计算机病毒(Computer Virus)
目录
|
计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。
计算机病毒的产生通常是出于以下几种目的:
(1)恶作剧者或自以为有才能的制造者。
(2)心怀不满的报复者。
(3)软件开发者为了追踪非法拷贝软件的行为,故意在软件中加入病毒,只要他人非法拷贝,便会带上病毒。
计算机病毒一般具有如下特点,
1.传染性
传染性是病毒的最基本特征,是判断一段程序代码是否为计算机病毒的依据。计算机病毒可以通过各种渠道从已经被感染的计算机扩散到未被传染的计算机,使被传染的计算机工作失常甚至瘫痪,病毒程序一旦侵入计算机系统就开始寻找可以传染的程序或者磁介质,然后通过自我复制迅速传播。由于目前计算机网络日益发达,计算机病毒的传播更为迅速,破坏性更大。
2.破坏性
计算机病毒不仅占用系统资源,还可以删除或者修改文件或数据,加密磁盘中的一些数据、格式化磁盘、降低运行效率或者中断系统运行,甚至使整个计算机网络瘫痪,造成灾难性的后果。计算机病毒的破坏性直接体现了病毒设计者的真正的意图。
3.潜伏性
一个编制精巧的计算机病毒程序进入系统之后不会立即发作,可以在几周甚至几年内隐藏在合法文件中,对其他文件进行传染,而不被人发现,只有条件满足时才被激活,开始进行破坏性活动。潜伏性越好,它在系统中的时间就会越长,病毒的传染范围就会越大,它的危害也就越大。
4.可触发性
病毒因某个事件或者数值的出现,诱使病毒实施感染或进行攻击的特性称为可触发性。病毒的触发机制用来控制感染和破坏动作的频率。病毒具有预定的触发条件,这些条件可能是时间、日期、文件类型或者某些特定数据等。病毒运行时,触发机制检查预定条件是否满足,如果满足,启动感染或破坏动作;如果不满足,病毒则继续潜伏。
5.衍生性
病毒的传染性和破坏性是病毒设计者的目的和意图。但是,如果被其他一些恶作剧者或者恶意攻击者所模仿,从而衍生出不同于原版本的新的计算机病毒(又称为变种),这就是计算机病毒的衍生性。这种变种病毒造成的后果可能要比原版病毒要严重很多。
除了以上这些特点外,计算机病毒还有其他的一些特点,比如攻击的主动性、病毒执行的非授权性、病毒的欺骗性、病毒的持久性、病毒检测的不可预见性、病毒对不同操作系统的针对性等。计算机病毒的这些特点,决定了病毒难以被发现,难以被清除,危害持久。
根据计算机病毒的特点,计算机病毒的分类方法有许多种。
1.按照病毒的破坏能力分类
(1)无害型:除了传染时减少磁盘的可用空间外,对系统没有其他影响。
(2)无危险型:这类病毒仅仅会减少内存、显示图像、发出声音等。
(3)危险型:这类病毒计算机在系统操作中造成严重的错误。
(4)非常危险型:这类病毒可以删除程序、破坏数据、消除系统内存区和操作系统中一些重要的信息。
这些病毒对系统造成的危害,并不完全是本身的算法中存在危险的调用,而是当它们传染时会引起无法预料的破坏。由病毒引起其他的程序产生的错误也会破坏文件。一些现在的无害型病毒也可能会对新版的DOS、Windows和其他操作系统造成破坏。例如,在早期的病毒中,有一个“Denzuk”病毒在360KB磁盘上不会造成任何破坏,但在后来的高密度软盘上却能引起大量的数据丢失。
2.根据病毒特有的算法分类
(1)伴随型病毒:这一类病毒并没有改变本身,它们根据算法产生EXE文件的伴随体,具有同样的名字和不同的扩展名(COM),例如,xcopy.exe的伴随体是xcopy.com。病毒把自身写入COM文件并不改变EXE文件,当DOS加载文件时,伴随体优先被执行到,再由伴随体加载执行原来的EXE文件。
(2)蠕虫型病毒:主要通过计算机网络进行传播,不改变文件和资料信息,利用网路从一台机器的内存传播到其他机器的内存,计算网络地址,将自身的病毒通过网络发送。这种病毒一般除了内存外不占用其他的资源。
(3)变型病毒:又被称为幽灵病毒。这类病毒使用了一个复杂的算法,使自己每传播一份都具有不同的内容和长度。它们一般的做法是一段混有无关指令的解码算法和被变化过的病毒体组成。
3.根据病毒的传染方式分类
(1)文件型病毒:文件型病毒是指能够感染文件、并能通过被感染的文件进行传染扩散的计算机病毒。这种病毒主要感染文件为可执行性文件(扩展名为c0M、ExE等)和文本文件(扩展名为DOC、XLS等)。前者通过实施传染,后者则通过wbrd或Excel等软件在调用文档中的“宏”病毒指令实施感染和破坏。已感染病毒文件执行速度会减慢,甚至完全无法执行。有些文件被感染后,一旦执行就会遭到删除。感染病毒的文件被执行后,病毒通常会趁机对下一个文件进行感染。
(2)系统引导型病毒:这类病毒隐藏在硬盘或软盘的引导区,当计算机从感染了引导区病毒的硬盘或者软盘启动,或者当计算机从受感染的磁盘中读取数据时,引导区病毒就会开始发作。一旦加载系统,启动时病毒会将自己加载在内存中,然后就开始感染其他被执行的文件。早期出现的大麻病毒、小球病毒就属于此类。
(3)混合型病毒:混合型病毒综合了系统引导型和文件型病毒的特性,它的危害比系统引导型和文件型病毒更为严重。这种病毒不仅感染系统引导区,也感染文件,通过这两种方式来感染,更增加了病毒的传染性以及存活率。不管以哪种方式传染,都会在开机或执行程序时感染其他的磁盘或文件。所以,这种病毒也是最难杀灭的。
(4)宏病毒:宏病毒是一种寄存于文档或模板的宏中的计算机病毒,主要利用MicrosoR word提供的宏功能来将病毒带进到带有宏的Doc文档中一一旦打开这样的文档,宏病毒就会被激活,进人计算机内存中,并驻留在Nonnal模板上。从此以后,所有自动保存的文档都会感染上这种宏病毒。如果网上其他用户打开了感染病毒的文档,宏病毒就会被传染到其他计算机上。病毒的传播速度很快,对系统和文件都可以造成破坏。
计算机病毒的传染性是计算病毒最基本的特点。病毒的传染性是病毒赖以生存繁殖的条件,如果计算机病毒没有传播渠道,则其破坏性小,扩散而窄,难以造成大面积的流行。计算机病毒必须要“搭载”到计算机上才能感染系统,通常它们是附加到某个文件上,
计算机病毒的传播主要通过文件复制、文件传送、文件执行等方式进行,文件复制与文件传送需要传输媒介,文件执行则是病毒感染的必然途径(Word、Excel等宏病毒通过Word、Excel调用间接地执行),因此,病毒传播与文件传输媒体的变化有着直接的关系、据有关资料报道,计算机病毒出现在20世纪70年代,那是由于计算机还未普及,所以,病毒造成的破坏和对社会公众造成的影响还不是十分大。1986年巴基斯坦智囊病毒的广泛传播,则把病毒对PC的威胁实实在在地摆在了人们的面前。1987年黑色星期五大规模肆虐于全世界各国的IBMPC及其兼容机之中,造成了相当大的病毒恐慌。这些计算机病毒如同其他计算机病毒一样,最基本的特性就是它的传染性。通过认真研究各种计算机病毒的传染途径,有的放矢地采取有效措施,必定能在对抗计算机病毒的斗争中占据有利地位,更好地防止病毒对计算机系统地侵袭。计算机病毒的传播途径主要有以下几种。
(1)软盘传播:通过移动存储没备来传播,这些设备主要包括软盘、光盘、u盘等在移动存储设备中,软盘是使用最广泛、移动最频繁的存储介质,因此也成了计算机病毒寄生的“温床”。以前,大多数计算机都是从这类途径感染病毒的。
(2)硬件设备传播:通过不可移动的计算机硬件设备进行传播,这些设备通常有计算机的专用的ASIC芯片和硬盘等。由于带病毒的硬盘在本地或移到其他地方使用、维修等,将干净的硬盘感染并再扩散。这种病毒虽然极少,但破坏力却极强,目前尚没有较好的检测手段来预防。
(3)网络传播:目前通过网络应用(如电子邮件、文件下载、网页浏览)进行传播已经成为计算机病毒传播的主要方式。最近几个传播很广的病毒如“爱虫”、“红色代码”、“尼姆达”无一例外都选择了网络作为主要传播途径。国际计算机安全协会(International Computer Security Association,ICSA)所公布的《2000年度病毒传播趋势报告》显示,电子邮件已跃升为计算机病毒最主要的传播媒介,感染率由1998年的32%、1999年的56%,大幅度增长至2000年的87%。
(4)BBs电子布告栏(BBs):因为上站容易、投资少,因此深受大众用户的喜爱。BBs是由计算机爱好者自发组织的通信站点,用户可以在BBs上进行交换(包括自由软件、游戏、自编程序)。南于BBs站一般没有严格的安全管理,也无任何限制,这样就给一些病毒程序编写者提供了传播病毒的场所。各城市BBs站问通过中心站间进行传送,传播面较广。随着BBs在国内的普及,给病毒的传播又增加了新的介质。
计算机病毒的危害可以分为对计算机网络系统的危害和对微型计算机系统的危害两方面。下面根据当前掌握的情况介绍如下。
1.计算机病毒对网络系统的危害
(1)病毒程序通过“自我复制”传染正在行动其它程序的系统,并与正常运行的程序争夺系统的资源,使系统瘫痪。
(2)病毒程序可在发作时冲毁系统存储器中的大量数据,致使计算机及其用户的数据丢失,蒙受巨大损失。
(3)病毒程序不仅侵害使用的计算机系统,而且通过网络侵害与之联网的其它计算机系统。
(4)病毒程序可导致计算机控制的空中交通指挥系统失灵,使卫星、导弹失控.使银行金融系统瘫痪,使自动生产线控制紊乱等。
2.计算机病毒对微型机系统的危害
(1)破坏磁盘的文件分配表或目录区,使用户磁盘上的信息丢失。
(2)删除软、硬盘上可执行文件或覆盖文件。
(3)将非法数据写DOS内存参数区,引起系统崩溃。
(4)修改或破坏文件和数据。
(5)影响内存常驻程序的正常执行。
(6)在磁盘上标记虚假的坏簇,从而破坏有关的程序或数据。
(7)更改或重新写入磁盘的卷标号。
(8)对可执行文件反复传染拷贝,造成磁盘存贮空间减少,并影响系统运行效率。
(9)对整个磁盘进行特定的格式化,破坏全盘的数据。
(10)使系统空挂,造成显示器键盘被封锁的状态。
从本质上来说,计算机病毒是一段程序代码,虽然它可以隐藏得很好,但也会留下很多得蛛丝马迹通过对这些蛛丝马迹的分析和判别,我们就可以发现这些病毒的存在了。根据计算机病毒感染和发作的阶段,可以将计算机的表现分为j大类,即计算机病毒发作前、发作时和发作后的表现。
1.计算机病毒发作前的表现
计算机病毒发作前,是指从计算机感染计算机系统、潜伏在系统内开始,一直到激发条件满足,计算机病毒发作之前的一个阶段。在这个阶段,计算机病毒的行为主要是以潜伏、传播为主。计算机病毒会以各式各样的手法隐藏自己,在不被发现的同时,又自我复制,以各种手段进行传播。以下是一些计算机病毒发作前常见的表现。
(1)平时运行正常的计算机突然经常性无缘无故地死机。病毒感染了计算机系统后,将自身驻留在系统内并修改了中断程序,引起系统工作不稳定,造成死机现象发生。
(2)操作系统无法正常启动。关机后再启动,操作系统报告缺少必要的启动文件,或启动文件被破坏,系统无法启动。这很可能是计算机病毒感染系统文件后使得文件结构发生变化,无法被操作系统加载、引导所致。
(3)以前能正常运行的软件经常发生内存不足的错误。某个以前能够正常运行的程序,在系统启动的时候报告系统内存不足,或者使用应用程序中的某个功能时报告内存不足。这可能是计算机病毒驻留后占用了系统中大量的内存空间,使得可用内存空间减少。
(4)以前正常运行的应用程序经常发生死机或者非法错误。在硬件和操作系统没有做任何改动的情况下,以前能够正常运行的应用程序发生非法错误和死机的情况明显增加。这可能是由于计算机病毒感染应用程序后破坏了应用程序本身的正常功能,或者计算机病毒程序本身存在着兼容性方面的问题造成的。
(5)系统文件的时间、日期、大小发生变化,这是最明显的计算机病毒感染迹象。计算机病毒感染应用程序文件后,会将自身隐藏在原始文件的后面,文件大小大多会有所增加,文件的访问、修改日期和时间也会被改成感染时的时间。尤其是对那些系统文件,绝大多数情况下是不会修改它们的,除非是进行系统升级或打补丁。对应用程序使用到的数据文件,文件大小和修改日期、时间可能会改变,并不一定是计算机病毒在作怪。
(6)磁盘空间迅速减少。没有安装新的应用程序,而系统可用的磁盘空间减少得很快。这可能是计算机病毒感染造成的。需要注意的是经常浏览网页、回收站中的文件过多、临时文件夹下的文件数量过多过大、计算机系统有过意外断电等情况,也可能会造成可用的磁盘空间迅速减少。
除了上述几点表现外,打印和通信发生异常、无意中要求对软盘进行写操作和陌生人发来的电子邮件等,也可能是计算机病毒发作前的表现。可以根据以上几点来初步判断计算机是否感染上了计算机病毒。
2.计算机病毒发作时的表现
计算机病毒发作时是指满足计算机病毒发作的条件后,计算机病毒程序开始进行破坏行为的阶段。计算机病毒发作时的表现大多各不相同,这与编写计算机病毒者的目的、所采用的技术手段等有着密切的关系。以下是一些计算机病毒发作时常见的表现。
(1)系统运行速度明显变慢一在硬件设备没有损坏或者更换的情况下,本来运行速度很快的计算机,在运行同样应用程序时,速度明显变慢,而且重启后依然很慢。这很可能是计算机病毒发作时占用了大量的系统资源,并且自身的运行占用了大量的处理器时间,造成系统资源不足,运行变慢。
(2)硬盘渎写指示灯不断闪烁。硬盘读写指示灯闪烁说明有硬盘读写操作。当对硬盘有持续大量的操作时,硬盘的读写指示灯就会不断的闪烁,比如格式化硬盘或者写入很大的文件。有的计算机病毒会在发作的时候反复读取某个文件或者不断地进行自身病毒文件的复制并写入硬盘。
(3)自动链接到一些陌生的网站。有些病毒在运行时,会自动打开浏览器并访问Intemet上某个或多个陌生的网站或者建立隐藏的网络链接,占用大量的网络带宽,致使计算机用户在访问网络时速度变慢。
(4)自动发送电子邮件。大多数电子邮件计算机病毒都采用自动发送电子邮件的方法作为传播手段,也有的电子邮件计算机病毒在某一特定的时刻向同一个邮件服务器发送大量无用的信件,以阻塞该邮件服务器的正常服务功能。
(5)计算机突然死机或重启。有些计算机病毒程序因为具有程序兼容性的问题,在病毒运行时会要求系统重新启动以加载其所需要的系统组件,从而对计算机系统进行更深层次的破坏。
(6)弹出一些毫不相干的信息。有些恶作剧式的计算机病毒发作时,会自动弹出一些无用的信息、播放一段音乐、产生特定的图像、提一些智力问答题等。这类病毒一般都是良性的,不会有破坏操作。
3.计算机病毒发作后的表现
通常情况下,计算机病毒发作都会给计算机系统带来破坏性的后果,那种只有恶作剧式的良性计算机病毒只是计算机病毒家族中很小的一部分。大多计算机病毒都是属于恶性计算机病毒。恶性计算机病毒发作后往往会带来很大的损失,以下是一些恶性计算机病毒发作后所造成的后果。
(1)系统无法启动,数据丢失。计算机病毒破坏了硬盘的引导扇区后,就无法从硬盘启动计算机系统了。有些计算机病毒篡改了硬盘的关键内容(如硬盘分配表、根目录区等),使得原先保存在硬盘上的数据几乎完全丢失。
(2)部分文档丢失或者破坏。类似系统文件的丢失或者被破坏,有些计算机病毒在发作时会删除或破坏硬盘上的文档,造成数据的丢失。
(3)部分文档自动加密码。还有些计算机病毒利用加密算法,将加密密钥保存在计算机病毒程序体内或其他隐蔽的地方,而被感染的文件将被加密。如果内存中驻留由这种计算机病毒,那么在系统访问被感染的文件时它自动将文档解密,使用户察觉不到。一旦这种计算机病毒被清除,那么被加密的文档就很难被恢复了。
(4)网络瘫痪,无法提供正常的服务。
由上所述,我们可以了解到防杀计算机病毒软件必须要实时化,在计算机病毒进入系统时要立即报警并清除,才能确保系统安全,待计算机病毒发作后再去杀毒,实际上已经为时已晚。
上面介绍了计算机病毒在不同情况下的表现形式。检测计算机病毒,就是要到计算机病毒寄生场所去检查,验明“正身”,确认计算机病毒的存在。计算机病毒存储于磁盘中,激活时驻留在内存中。因此对计算机病毒的检测分为对内存的检测和对磁盘的检测。一般对磁盘进行计算机病毒检测时,要求内存中不带计算机病毒。这是由于某些计算机病毒会向检测者报告假情况。例如,“4096”计算机病毒,当它在内存中时,查看被感染的文件长度,不会发现该文件的长度已发生变化;而当在内存中没有该计算机病毒时,才会发现文件长度已经增长了4 096KB。例如,“DIR II”计算机病毒,在内存中,用Debug程序查看时,根本看不到“D1R II”计算机病毒的代码,很多检测程序因此而漏过了被其感染的文件。因此,只有在要求确认某种计算机病毒的类型和对其进行分析、研究时,才在内存中带病毒的情况下做检测工作。
从原始的、未受计算机病毒感染的DOS系统软件启动,可以保证内存中不带病毒、启动必须是上电启动,而不能按Alt+Ctrl+Del快捷键。因为某些计算机病毒通过截取键盘中断处理程序,仍然会将自己驻留在内存中,可见保留一份未被计算机病毒感染的写保护的DOS系统软盘是很重要的。
需要注意的是,若要检测硬盘中的计算机病毒,则启动系统的DOS软盘的版本应该等于或高于硬盘内DOS系统的版本号。若硬盘上使用磁盘管理软件、磁盘压缩存储管理软件等,启动系统的软盘上应该把这些软件的驱动程序包括在内,并把它们添加在CONFIG.SYS文件中,否则用系统软盘引导启动后,将不能访问硬盘上的所有分区,使躲藏在其中的计算机病毒逃过检查。
(1)病毒的防治策略
针对目前日益增多的计算机病毒和恶意代码,根据这些病毒的特点和病毒未来的发展趋势,国家计算机病毒紧急处理中心与计算机病毒防治产品检验中心制定了以下的病毒防治策略供计算机用户参考。
a、建立病毒防治的规章制度,严格管理。
b、建立病毒防治和应急体系。
c、进行计算机安全教育,提高安全防范意识。
d、对系统进行风险评估。
e、选择公安部认证的病毒防治产品。
f、正确配置,使用病毒防治产品。
g、正确配置系统,减少病毒侵害事件。
h、定期检查敏感文件。
i、适时进行安全评估,调整各种病毒防治策略。
j、建立病毒事故分析制度。
k、确保恢复,减少损失。
(2)常用的防毒杀毒软件
a、北信源uDiea.
b、瑞星QQ病毒专杀。
c、“MsN性感鸡”病毒专杀工具。
d、金山木马专杀
e、卡巴斯基,
f、“爱情后门(wornl.LovGate)”。
g、“QQ病毒”专杀工具。
h、瑞星图片病毒专用查杀工具。
i、诺顿2004全套专杀工具。
j、“灾飞”专杀工具。
k、硬盘杀手(wonn.opasoft)。
l、冲击波(worn.Blaster)。
m、泡沫人(wornl.P2p.Fizzer)。
n、求职信系统病毒专杀工具。
o、墨菲(Troian.Mofei)。