计算机病毒
维基百科,自由的百科全书
计算机病毒是一种在用戶不知情或批淮下能自我复制及運行的计算机程序,计算机病毒往往會影響受感染的計算機的正常運作。
目录 |
[编辑] 法律定义
病毒的定义一直存在着争议[1],不少人包括世界各国的反病毒厂商都将基于网络的木马、后门程序以及恶意软件也归在电脑病毒之列查杀。
以下内容是中国大陆的电脑病毒的法律定义,司法部门凭这个就可以逮捕病毒制作和散播者。
1994年2月18日《中华人民共和国计算机信息系统安全保护条例》第二十八条[2]
计算机病毒,是指编制或者在计算机程序中插入的「破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码」。
截止2007年12月,中国仍然沿用此条例,没有新的修订。
恶意软件是指在未明确提示用户或未经用户许可的情况下,在用户计算机或其他终端上安装运行,侵犯用户合法权益的软件,但已被我国现有法律法规规定的计算机病毒除外。
[编辑] 病毒作者
- 参见:被捕黑客列表
有不少病毒制作者黑客们被逮捕并予以起诉,判决的轻重各国都有所不同,如罗马尼亚西欧班尼花费15分钟写的MSBlast.F变种大约只感染了1000台计算机,按他们国家的法律他就有可能最高会被判15年有期徒刑,而1998年台湾病毒作者陈盈豪写的被一些人认为“迄今为止危害最大的病毒”[4]CIH,使全球6000万台计算机瘫痪,但他因为在被逮捕后无人起诉而免于法律制裁,在2001年有人以CIH受害者的身份起诉陈盈豪,才使他再次被逮捕,按照台湾當時的法律,陈会被判损毁罪面临最高只3年以下的有期徒刑。
中国的木马程序“证券大盗”作者張勇因使用其木马程序截获股民账户密码,盗卖股票价值1141.9万元,非法获利38.6万元人民币,被逮捕后以盗窃罪與金融犯罪起诉,最终的判决结果是死刑。
一公司的分析报告称,目前全世界现有200万有能力写较成熟电脑病毒的程序员。[5]
[编辑] 历史
“病毒”一词最早用来表达此意是在弗雷德·科恩(Fred Cohen)1984年的论文《电脑病毒实验》。而病毒一词广为人知是得力于科幻小说。一部是1970年代中期大卫·杰洛德(David Gerrold)的《When H.A.R.L.I.E. was One》,描述了一个叫“病毒”的程序和与之对战的叫“抗体”的程序;另一部是约翰·布鲁勒尔(John Brunner)1975年的小说《震荡波骑士(ShakewaveRider)》,描述了一个叫做“磁带蠕虫”、在网络上删除数据的程序。[6]
1960年代初,美国麻省理工学院的一些青年研究人员,在做完工作后,利用业务时间玩一种他们自己创造的计算机游戏。做法是某个人编制一段小程序,然后输入到计算机中运行,并销毁对方的游戏程序。而这也可能就是计算机病毒的雏形。
[编辑] 运行环境以及传播途径
由于世界操作系统桌面环境90%的市场都由是使用微软Windows系列產品[7] ,所以病毒作者纷纷把病毒攻击对象选为Windows。制作病毒者首先应该确定要攻击的操作系统版本有何漏洞,这才是他所写的病毒能够利用的关键,而Windows没有行之有效的固有安全功能,且用户常以管理员权限运行未经安全检查的软件,这也为Windows下病毒的泛滥提供了温床。对于Linux、Mac OS等操作系统,使用的人群比较少,病毒一般不容易擴散。病毒作者大多发布病毒的目的有多种,包括恶作剧、想搞破坏、报复及想出名与对研究病毒有特殊嗜好。
病毒主要通过网络浏览以及下载,盗版CD或DVD以及可移动磁盘等途径迅速传播。[8]
[编辑] 命名
以下表格所示是国际上对病毒命名惯例的前缀释义,DOS下的病毒一般无前缀:
| 前缀 | 含义 |
|---|---|
| WM | Word6.0、Word95宏病毒 |
| WM97 | Word97宏病毒 |
| XM | Excel5.0、Excel95宏病毒 |
| X97M | Excel5.0和Excel97版本下发作 |
| XF | Excel程序病毒 |
| AM | Access95宏病毒 |
| AM97M | Access97宏病毒 |
| W95 | Windows95、98病毒 |
| Win | Windows3.x病毒 |
| W32 | 32位病毒,感染所有32位Windows系统 |
| WINT | 32位Windows病毒,只感染Windows NT |
| Trojan/Troj | 特洛伊木马 |
| VBS | VBScript程序语言编写的病毒 |
| VSM | 感染 Visio VBA(Visual Basic for Applications)巨集或script的巨集或script病毒 |
| JS | JScript程式語言編寫的病毒 |
| PE | 32位寻址的Windows病毒 |
| OSX | Mac OSX的病毒 |
中间部分指的是病毒的英文名,而后缀一般是变种代号。
[编辑] 特征
在计算机科学裡,电脑病毒是类似生物病毒一样的程序,它会复制自己并传播到其他宿主,并对宿主造成损害。宿主也是程序,通常是操作系统,从而进一步传染到其他程序、其他的电脑。电脑病毒在传播期间一般会隐蔽自己,由特定的条件触发,并开始产生破坏。
电脑病毒具有的不良特征有传播性、隐蔽性、感染性、潜伏性、可激发性[9]、表现性或破坏性,通常只表现两种以上所述的特征就可以认定该程序是病毒。
计算机病毒的生命周期为开发期—传染期—潜伏期—发作期—发现期—消化期—消亡期。[8][10]
[编辑] 主要特征详解
[编辑] 传播性
病毒一般会自动利用25电子邮件端口传播,利用对象为微软操作系统捆绑的Outlook的某个漏洞。将病毒自动复制并群发给存储的通讯录名单成员。邮件标题较为吸引人点击,大多利用社会工程学如“我愛妳”这样家人朋友之间亲密的话语,以降低人的警戒性。如果病毒制作者再应用脚本漏洞,将病毒直接嵌入邮件中,那么用户一点邮件标题打开邮件就会中病毒。
[编辑] 隐蔽性
最大的病毒不过1MB,一般的病毒仅在1KB左右,这样除了传播快速之外,隐蔽性也极强。部分病毒使用“无进程”技术或插入到某个系统必要的关键进程当中(工作管理員中的處理程序內無法關閉的就是了),所以在任务管理器中找不到它的单独运行进程。而病毒自身一旦运行后,就会自己修改自己的文件名并隐藏在某个用户不常去的系统文件夹中,这样的文件夹通常有上千个系统文件,如果凭手工查找很难找到病毒。而病毒在运行前的伪装技术也不得不值得我们关注,将病毒和一个吸引人的文件捆绑合并成一个文件,那么运行正常吸引他的文件时,病毒也在我们的操作系统中悄悄的运行了。
[编辑] 感染性
某些病毒具有感染性,比如感染中毒用户计算机上的可执行文件,如exe、bat、scr、com格式,通过这种方法达到自我复制,对自己生存保护的目的。通常也可以利用网络共享的漏洞,复制并传播给邻近的计算机用户群,使邻里通过路由器上网的计算机或网吧的计算机的多台计算机的程序全部受到感染。
[编辑] 潜伏性
部分病毒有一定的“潜伏期”,在特定的日子,如某个节日或者星期几按时爆发。如1999年破坏BIOS的CIH病毒就在每年的4月26日爆发。如同生物病毒一樣,這使電腦病毒可以在爆發之前以最大幅度散播開去。
[编辑] 可激发性
根据病毒作者的“需求”,设置触发病毒攻击的“玄机”。如CIH病毒的制作者陈盈豪曾打算设计的病毒,就是「精心」为简体中文Windows系统所设计的。病毒运行后会主动检测中毒者操作系统的语言,如果发现操作系统语言为简体中文,病毒就会自动对计算机发起攻击,而语言不是简体中文版本的Windows,那么你即使运行了病毒,病毒也不会对你的计算机发起攻击或者破坏。[11]
[编辑] 表现性
病毒运行后,如果按照作者的设计,会有一定的表现特征,如CPU佔用率100%,在用户无任何操作下读写硬盘或其他磁盘数据,蓝屏死机,鼠标右键无法使用等。但这样明显的表现特征反倒帮助被感染病毒者发现自己已经感染病毒并清除病毒很有帮助,隐蔽性就不存在了。
[编辑] 破坏性
某些威力强大的病毒,运行后直接格式化用户的硬盘数据,更为厉害一些可以破坏引导扇区以及BIOS,已经在硬件环境造成了相当大的破坏。
[编辑] 分类
病毒类型根据中国国家计算机病毒应急处理中心发表的报告统计,占近45%的病毒是木马程序,蠕虫占病毒总数的25%以上,占15%以上的是脚本病毒,其余的病毒类型分别是:文件型病毒、破坏性程序和宏病毒。
[编辑] 木马/僵尸网络
- 一般也叫远程监控软件,如果木马能连通的话,那么可以说已经得到了远程计算机的全部操作权限,操作远程计算机与操作自己计算机没什么大的区别,这类程序可以监视被控用户的摄像头与截取密码。而Windows NT以后的版本自带的“远程桌面连接”,如果被不良用户利用的话,那么也与木马没什么区别。
- 用户一旦中毒,就会成为“丧尸”或被称为“肉鸡”,成为黑客手中的“机器人”,通常黑客或脚本小孩(script kids)可以利用数以万计的“丧尸”发送大量伪造包或者是垃圾数据包对预定目标进行拒绝服务攻击,造成被攻击目标瘫痪。
[编辑] 有害软件
- 蠕虫病毒漏洞利用类,也是我们最熟知的病毒,通常在全世界范围内大规模爆发的就是它了。如针对旧版本未打补丁的Windows XP的冲击波病毒和震荡波病毒。有时与僵尸网络配合,主要使用缓存溢出技术。
- 间谍软件和流氓软件,是部分不良网络公司出品的一种收集用户浏览网页习惯而制订自己广告投放策略的软件。这种软件本身对计算机的危害性不是很大,只是中毒者隐私遭到洩露被收集走和一旦安装上它就无法正常删除卸载了。比如对Internet Explorer的广告软件会自动修改并锁定用户缺省主页以及加载广告公司的工具条。
- 恶作剧软件,如破坏性很大的“格盘炸弹”,运行程序后自动格式化硬盘,原本只为“愚人”目的,但这种恶意程序运行后就会对用户重要数据造成很大的损失。与此相同的还有文件感染器(File infector)以及在DOS下的根扇区病毒。
[编辑] 脚本病毒
- 宏病毒的感染对象为Microsoft开发的办公系列软件。Microsoft Word,Excel这些办公软件本身支持运行可进行某些文件操作的命令,所以也被Office文档中含有恶意的宏病毒所利用。openoffice.org对Microsoft的VBS宏仅进行编辑支持而不运行,所以含有宏病毒的MS Office文档在openoffice.org下打开后病毒无法运行。
[编辑] 免杀技术以及新特征
免杀是指对病毒的处理使之躲过杀毒软件查杀的一种技术。通常病毒刚从病毒作者手中传播出去前,本身就是免杀的,甚至可以说“病毒比杀毒软件还新,所以杀毒软件根本无法识别它是病毒”,但由于传播后部分用户中毒向杀毒软件公司举报的原因,就会引起安全公司的注意并将之特征码收录到自己的病毒库当中,病毒就会被杀毒软件所识别。
病毒作者可以通过对病毒进行再次保护如使用汇编加花指令或者给文件加壳就可以轻易躲过杀毒软件的病毒特征码库而免于被杀毒软件查杀。
罗马尼亚的BitDefender,俄罗斯的Kaspersky Anti-Virus,Dr.Web,斯洛伐克的NOD32,美國的Norton Antivirus,McAfee,西班牙的Panda AntiVirus等产品在国际上口碑较好,但杀毒、查壳能力都有限,目前病毒库总数量也都仅在数十万个左右。
自我更新性是近年来病毒的又一新特征。病毒可以借助于网络进行变种更新,得到最新的免杀版本的病毒并继续在用户感染的计算机上运行,比如熊猫烧香病毒的作者就建立了“病毒升级服务器”,在最勤时一天要对病毒升级8次,比有的杀毒软件病毒库的更新速度还快,所以就造成了杀毒软件无法识别病毒。
除了自身免杀自我更新之外,很多病毒还具有了对抗它的“天敌”杀毒软件和防火墙产品反反病毒软件的全新特征,只要病毒运行后,病毒会自动破坏中毒者计算机上安装的杀毒软件和防火墙产品,如病毒自身驱动级Rootkit保护强制检测并结束杀毒软件进程,可以过主流杀毒软件“主动防御”和穿透软、硬件还原的机器狗[12],自动修改系统时间导致一些杀毒软件厂商的正版认证作废以致杀毒软件作废,从而病毒生存能力更加强大。
免杀技术的泛滥使得同一种原型病毒理论上可以衍生出近乎无穷无尽的变种,给依赖于特征码技术检测的杀毒软件带来很大困扰。近年来,国际反病毒行业普遍开展了各种前瞻性技术研究,试图扭转过分依赖特征码所产生的不利局面。目前比较有代表性产品的是基于虚拟机技术的启发式扫描软件,代表厂商NOD32,Dr.Web,和基于行为分析技术的主动防御软件,代表厂商中国的微点主动防御软件等。
[编辑] 防範
- 修补操作系统以及其捆绑的软件的漏洞
- 安裝系统以及其捆绑的软件如Internet Explorer、Windows Media Player的漏洞安全补丁,以操作系统Windows为例Windows NT以及以下版本可以在Microsoft Update更新系统,Windows 2000SP2以上,Windows XP以及Windows 2003等版本可以用系统的“自动更新”程序下载补丁进行安装。设置一个比较强的系统密码,关闭系统默认网络共享,防止局域网入侵或弱口令蠕虫传播。定期检查系统配置实用程序启动选项卡情况,并对不明的Windows服务予以停止。
- 安装并及时更新杀毒软件与防火墙产品
- 保持最新病毒库以便能够查出最新的病毒,如一些反病毒软件的升级服务器每小时就有新病毒库包可供用户更新。而在防火墙的使用中应注意到禁止来路不明的软件访问网络。由于免杀以及进程注入等原因,有个别病毒很容易穿过杀毒以及防火墙的双重防守,遇到这样的情况就要注意到使用特殊防火墙来防止进程注入,以及经常检查启动项、服务。一些特殊防火墙可以“主动防御”以及注册表实时监控,每次不良程序针对计算机的恶意操作都可以实施拦截阻断。
- 不要点来路不明连接以及运行不明程序[13]
- 来路不明的连接很可能是蠕虫病毒自动通过电子邮件或即时通讯软件发过来的,如QQ病毒之一的QQ尾巴,大多这样信息中所带连接指向都是些利用IE浏览器漏洞的网站,用户访问这些网站后不用下载直接就可能会中更多的病毒。另外不要运行来路不明的程序,如一些“性诱惑”的文件名骗人吸引人去点击,点击后病毒就在系统中运行了。
[编辑] 参看
- 病毒制作者
- 相关计算机程序
- 诱捕、防止以及查杀病毒
[编辑] 参考资料
- ^ 认清病毒、蠕虫与木马之间的区别,人民网
- ^ 中华人民共和国计算机信息系统安全保护条例,公安局信息网络安全监察网
- ^ 中国互联网协会关于恶意软件的定义,新华网
- ^ 全球十大计算机病毒排名 CIH病毒居首,新华网
- ^ 一公司调查显示全球每天就有1万个新病毒出现,新华网
- ^ 黑色的病毒产业,新华网
- ^ Windows操作系统占领了90%以上的操作系统市场,新华网
- ^ 8.0 8.1 计算机病毒的生命周期,Microsoft Corporation
- ^ 病毒特性之一可激发性,北京航空航天大学
- ^ 病毒的生命周期,辽宁石油化工大学
- ^ 对简体中文语言的可激发性病毒,联合早报网
- ^ “机器狗”病毒正在学校、网吧等公用网络蔓延,新华网
- ^ 保护计算机的常识,新华网
[编辑] 相关资料
- 中国国家计算机病毒应急处理中心发表的报告
- (PDF)我国计算机病毒的特点和发展趋势
- (DOC)2007年计算机病毒疫情调查技术分析报告
