度,影响工作效率,重则造成网络瘫痪,破坏服务器系统资源,使众多工作毁于一旦。
1.6 计算机网络病毒的分类
计算机网络病毒的发展相当迅速,目前主要的网络病毒有以下几种。
1.6.1 网络木马病毒(Trojan)
网络木马病毒会把自己伪装成正常程序,当用户触发时,会将收集到的信息通过网络泄露出去。
1.6.2 蠕虫病毒(Worm)
蠕虫病毒是指利用网络缺陷进行繁殖的病毒程序,如“莫里斯”病毒、“求职信”病毒等。目前常说的网络病毒一般指的就是蠕虫病毒。
1.6.3 捆绑器病毒(Binder)
捆绑器病毒是一个很新的概念,人们编写这种程序的最初目的是希望通过一次点击可以同时运行多个程序,然而这一工具却成了病毒传播的新帮凶。例如,将一个小游戏和病毒通过捆绑器程序捆绑,当用户运行游戏时,病毒也会悄悄的运行。
1.6.4 网页病毒
网页病毒是利用网页中的恶意代码来进行破坏的病毒。它容易编写和修改,使用户防不胜防,最好的方法是选用有网页监控功能的杀毒软件以防万一。
1.6.5 手机病毒
手机种病毒是一种具有传染性、破坏性的手机程序。其可利用发送短信、彩信,电子邮件,浏览网站,下载铃声,蓝牙等方式进行传播,会导致用户手机死机、关机、个人资料被删、向外发送垃圾邮件泄露个人信息、自动拨打电话、发短(彩)信等进行恶意扣费,甚至会损毁 SIM卡、芯片等硬件,导致使用者无法正常使用手机。
随着智能手机的不断普及,手机病毒成为了病毒发展的下一个目标。手机中的软件,嵌入式操作系统(固化在芯片中的操作系统,一般由 JAVA、C++等语言编写),相当于一个小型的智能处理器,所以会遭受病毒攻击。而且,短信也不只是简单的文字,其中包括手机铃声、图片等信息,都需要手机中的操作系统进行解释,然后显示给手机用户,手机病毒就是靠软件系统的漏洞来入侵手机的。
手机病毒通常有四种传播方式,一是利用蓝牙方式传播:“卡波尔”病毒会修改智能手机的系统设置,通过蓝牙自动搜索相邻的手机是否存在漏洞,并进行攻击。二是感染PC上的手机可执行文件:“韦拉斯科”病毒感染电脑后,会搜索电脑硬盘上的SIS可执行文件并进行感染。三是利用MMS多媒体信息服务方式来传播:一种新的手机病毒传播方式出现,通过MMS多媒体信息服务方式来传播。四是利用手机的BUG攻击:这类病毒一般是在便携式信息设备的“ EPOC”上运行,如“EPOC-ALARM”、“EPOC-BANDINFO.A”、“EPOC-FAKE.A”、“EPOC-GHOST.A”、“EPOC-ALIGHT.A”等。
手机病毒可以导致用户信息被窃、传播非法信息、破坏手机软硬件和造成通讯网络瘫痪。现在,清除手机病毒最好的方法就是删除带有病毒的短信。如果发现手机已经感染病毒,应立即关机,死机了,则可取下电池,然后将SIM卡取出并插入另一型号的手机中(手机品牌最好不一样),将存于SIM卡中的可疑短信删除后,重新将卡插回原手机。如果仍然无法使用,则可以与手机服务商联系,通过无线网站对手机进行杀毒,或通过手机的IC接入口或红外传输接口进行杀毒。
由于在我们国家手机的使用还在起步阶段,以手机目前的数字处理能力 (容量和运算),还不至于强大到可以独立处理、传播病毒。所以病毒只能通过电脑、WAP服务器、WAP网关来骚扰手机。所以大家只要注意不要接乱码电话,尽量少从网上下载信息就不会有大的问题了。
应对手机病毒应坚持预防、查杀相结合的原则。不随意查看乱码短信,不随意下载手机软件,不随意浏览危险网站,不随意接受陌生人的红外、蓝牙请求等。一旦手机感染病毒,应尽快选择专业权威的杀毒软件进行查杀。目前行业内受到普遍公认的杀毒软件有杀毒先锋、腾讯手机管家、360安全卫士等软件。
1.7 计算机网络病毒的危害
由于计算机网络系统的各个组成部分,接口以及各连接层次的相互转换环节都不同程度存在着某些漏洞和薄弱环节,同时各防护软件也无法做到真正完善,使得病毒可以通过感染网络服务器,进而在网络上快速蔓延。所以计算机网络病毒,其影响要远比单机染毒更大,破坏性也更大。
计算机网络病毒的具体危害主要表现在以下几个方面。
?病毒发作对计算机数据信息的直接破坏。比如格式化硬盘、改写文件分配表和目录区、删除重要文件或者用无意义的“垃圾”数据改写文件等。
?占用磁盘空间和对信息的破坏。例如引导型病毒会占据引导扇区,把原来的引导区转移到其他扇区,被覆盖的扇区数据永久性丢失,无法恢复。文件型病毒一般不会破坏磁盘上的原有数据,只是非法侵占磁盘空间,个别文件型病毒传染速度很快,在短时间内感染大量文件,使每个文件都不同程度的加长,造成磁盘空间的严重浪费。
?抢占系统资源。大多数病毒在活动状态下是常驻内存的,会导致内存减少,使一部分较大的软件不能运行。此外,病毒还抢占中断,计算机操作系统的很多功能是通过中断调用技术来实现的,病毒为了传染发作,总是修改一些有关的中断地址,从而干扰系统的正常运行。网络病毒会占用大量的网络资源,使网络通信变得极为缓慢,甚至无法使用。
?影响计算机的运行速度。病毒为了判断传染发作条件,总要对计算机的工作状态进行监视,这对计算机的正常运行既多余又有害。
?计算机病毒错误与不可预见的危害。病毒通常是个别人在一台计算机上匆匆编制调试后就向外抛出。绝大多数的病毒都存在不同程度的错误。另外,有些计算机初学者出于好奇修改别人的病毒,生产变种病毒,其中就隐含着很多错误,这些错误所产生的后果往往是不可预见的,有可能比病毒本身的危害还要大。
?计算机病毒给用户造成严重的心理压力。据有关计算机销售部门统计,用户怀疑“计算机有病毒”而提出咨询约占售后服务工作量的60%以上。经检测确实有病毒的约占70%,其余的情况只是用户怀疑有病毒。大多数用户对病毒采取宁可信其有的态度,往往要付出大量的时间、金钱等代价去防护。另外,仅仅因为怀疑有病毒而格式化磁盘所带来的损失更是难以弥补。
总之,计算机病毒像幽灵一样笼罩在广大计算机用户的心头,给人们造成巨大的心理压,极大地影响了计算机的使用效率,由此带来的无形损失是难以估量的。
2 几种典型病毒的分析
计算机病毒有上万种,下面介绍几种常见的典型的计算机病毒。
2.1 蠕虫病毒
2.1.1 蠕虫病毒的定义
蠕虫(Worm)是一种通过网络传播的恶性病毒,通过分布式网络来扩散传播特定的信息或错误,进而造成网络服务遭到拒绝并发生死锁。
2.1.2 蠕虫病毒的基本结构和传播过程
蠕虫的基本程序结构包括以下三个模块
?传播模块:负责蠕虫的传播,传播模块又可分为三个基本模块,即扫描模块、攻击模块和复制模块。
?隐藏模块:浸入主机后,隐藏蠕虫程序,防止被用户发现。
?目的功能模块:实现对计算机的控制、监视或破坏等功能。
蠕虫程序的一般传播过程为:
1)扫描:由蠕虫的扫描功能模块负责探测存在漏洞的主机。当程序向某个主机发送探测漏洞的信息并收到成功的反馈信息后,就得到一个可传播的对象。
2)攻击:攻击模块按漏洞攻击步骤自动攻击步骤1中找到的对象,取得该主机的权限(一般为管理员权限),获得一个shell。
3)复制:复制模块通过原主机和新主机的交互将蠕虫程序复制到新主机并启动。
由此可见,传播模块实现的实际上是自动入侵的功能,所以蠕虫的传播技术是蠕虫技术的核心。
2.1.3 蠕虫病毒实例——震荡波
震荡波(Worm.Sasser)是一种危害性很强的蠕虫病毒,主要是利用微软的MS04-01漏洞入侵计算机,主要影响Windows 2000/NT/XP/2003系统。
震荡波病毒的发作过程主要是,首先随机在网络上搜索机器,向远程计算机的445端口发送包含后门程序的非法数据,若该计算机存在MS04-01漏洞,将会自动运行后门程序,打开9996端口,然后使远程计算机连接病毒打开的FTP端口5554,下载病毒并运行。病毒运行后,将自身复制为%WinDir%\napatch.exe,并在注册表启动项HKEY LOCAL MACHINE\SOFTWARE\Microsoft\Windows\Current Version\Run下创建:”napatch.exe”=%WinDir%\napatch.exe;这样,病毒在Windows启动时就可以自动运行。另外,病毒还会利用漏洞攻击LSASS.EXE进程,使该进程瘫痪,Windows系统会在1分钟倒计时结束时重新启动。同时在C:\win2.log中记录其感染的计算机数目和IP地址。
病毒感染的症状是进程中出现avserve.exe和*****_up.exe(*****为0-65535之间的随机数字),占用大量的资源。出现LSA Shell错误。导致系统进程lsass.exe错误,强迫计算机重启等。
应对措施是下载并断网安装微软的安全更新KB837001,KB828741,KB835732。终止avserve和*****_up进程,并删除注册表中与avserve和_up相关的健值。当然也可以下载专杀工具进行杀毒。
2.2 木马病毒
2.2.1 木马病毒的定义
木马全称为特洛伊木马(Trojan Horse,英文则简称Trojan),在计算机安全学中,特洛伊木马是指一种计算机程序,表面上或实际上有某种有用的功能,同时又含有隐藏的可以控制用户计算机系统、危害系统安全的功能,可能造成用户资料的泄漏、破坏或整个系统的崩溃。在一定程度上,木马也可以称为计算机病毒。
2.2.2 木马病毒工作原理
一个完整的特洛伊木马套装程序含了两部分:服务端(服务器部分)和客户端(控制器部分)。植入对方电脑的是服务端,而黑客正是利用客户端进入运行了服务端的电脑。运行了木马程序的服务端以后,会产生一个有着容易迷惑用户的名称的进程,暗中打开端口,向指定地点发送数据(如网络游戏的密码,即时通信软件密码和用户上网密码等),黑客甚至可以利用这些打开的端口进入电脑系统。
2.2.3 木马病毒的检测
查看system.ini、win.ini、启动组中的启动项目。在【开始】|【运行】命令,输入msconfig,运行Windows自带的“系统配置实用程序”。选中system.ini标签,展开【boot】目录,查看“shell=”这行,正常为“shell=Explorer.exe”,如果不是,就有可能中了木马病毒。选中win.ini标签,展开【windows】目录项,查看“run=”和“load=”行,等号后面应该为空。再看看有没有非正常启动项目,要是有类似netbus、netspy、bo等关键词,就极有可能是中了木马。
其他的一些方法,例如在正常操作计算机时,发现计算机的处理速度明显变慢、硬盘不停读写、鼠标不听使唤、键盘无效、一些窗口自动关闭或打开……这一切都表明可能是木马客户端在远程控制计算机。
2.2.4 木马病毒实例
Internet上每天都有新的木马出现,所采取的隐蔽措施也是五花八门。下面介绍几种常见的木马病毒的清除方法。
1)冰河v1.1 v2.2
冰河是最好的国产木马。
清除木马v1.1
打开注册表Regedit,点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run查找以下的两个路径,并删除
" C:\windows\system\ kernel32.exe"
" C:\windows\system\ sysexplr.exe"
关闭Regedit
重新启动到MSDOS方式
删除C:\windows\system\ kernel32.exe和C:\windows\system\ sysexplr.exe木马程序,重新启动。
清除木马v2.2
服务器程序、路径用户是可以随意定义的,写入注册表的键名也可以自己定义。
因此,不能明确说明。
你可以察看注册表,把可疑的文件路径删除。
重新启动到MSDOS方式
删除于注册表相对应的木马程序
重新启动Windows,清除完毕。
2)Acid Battery v1.0
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除右边的Explorer ="C:\WINDOWS\expiorer.exe"
关闭Regedit
重新启动到MSDOS方式
删除c:\windows\expiorer.exe木马程序
注意:不要删除正确的ExpLorer.exe程序,它们之间只有i与L的差别。
重新启动,清除完毕。
3)AttackFTP
清除木马的步骤:
打开win.ini文件
在【WINDOWS】下面有load=wscan.exe
删除wscan.exe ,正确是load=
保存退出win.ini。
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除右边的Reminder="wscan.exe /s"
关闭Regedit,重新启动到MSDOS系统中
删除C:\windows\system\ wscan.exe
清除完毕。
4)Back Construction 1.0 - 2.5
清除木马的步骤:
打开注册表Regedit
点击目录至:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除右边的"C:\WINDOWS\Cmctl32.exe"
关闭Regedit,重新启动到MSDOS系统中
删除C:\WINDOWS\Cmctl32.exe
清除完毕。
2.3 宏病毒
2.3.1 宏病毒简介
宏病毒是一种使用宏编辑语言编写的病毒,主要寄生于Word文档或模板的宏中。一旦打开这样的文档,宏病毒就会被激活,进入计算机内存并驻留在Normal模板上,从而感染所有自动保存的文档。如果网络上其他用户打开感染病毒的文档,宏病毒就会转移到他的计算机上。
宏病毒通常使用VB脚本,影响微软的Office组建或类似的应用软件,大多通过邮件传播。
2.3.2 宏病毒的特点
?感染数据文件。一般病毒只感染程序,而宏病毒专门感染数据文件。
?多平台交叉感染。当Word、Excel这类软件在不同平台(如Windows、OS/2和MacinTosh)上运行时,会被宏病毒交叉感染。
?容易编写。宏病毒以源代码形式出现,所以编写和修改宏病毒就更容易了。这也是宏病毒的数量居高不下的原因。
?容易传播。只要打开带有宏病毒的电子邮件,计算机就会被宏病毒感染。此后,打开或新建文件都会感染宏病毒。
2.3.3 宏病毒的预防
防治宏病毒的根本在于限制宏的执行。
?禁止所有宏的执行。在打开Word文档时,按住Shift键,即可禁止自动宏,从而达到防治宏病毒的目的。
?检查是否存在可疑的宏。若发现有一些奇怪名字的宏,肯定就是病毒无疑了,将它立即删除即可。即便删错了也不会对Word文档内容产生任何影响。具体做法是,选择【工具】|【宏】命令,打开【宏】对话框,选择要删除的宏,单击【删除】按钮即可。
?按照自己的习惯设置。重新安装Word后,建立一个新文档,将Word的工作环境按照自己的使用习惯进行设置,并将需要使用的宏一次编制好,做完后保存新文档。这时候的Normal.dot模板绝对没有宏病毒,可将其备份起来。在遇到宏病毒时,用备份的Normal.dot模板覆盖当前的模板,可以消除宏病毒。
?使用Windows自带的写字板。在使用可能有宏病毒的Word文档时,先用Windows自带的写字板打开文档,将其转换为写字板格式的文件保存后,再用Word调用。因为写字板不调用、不保存宏,文档经过这样的转换,所有附带的宏(包括宏病毒)都将丢失。
?提示保存Normal模板。选择【工具】|【选项】命令,在【选项】对话框中打开【保存】选项卡,选中【提示保存Normal模板】复选框。一旦宏病毒感染了Word文档,退出Word时,Word就会出现“更改的内容会影响到公用模板Normal,是否保存这些修改内容?”的提示信息,此时应选择“否”,退出后进行杀毒。
?使用.rtf和.csv格式代替.doc和.xls。因为.rtf和.csv格式不支持宏功能,所以交换文件时候,用.rtf格式的文档代替.doc格式,用.csv格式的电子表格代替.xls格式。这样就可以避免宏病毒的传播。
2.3.4 宏病毒的清除
?手工清除。选取【工具】|【宏】命令,打开【宏】对话框,单击【管理器】命令按钮,打开【管理器】对话框,选择【宏方案项】选项卡,在【宏方案项的有效范围】下拉列表中选择要检查的文档,将来源不明的宏删除。退出Word,然后到C盘根目录下查看有没有Autoexec.dot文件,如果有这个文件就删除,再找到Normal.dot文件,删除它。Word会自动重新生成一个干净的Normal.dot文件。到目录C:\Program Files\Microsoft Office\Office\Startup下查看有没有模板文件,如果有而且不是用户自己建立的,则删除它。重启Word,这时Word已经恢复正常了。
?使用专业杀毒软件。目前的专业杀毒软件都具有清除宏病毒的能力。但是如果是新出现的病毒或者是病毒的变种则可能不能正常清除,此时需要手工清理。
3 计算机病毒的症状
根据病毒感染和发作的阶段,计算机病毒的症状可以分为3个阶段,即计算机病毒发作前、病毒发作时和病毒发作后。
3.1 病毒发作前的症状
病毒发作前是指从计算机病毒感染计算机系统、潜伏在系统内开始,一直到激发条件满足、计算机病毒发作之前的一个阶段。在这个阶段,计算机病毒的行为主要以潜伏和传播为主。计算机病毒发作前常见的症状如下。
?计算机运行速度变慢。这可能是计算机病毒占用了大量的系统资源,并且自身的运行占用了大量的处理器时间,造成系统资源不足所致。
?以前能正常运行的软件经常发生内存不足的错误。
?运行正常的计算机经常死机。
?操作系统无法正常激活。
?打印和通信发生异常。
3.2 病毒发作时的症状
计算机病毒发作是指满足计算机病毒发作的条件,病毒被激活,并开始破坏行为的阶段。计算机病毒发作时常见的症状如下。
?出现不相干的语句。这是最常见的一种现象。
?播放一段音乐。这类病毒大多属于良性病毒。
?产生特定的图像。
?扰乱屏幕显示。如病毒使屏幕显示内容不断抖动等。
?硬盘灯不断闪烁。这表明有硬盘读写操作,例如格式化或者写入很大的文件,或者对某个硬盘扇区或文件反复读取。
?破坏写盘操作。病毒被激活后计算机不能写盘,或写操作改为读操作,或在写盘时丢失写入文件的部分内容。
?速度下降。病毒激活时,病毒内部的时间延迟程序启动,在时钟中断中纳入了长时间的循环计算,迫使计算机空转,速度明显下降。
?破坏键盘输入。
?扬声器中发出异样的声音。如警笛声、爆炸声、扬声器鸣叫、咔咔声等。
?占用或侵蚀大量内存。
?干扰内部命令的执行。
?计算机突然死机或重启。
?自动发送电子邮件。
?攻击CMOS。
?破坏文件。
?鼠标指针自己动。
?干扰打印机。如打印出乱码、打印时断时续、打印内容走形等。
?禁止分配内存。病毒常驻内存后,监视程序的运行,凡是要求分配内存的程序,运行将受阻。
?破坏光驱。光驱中的光头在读不到信号时就会加大激光发射功率,因而会降低光驱的寿命。病毒可以让光头走到盘片边缘无信号区域时不停地读盘,以加大光头发射功率,从而损坏光驱。
?系统文件的时间、日期和大小发生改变。
?磁盘空间迅速减少。
?自动链接到一些陌生的网站。
4 反病毒技术
反病毒技术主要包括预防病毒、检测病毒和杀毒等三种技术。
4.1 预防病毒技术
4.1.1 病毒预防
对病毒的预防在病毒防治工作中起主导作用,是病毒防治的重点,主要针对病毒可能入侵的系统薄弱环节加以保护和监控。
预防计算机病毒要从以下几个方面着手。
?检查外来文件。对于网络上下载的或者外部存储器中的程序和文档,在执行或打开文档之前,一定要检查是否有病毒。
?局域网预防。尽可能选择无盘工作站。限制用户对服务器上可执行文件的操作。使用抗病毒软件动态检查使用中的文件。
?使用确认和数据完整性工具。
?周期性备份工作文件。
4.1.2 网络病毒的防治
网络病毒的防治相对单机病毒的防治具有更大的难度。目前,网络大都采用Client/Server(客户机/服务器)的工作模式。防治网络病毒需要从服务器和工作站两个主要方面并结合网络管理着手解决。
1)在网络管理方面进行防治
?制定严格的工作站安全操作规程。
?建立完整的网络软件和硬件的维护制度,定期对各工作站进行维护。
?建立网络系统软件的安全管理制度。
?设置正确的访问权限和文件属性
2)基于工作站的防治方法
工作站是网络的门,只要将这扇门关好,就能有效地防治病毒入侵。可以使用单机反病毒软件、防病毒卡以及工作站防病毒芯片。
3)基于服务器的防治方法
服务器是网络的核心,一旦服务器被病毒感染,就会使整个网络陷于瘫痪。目前,基于服务器的防治病毒方法一般采用NLM(Netware Loadable Module)技术进行程序设计,以服务器为基础,提供实时扫描病毒能力。其优点主要表现在不占用工作站的内存,可以集中扫毒,能实现实时扫描功能,以及软件安装和升级都很方便等方面。
病毒的入侵必将对系统资源构成威胁,即使良性病毒也要侵吞系统的宝贵资源,所以防治病毒入侵远比病毒入侵后再加以清除更为重要。抗病毒技术必须建立“预防为主,消灭结合”的基本观念。
4.2 检测病毒技术
检测计算机上是否被病毒感染,通常可以采用手工检测和自动检测。
?手工检测是指通过一些工具软件(比如、Pctools.exe等),对易遭病毒攻击和修改的内存及磁盘的相关部分进行检测,通过与正常状态进行对比来判断是否被病毒感染。虽然该方法操作复杂,易出错且效率低,但是该方法可以检测和识别未知病毒,以及检测一些自动检测工具不能识别的新病毒。
?自动检测是指通过一些诊断软件和杀毒软件,来判断一个系统或磁盘是否有病毒,如使用瑞星、金山毒霸等软件。虽然该方法可以方便检测大量病毒且操作简单,但是自动检测工具只能识别已知的病毒,而且它的发展总是滞后于病毒的发展。
对病毒进行检测可以采用手工方法和自动方法相结合的方式。检测病毒的技术和方法主要有以下几种。
1) 比较法
比较法是将原始备份与被检测的引导扇区或被检测的文件进行比较。该方法的优点是简单、方便,不需要专用软件。缺点是无法确认计算机病毒的种类和名称。由于要进行比较,保存好原始备份就非常重要了,制作备份时必须在无计算机病毒的环境下进行,制作好的备份必须妥善保管,贴上标签,并加上写保护。
2) 特征代码法
特征代码法是用每一种计算机病毒体含有的特定字符串对被检测的对象进行扫描。如果被检测对象内部发现了某一种特定字符串,就表明发现了该字符串所代表的的计算机病毒,这种计算机病毒扫描软件称之为Virus Scanner。该方法优点是检测准确快速、可识别病毒的名称、误报警率低,依据检测结果可做解毒处理。缺点是不能检测未知病毒,且搜集已知病毒的特征代码费用开销大,在网络上效率低。
3) 分析法
分析法是防杀计算机病毒不可缺少的重要技术,该方法要求具有比较全面的有关计算机、DOS、Windows、网络等的结构和功能调用,以及与计算机病毒相关的各种知识。除此之外,还需要反汇编工具、二进制文件编辑器等用于分析的工具程序和专用的实验计算机。分析的步骤分为静态分析和动态分析两种。静态分析是指利用反汇编工具将计算机病毒代码打印成反汇编指令程序清单后进行分析,了解计算机病毒分成哪些模块,使用了哪些系统调用,采用了哪些技巧,并将计算机病毒感染文件的过程翻转为清除计算机病毒、修复文件的过程。动态分析是指,利用DEBUG等调试工具在内存带毒的情况下,对计算机病毒做动态跟踪,观察计算机病毒的具体工作过程,以进一步在静态分析的基础上理解计算机病毒的工作原理。
4) 校验和法
计算正常文件的校验和,并将结果写入此文件或其他文件中保存。在文件使用过程中或使用之前,定期检查文件的校验和与原来保存的校验和是否一致,从而可以发现文件是否被感染,这种方法称为校验和。该方法优点是方法简单,能发现未知病毒,也能发现被检查文件的细微变化。缺点是会误报警,不能识别病毒名称,不能对付隐蔽型病毒。
5) 行为监测法
行为监测法是利用病毒的特有行为特征性来监测病毒的方法。监测病毒的行为特征如下。
?占有INT 13H所有的引导型病毒,都攻击Boot扇区或主引导扇区。
?修改DOS系统数据区的内存总量。
?对.com、.exe文件进行写入操作。
?病毒程序与宿主程序进行切换。
行为监测法的优点是可发现未知病毒,能够相当准确地预报未知的多数病毒。行为监测法的缺点是会误报警,不能识别病毒名称,实现时有一定难度。
6) 软件仿真扫描法
该技术专门用于对付多态性计算机病毒,能够仿真CPU执行,在DOS虚拟机下伪执行计算机病毒程序,安全地将其解密,然后再进行扫描。
7) 先知扫描法
先知扫描技术就是将专业人员用来判断程序是否存在计算机病毒代码的方法,分析归纳成专家系统和知识库,再利用软件仿真技术伪执行新的计算机病毒,超前分析出新计算机病毒代码,用于对付以后的计算机病毒。
8) 人工智能陷阱技术和宏病毒陷阱技术
人工智能陷阱技术是一种监测计算机行为的常驻式扫描技术。其优点是执行速度快、操作简便,且可以检测到各种计算机病毒;缺点是程序设计难度大,且不容易考虑周全。
宏病毒陷阱技术则是结合了特征代码法和人工智能陷阱技术,根据行为模式来检测已知及未知的宏病毒。
9) 实时I/O扫描
实时I/O扫描的目的在于即时对计算机上的输入/输出数据作病毒码比对,希望能够在病毒尚未被执行前,将病毒防御于门外。
10) 网络病毒检测技术
网络监测法是一种检查、发现网络病毒的方法。网络病毒的特点是通过网络进行传播,如果在服务器、网络接入端和网站设置病毒防火墙,可以起到大规模防止病毒扩散的目的。
4.3 杀毒技术
将染毒文件的病毒代码摘除,使之恢复为可正常运行的文件,称为病毒的清除。清除病毒所采用的技术称为杀毒技术。
1) 引导型病毒的清除
引导型病毒感染时一般攻击硬盘主引导区以及硬盘或移动存储介质的Boot扇区。一般使用FDISK/MBR可以清除大多数引导型病毒。
2) 宏病毒的清除
为了恢复宏病毒,须用非文档格式保存足够的信息。RTF(Rich Text Format)适合保留原始文档的足够信息而不包含宏。然后退出文档编辑器,删除已感染的文档文件以及Normal.dot和start-up目录下的文件。
3) 文件型病毒的清除
一般文件型病毒的染毒文件可以修复。当恢复受感染文件需要考虑下列因素。
?不管文件的属性,测试和恢复所有目录下的可执行文件。
?希望确保文件的属性和最近修改时间不改变。
?一定考虑一个文件多重感染的情况。
4) 病毒的去激活
清除内存中的病毒是指把RAM中的病毒进入非激活状态。这需要操作系统和汇编语言的知识。
5) 使用杀病毒软件清除病毒
计算机一旦感染病毒,一般用户首选是使用杀病毒软件来清除病毒。其优点是使用方便、技术要求不高,不需要具有太多的计算机知识。缺点是有时会删除带毒文件,可能导致系统不能正常运行,同时需要经常升级病毒代码库。
5 计算机病毒发展的新技术
计算机病毒的广泛传播,推动了反病毒技术的发展。新的反病毒技术的出现,又迫使计算机病毒再次更新。
1) 抗分析病毒技术
抗分析病毒技术是针对病毒分析技术设计的,主要采用加密技术和反跟踪技术。
2)隐蔽性病毒技术
隐蔽性病毒是针对计算机病毒检测技术设计的,使自己融入运行环境中隐蔽行踪。
3)多态性病毒技术
多态性病毒是采用特殊加密技术编写的病毒,使用传统的特征代码检测法无法识别该病毒。
4)超级病毒技术
超级病毒技术是针对计算机病毒的预防技术设计的,在计算机病毒进行感染、破坏时,使病毒预防工具无法运行。
5)插入性病毒技术
插入性病毒能够将宿主程序拦腰截断,并插入病毒程序。
6)破坏性感染病毒技术
破坏性感染病毒技术是针对计算机病毒消除技术设计的,该感染病毒将病毒代码覆盖式写入宿主文件,会导致宿主文件被破坏,该病毒无法清除,一般只能删除宿主文件。
7)病毒自动生产技术
病毒自动生产技术是针对病毒的人工分析技术设计的,计算机病毒采用这种技术时,会变成一种具有自我变异功能的计算机病毒。
8)Internet病毒技术
随着Internet的迅速发展,将文件附加在电子邮件中的能力在不断的提高,病毒的扩散速度也在急剧上升,受感染的范围越来越广,而且感染方式也从存储介质感染转到了从网络服务器和Internet感染。
综上所述,病毒技术是多种多样的,并且领先于反病毒技术。只有详细了解病毒原理以及病毒采用的各种技术,才能更好的防治病毒。
6 防杀网络病毒的软件
随着网络的发展,网络病毒得以迅速传播,并且会不断有新的网络病毒出现。对于普通用户,使用防杀网络病毒软件是最有效的防杀网络病毒的方法。
1)防毒软件
防毒软件可以检测外来的程序、文件或邮件附件,并给出实时警告或删除病毒。
2)反病毒软件
第一代反病毒技术采取单纯的病毒特征代码分析,将病毒从带毒文件中清除掉。其优点是可准确的清除病毒,可靠性高,缺点是无法应付采用加密和变形技术的新型病毒。
第二代反病毒技术采用静态广谱特征扫描方法检测病毒,其优点是可以检测出变形病毒,缺点是误报率高,并且容易造成文件和数据的破坏。
第三代反病毒技术的主要特点是将静态扫描技术和动态仿真跟踪技术结合起来,将查找病毒和清除病毒合二为一,其优点是能全面实现防、查、杀等反病毒所必备的各种手段,缺点是扫面速度慢,驻留内存防毒模块容易产生误报。
第四病毒技术则针对计算机病毒的命名规则,基于多位CRC校验和扫描机理、启发式智能代码分析模块、动态数据还原模块(能查出隐蔽性极强的压缩加密文件中的病毒)、内存解毒模块、自身免疫模块等先进的解毒技术,较好的解决了以前防毒技术顾此失彼、此消彼长的状态。
尽管现在计算机的杀毒软件比较先进,但病毒更新的速度也非常之快,所以我们不能掉以轻心,要树立良好的安全防范意识,才能有效的防范计算机病毒给我们的工作和生活带来危害。
参考文献:
[1] 李剑,刘正宏,沈俊辉.计算机病毒防护[M].北京:北京邮电大学出版社,2009,(1).
[2] 程胜利,谈冉,熊文龙.计算机病毒及其防治技术[M].北京:清华大学出版社,2004,(1).