| 关键词: 病毒 文件 程序 蠕虫 计算机 宏病毒 一个 传播 米开朗基罗 文档 |
本文章包含下面部分: ①不同病毒如何感染计算机 ②病毒如何避免检测 ③蠕虫的感染方法 ④病毒的虚妄和恶作剧 ⑤更多地了解病毒和蠕虫 ①不同病毒如何感染计算机 病毒使用下列的某种或某些方法感染计算机: ● 感染程序文件 ● 感染软盘的引导扇区 ● 使用字处理程序或电子表格的宏功能感染文档 传播感染文件的病毒 文件型病毒只感染程序,如WordPerfect或Microsoft Excel。每当运行一个被感染的程序时,文件性病毒就会传播。传播文件感染病毒的两个最常见的方式是通过一个可移动的盘(如软盘、Zip盘,甚至是CD),或通过电子邮件。 1. 寄生程序病毒 当病毒感染文件时,它有三种选择:它可以把自己附加到文件的开始或结尾,或者它把自己植入中间(如果病毒删除了它正在感染的文件的部分内容,就称为重写病毒) 。 当病毒把自身附加到文件的开始或结尾时,它会改变文件的大小,通常不会破坏被感染的文件。这种病毒称为寄生程序病毒,通过文件大小的变化,可以轻易发现这种病毒(见图5-1)。虽然可以通过浏览文件,发现文件大小的变化,但您最可能做的是用反病毒程序检测受病毒感染的文件。 图5-1 寄生程序病毒的工作方式 2. 重写文件病毒 重写病毒危险性更大一些。因为它们用自己的代码替换了部分程序代码,从物理上改变了所感染的文件,所以它们可以破坏或摧毁文件。如果运行被重写病毒感染的程序,该程序通常无法工作。重写病毒因为感染文件时不改变文件大小,常常会逃过检测(见图5-2)。 图5-2 重写文件病毒的工作方式 3. 切尔诺贝利病毒 1999年4月26日,在韩国爆发的一种病毒感染了多达1百万台的计算机,结果造成超过2.5亿元的损失。这种病毒的绰号是“切尔诺贝利病毒”(或CIH病毒),编写者是年仅24岁的陈盈豪,这是有史以来破坏性最大的病毒之一。 这种病毒能感染32位的Windows 95及以上的可执行文件,但只能在Windows 95/ 98/ME下运行。如果运行一个被感染文件,病毒会常驻计算机的内存,并感染计算机访问的每个文件。 为了不被检测到,CIH病毒从不改变它感染的任何文件的大小。相反,它搜索受感染文件的空闲空间,把自己分解为几个小的片段,然后把这些片段插到未使用的空间中。 CIH病毒现在主要流传三个变种。CIH 1.2和1.3在4月26日发作(这是前苏联切尔诺贝利核事故发生的日子),CIH 1.4在每个月的26日都发作。 当CIH病毒发作时,它进行两种不同的攻击。第一种攻击用随机数据重写硬盘,直到计算机崩溃,最终阻止计算机从硬盘或软盘引导,并且使硬盘上被重写的数据几乎无法恢复。第二种攻击以存储在计算机的闪存BIOS(基本输入输出系统,在计算机中负责控制所有系统设备,包括硬盘驱动器、串口和并口、键盘)中的数据为目标。解决这个问题需要替换或重新编写BIOS。 虽说每种反病毒程序都能防止CIH病毒的侵害,但每个月的26日,还是会有一些公司的数据被删掉。 传播引导病毒 引导病毒只感染磁盘的引导扇区,每个磁盘的引导扇区告诉计算机如何使用这个磁盘。每当从被感染的硬盘或可移动盘(软盘、Zip盘、CD等)引导(或访问这些盘)时,引导病毒就会传播。由于每个盘都有一个引导扇区,包含指示计算机如何使用该盘的指令,引导病毒也会感染任何可移动的存储设备。 当打开计算机时,计算机首先查看磁盘驱动器中是否有软盘。如果有,计算机读取软盘的引导扇区。如果驱动器中的软盘已经受到了引导病毒的感染,这个引导病毒现在就会感染硬盘,并且可以传播到从此时起插入计算机的任何一张软盘(见图5-3)。如果驱动器中没有软盘,计算机使用硬盘的引导扇区,这称为主引导记录(MBR)。 图5-3 引导病毒的工作方式 也可以从CD引导,这意味着如果引导病毒在制作CD时感染了CD,有可能每次从被感染的CD引导时,引导病毒都会传播。 1. 米开朗基罗病毒 1992年,米开朗基罗病毒成为第一种被世界媒体广泛报道的病毒。当主要计算机制造商Leading Edge偶然售出了几百台感染了米开朗基罗病毒的计算机时,病毒恐慌开始了。这是另一种引导病毒。在一个月之内,两个软件制造商DaVinci System和Access Software也相继售出受到米开朗基罗病毒感染的磁盘。 处于某些奇怪的原因,媒体迅速地盯上了米开朗基罗病毒的故事,并且到处传扬歇斯底里的情绪,警告计算机用户该病毒会在米开朗基罗本人的诞生日这一天即3月6日破坏硬盘。《Houston Chronicle》把这种病毒称为“灾难大师”。《USA Today》警告说“星期五会有数以千计的计算机崩溃。”《华盛顿邮报》的标题也颇为恐怖:“致命病毒将在明日造成一场浩劫。” 对受感染计算机的估计数字有很大的出入,低的是5千台计算机,高的是5百万台。同时,反病毒软件商向陷入恐慌的公众售出了几千套反病毒程序。当3月6日到来时,全世界的计算机用户严阵以待即将来临的攻击,却什么事也没发生。 虽然米开朗基罗病毒确实存在,也确实攻击了几台计算机,但其危险性远远未到媒体所形容的程度。一些专家声称如果媒体没有对公众提出警告,那么米开朗基罗病毒的灾难性会证明比现在更大。其他专家则说米开朗基罗病毒压根就没有广泛的传播性,媒体的夸张宣称只不过是肥了那些反病毒软件商。 无论是什么原因,1992年的米开朗基罗病毒大恐慌确实使公众第一次意识到了病毒的威胁。每年一到3月6日,软件商都会报告反病毒软件的销售激增,这可乐坏了它们的股东。 传播多元复合型病毒 文件型病毒和引导病毒都是既有优点也有缺点。文件感染病毒只能在运行被感染程序时传播。如果病毒恰好感染了一个很少使用的文件,那么程序也许会被感染,但病毒可能永远也不会传播与造成破坏。有些计算机可能感染了好几年,而从来没有出现过任何问题。 同理,引导病毒只在从受感染的软盘或硬盘引导时才传播。如果不引导或使用被感染的盘,那么病毒就不能传播。 为了增加其传播机会,有些病毒综合了文件型病毒和引导病毒的特点。这些病毒被称为多元复合型病毒,能感染文件或引导扇区,或两者都感染。虽然这样增加了感染计算机的机会,但由于反病毒程序能在更多的地方找到它们,这使得它们更易于被检测到。它们编写起来也比较复杂,所以让人担心的多元复合型病毒也比较少。 1. Natas病毒 Natas (Satan这个词反着拼写)病毒是一种比较常见的多元复合型病毒,最初是在墨西哥肆虐。Natas可以感染硬盘和软盘上的文件和引导扇区,同时也会修改自己的外貌,以躲避反病毒软件的检测。 除了比较常见、破坏性较强之外,Natas还有一个轶闻,它是由一个绰号为“牧师”的黑客编写的,而这个黑客后来跑到了Norman Data Defense Systems(一家反病毒公司)做起了咨询工作。该公司后来决定他们不能信任一个知名的编写病毒的人,让他走人了,但这是在整个反病毒界大声抗议,并发誓他们决不会降格到雇佣一个编写病毒的人来帮助编写反病毒软件之后。 传播宏病毒 宏病毒只感染具体程序创建的文件,如用Microsoft Word创建的文档,或用Microsoft Excel创建的电子表格。宏病毒在加载受感染的文件(如受感染的Word文档)时传播。 和用汇编语言、C/C++、BASIC或Pascal编写的其他类型的病毒不同的是,宏病毒是用某一具体程序的宏编程语言编写的。虽然大多数的宏病毒是用Microsoft的宏语言Visual Basic for Applications(VBA)编写的,但有些早期的宏病毒是用WordBasic编写的,Word Basic是Micrsoft Word的一种较早的宏编程语言。 宏病毒感染定义文档的页边距、字体和一般格式设置的模板。每次从被宏病毒感染的模板创建一个新的文档,宏病毒就试图感染另一个模板和新创建的文档。 因为大多数人都是共享文档文件,而不是模板文件,宏病毒非常聪明地把被感染的文档转换为模板文件,同时还保留它们普通文档文件的外观。所以当您认为您是在打开一个文档进行编辑时,实际上您打开的是一个模板。 尽管宏病毒非常普遍,但它们只限于感染Microsoft产品,如Word、Excel或PowerPoint创建的文档(至少在写作本书时是如此)。虽然有人试着编写了感染WordPro或WordPerfect文档的宏病毒,但这些宏病毒的传播并不是那么容易,因为WordPro或WordPerfect文档是在一个单独的文件中存储它们的宏。对比之下,当把一个Word或Excel文档文件复制到软盘,或通过网络、Internet复制Word或Excel文档文件时,就会自动地在一个文件中既复制了文档,又复制了宏。这给了宏病毒传播的机会。 1. Concept宏病毒 世界上的第一个宏病毒Concept可以感染Windows和苹果机上的Microsoft Word文档。这个病毒是用Microsoft Word 6.0中的宏语言编写的,但它也能感染其他Word版本创建的文档。 看起来编写Concept宏病毒是为了证明确实可以用宏编程语言编写病毒。因此,Concept宏病毒只是显示一个对话框,宣示它的存在,并不故意破坏磁盘上的任何文件。 2. Melissa病毒 把宏病毒编程再往前推一步就是Melissa病毒,它在1999年初作为历史上传播最快的病毒而上了报纸的头条。这种病毒感染Word文档,然后使用VBA宏命令读取Microsoft Outlook(Microsoft Office中的一个电子邮件程序)的地址簿。 然后,Melissa病毒创建一个电子邮件消息,把它发送给Outlook地址簿中的前50个地址,每条消息的主题是“Important Message From”(后面是用户的名字),正文中是“Here is that document you asked for…don’t show anyone else;-).”然后病毒把受感染的Word文档的一个副本作为该电子邮件消息的附件发送。 收件人一打开被感染的Word文档,病毒就传播到收件人的计算机,然后重复上述的过程,通过邮件把自己发送到那个人的地址簿中的另外50个人的信箱。 如果窥视宏病毒的源代码,就会发现下面的消息: 'WORD/Melissa written by Kwyjibo 'Works in both Word 2000 and Word 97 'Worm? Macro Virus? Word 97 Virus? Word 2000 Virus? You Decide! 'Word -> Email | Word 97 <-> Word 2000 . . . it’s a new age! 最初的Melissa病毒不进行任何破坏,但后来的变体会删除文件,造成损失。 ②病毒如何避免检测 病毒只有在足够长的时间内不被检测到,以此赢得向其他计算机传播的时间,才能生存下来。为了提高病毒的生存机会,病毒程序员使用了各种手段。 感染方法 反病毒程序可以通过两种方式发现病毒。第一种,反病毒程序可以认出特定病毒的签名,签名就是内嵌在病毒中的具体指令,告诉病毒如何表现和行动。病毒的签名就像罪犯的指纹,每一个都是独特的,与众不同的。 反病毒程序的第二种方法是通过检测病毒的行为发现病毒。反病毒程序经常能通过在病毒试图感染其他文件或磁盘时捕捉此病毒,来检测到以前未知的病毒的存在。 为了躲过反病毒程序,很多病毒使用各种传播方法: ● 直接感染 ● 快速感染 ● 慢速感染 ● 间或感染 ● 常驻内存的感染 直接感染是指每次运行被感染的程序或打开被感染的文档时,病毒会感染磁盘,或一个、多个文件。如果既不运行被感染的程序,又不打开被感染的文件,那么病毒根本就不会传播。直接感染是感染计算机的最简单,但也是最引人注意的方法,反病毒程序能轻易地检测到。 快速感染是指病毒感染被感染的程序访问的每一个文件。例如,如果病毒感染了反病毒程序,就要当心了!受到感染的反病毒程序每次检查一个文件时,实际上会在证实该文件没有病毒之后,立即感染这个文件。 慢速感染是指病毒只感染新创建的文件或被合法程序修改的文件。病毒试图借此进一步伪装,不让反病毒程序检测到。 间或感染是指病毒从容不迫地感染文件。有时感染一个文件,有时不感染。通过慢慢感染计算机,减少了病毒被检测到的机会。 常驻内存的感染是指病毒驻留在计算机的内存中,每次运行程序或插入软盘时,病毒就会感染这个程序或软盘。常驻内存的感染是引导病毒传播的惟一方式。引导病毒永远不能通过网络或Internet传播,因为它们只能通过物理地在计算机中插入被感染的软盘进行传播,虽然它们仍可以感染连接到网络的单台计算机。 隐形 病毒通常会在感染时暴露踪迹。例如,文件感染病毒一般会改变所感染文件的大小、时间和日期标记。但是,使用隐形技术的文件感染病毒可以在感染程序时不修改程序的大小、时间和日期,因此仍是深藏不露。 引导病毒总是使用隐形技术。当计算机读取磁盘的引导扇区时,引导病毒快速地加载真正的引导扇区(引导病毒已经把真正的引导扇区隐藏到了磁盘上的另一个位置),然后隐藏在它后面。这就像您的父母打电话回家,看您是不是很乖,但您其实是在邻近的游泳池的大厅中用电话转接接的电话。在您父母看来,他们打了家里的电话,您接了电话。但实际上,他们的电话从您家里的电话机上转接到了游泳池大厅的电话上。引导病毒在使用隐形技术时就是利用这种误指来隐藏它们的行踪,不让计算机发现。 多数情况下,隐形技术能掩盖病毒的踪迹,避免用户察觉,但并不是每次都能骗得过反病毒程序。病毒还有保护自己不被反病毒程序检测的另一招,这就是多态性。 多态性 为了避免一旦感染同一个文件或引导扇区(并因而暴露踪迹),病毒就必须首先查看它们是否已经感染了这个文件或引导扇区,其办法就是寻找它们的签名,也就是一套组成该病毒的指令。自然,反病毒程序也能通过寻找这些签名发现病毒,但前提是以前捉到和检查过这种病毒。如果没有,反病毒程序永远也不会识别出病毒的签名。 如果犯罪分子每次作案时能修改指纹,追捕他们会更加艰难。这就是多态性的思想。 从理论上来说,多态性病毒在每次感染文件时都会修改签名,这意味着反病毒程序永远都不能找到它。然而,因为多态性病毒需要确保不再三感染同一个文件,它们仍然会留下一个小的、明显的签名,既然它们可以发现这个签名,反病毒程序自然也能。 反击者 最好的防守是有力的进攻。很多病毒不是被动地东躲西藏,而是主动出击,寻找反病毒程序决战。当您使用最喜欢的反病毒程序时,这些反击型的病毒或者修改反病毒程序,使它不能检测病毒,或者感染反病毒程序,使得反病毒程序实际上帮助了病毒的传播。在两种情况下,受到攻击的反病毒程序都会洋洋自得地显示:“在您的计算机上没有发现病毒”的信息,而与此同时,在您计算机上的病毒却欢天喜地的到处传播。 ③蠕虫的感染方法 病毒需要感染文件、引导扇区或文档,蠕虫不一样,它能完全靠自己传播。在连接到网络或Internet的计算机中,蠕虫传播的两个最常见的方式是通过电子邮件和安全漏洞。 使用电子邮件传播的蠕虫称为群发邮件蠕虫,这种蠕虫一般是用VB编程语言的某个变体编写的,通常利用Windows中的Microsoft Outlook或Outlook Express电子邮件程序。标准的过程是,蠕虫检查用户的Outlook或Outlook Express地址簿中存储的电子邮件地址列表,然后向每个地址发送自身的一个副本。 群发邮件蠕虫的传播尤其迅速,因为它们一般是来自受害者认识的人。收件人很可能会阅读邮件,因此在偶然之间帮助了蠕虫传播到他们自己的电子邮件地址簿中。 群发邮件蠕虫最经常瞄准的靶子是运行Microsoft Outlook或Outlook Express程序的Windows用户,因为Windows是最常用的操作系统,Outlook或Outlook Express是最常用的电子邮件程序。因而,保护自己不受蠕虫侵害的一个方法就是,使用不同的操作系统(如Linux或Mac OS),或者使用其他的电子邮件程序(如Eudora或Pegasus)。 相比之下,Internet蠕虫的传播大不相同,它在Internet上进行搜索,看哪台计算机运行的是包含了某个已知漏洞的操作系统或Web服务器。蠕虫一旦找到一台有漏洞的计算机,就通过这个已知的漏洞把自己复制到该计算机,然后利用这台计算机搜寻攻击的目标。 有时,不用蠕虫去有意地破坏您的计算机,单单是蠕虫通过Inernet群发或复制自己就能让您的计算机变慢,甚至崩溃。其他时候,蠕虫可能会包括一个有效负载,清除数据,用病毒感染计算机,或者从硬盘随机检索文档(文档中也许包括敏感的商业数据或个人数据),然后把文档群发到Outlook或Outlook Express地址簿中列出的每个人那里。 和群发邮件蠕虫一样,Internet蠕虫也经常以最流行的操作系统为目标,如Microsoft Windows或UNIX,或以Web服务器程序为目标,如Apache或Microsoft IIS。为了减少Internet蠕虫瞄准您的计算机的风险,可以使用不是特别流行的操作系统或Web服务器程序,或者不断安装操作系统或Web服务器程序的“补丁”程序,关闭Internet蠕虫用来传播自己的所有已知漏洞。 注意: 很多反病毒程序现在也能检测蠕虫,所以要确保定期更新反病毒程序,以求最大程度地保护计算机不受病毒和蠕虫的侵害。 ④病毒的虚妄和恶作剧 因为每次爆发一个新病毒都会引起计算机用户的歇斯底里和恐慌,所以不用真的去制造一个病毒,只要虚构一个病毒也差不多能造成同样的麻烦。通过访问Vmyths.com页面(http://www.vmyths.com)之后,您就能了解到最近有关病毒的一些恶作剧。下面讨论比较常见的一些病毒恶作剧。 连锁信病毒恶作剧 有些比较讨厌的病毒恶作剧鼓励给朋友转发一份戏弄人的信件的副本。这不仅会散布病毒恶作剧,而且还会带来恐慌和混乱。 为了说服人们散布恶作剧,病毒恶作剧经常含有听起来有根有据又隐含威胁的信息。有一个称为“迪斯尼”的恶作剧中包含下面的文字: Hello Disney fans, And thank you for signing up for Bill Gates' Beta Email Tracking. My name is Watt Disney Jr. Here at Disney we are working with Microsoft which has just compiled an email tracing program that tracks everyone to whom this message is forwarded to. It does this through an unique IP (Internet Protocol) address log book database. We are experimenting with this and need your help. Forward this to everyone you know and if it reaches 13,000 people, 1,300 of the people on the list will receive $5,000, and the rest will receive a free trip for two to Disney World for one week during the summer of 1999 at our expense. Enjoy. Note: Duplicate entries will not be counted. You wilt be notified by email with further instructions once this email has reached 13,000 people. Your friends, Walt Disney Jr., Disney, Bill Gates & The Microsoft Development Team. 作为宣传手段的病毒恶作剧 由于对一种新病毒的警告总是会吸引一部分人的注意力,所以很多人为了宣传就故意编造病毒恶作剧。一个黄色站点据传是从一个“Dave Norton, [email protected]”编造了一个病毒恶作剧,消息声称:“CNN让您了解一种被称为‘狮穴’的具毁灭性的新计算机病毒的信息。据报道这种病毒使Internet提供商,如America Online、MSN、Yahoo!和Earthlink因会员流失而损失数百万美元。”消息的最后提供了一个链接,读者可以在这里获悉如何保护计算机的详细情况,但点击链接会直接连到该黄色站点。 一个名为“扰乱和平”的景况欠佳的摇滚乐队炮制了一个虚假的病毒“新冰河时代”,用它来为他们新推出的CD作宣传。该恶作剧警告说恐怖分子从政府的一个绝密的信息战程序中偷走了“新冰河时代”病毒,并提供了一个进一步了解情况的链接,当然指向的是他们的站点。⑤更多地了解病毒和蠕虫 每当听说可能出现某个新的病毒时,请到下面的站点之一进行进一步的核对: AVP Virus Encyclopedia http://www.avp.ch/avpve F-Secure Security Information Center http://www.europe.f-secure/com/vir-info Sophos http://www.sophos.com Symantec http://www.symantec.com/avcenter McAfee Security http://www.mcafee.com/anti-virus Trend Micro http://www.trendmicro.com/vinfo 这些站点列出了所有的已知病毒(和病毒恶作剧),病毒的特征,造成的危害(如果会造成危害的话),以及如何检测它们。要交流计算机病毒的消息,请访问comp.virus和alt.comp.virus Usenet新闻组。 无论您是刚开始使用计算机,还是计算机的老用户,都可以预计:您的计算机会在某个时候遭到病毒或蠕虫的攻击。保护计算机的最佳方式是购买一个反病毒程序,并定期更新。然后,注意采取下面的措施,降低病毒或蠕虫感染计算机的机会: ● 绝对不要打开可疑的电子邮件(阻止宏病毒和群发邮件蠕虫) ● 安装防火墙(阻止Internet蠕虫) ● 第一次运行程序时千万不要忘记事先用反病毒程序扫描(阻止文件感染病毒) ● 不要用软盘引导系统(阻止引导病毒) ● 购买反病毒程序并定期更新(检测和删除所有类型的病毒和蠕虫) ● 时常下载您的操作系统、浏览器和电子邮件程序的补丁(阻止病毒或蠕虫利用程序中的已知漏洞) 记住:趁着还没有丢失数据,现在就开始了解病毒和蠕虫。明天也许就太迟了! |
|
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系
[邮箱地址] 删除
|