信息安全技术第11章传统计算机病毒

1、第11章 传统计算机病毒,2,2,病毒有广义和狭义上的概念，广义上的病毒包含蠕虫、木马、后门程序等恶意代码，而狭义上的病毒需要依附于宿主程序，本章将就狭义的病毒进行讨论。,3,3,课程目标,通过本章的学习，读者应能够： 掌握病毒的定义； 描述计算机病毒的种类和特征； 了解系统可能被病毒感染所表现出的常见的症状或行为； 解释不同类型的病毒是如何进入系统和传播的。,4,4,11.1概述,病毒这个词来源于生命科学。生理学上的病毒是一种不能够进行自我复制的寄生性实体，因此，它们通过将DNA注入另一个生物体的细胞来抢夺其中的资源，创造更多的复制品。有时，病毒繁殖产生的副产品会破坏主体细胞，这个生物体就会

2、生病。其他病毒DNA仍留在主体细胞中，不造成破坏，当细胞分裂时会被传递。 同生物体中的病毒一样，计算机病毒也是一种自己不能执行的寄生代码。计算机病毒附着在宿主程序的可执行文件中，以便在宿主程序被执行时也随之执行。在大多数情况下，当病毒代码完成了执行后会跳转到原来的宿主程序上，因此用户的印象是，被感染的文件似乎没有什么异常。,5,计算机病毒可以对它们自己进行复制并在计算机系统中传播，从而造成破坏。自从病毒在20世纪80年代中期首次出现以后，我们已经辨别出成千上万种病毒。大多数病毒不是有意具有破坏性的，有些创建病毒的人只是出于证明自己的能力，其他病毒创建者是为了引起人们对己知应用和系统的安全性的关

3、注。然而，一个编写不佳的“有害”病毒可能会破坏系统，因为病毒编程中的错误。 最初病毒主要是通过被感染的软盘来进行传播的，现在，这些软盘己经不再是传播病毒的主要途径了。根据国际计算机安全协会(ICSA)的统计，目前87的病毒是通过电子邮件进入系统的。,6,所有病毒都具有以下一般特征。它们能够： 感染有可执行代码的程序或文件； 通过网络传播； 消耗内存，减缓系统运行速度； 造成引导失败或破坏扇区； 引发硬盘被重新格式化； 影响程序的运行方式； 感染防毒程序。,7,影响程序的运行方式； 感染防毒程序。 病毒不能感染只含有数据的文件，但病毒仍可以破坏或删除这些文件。病毒大致可以被归为以下三类： a.引

4、导扇区病毒将自己附着在软盘和硬盘的引导扇区上。 b.文件感染病毒或寄生性病毒感染其他程序或文件。 c.复合性病毒能够感染硬盘的MBR，软盘的引导扇区，以及DOS中的exe和com文件。 无论是哪种类型，病毒的基本机制都是相同的。跨平台病毒可以感染属于不同平台的文件(如，Windows和Linux)。然而，这些病毒很少见，也很少能获得100的功能性。,8,8,11.2一般病毒术语和概念,下表中的术语和概念将帮助用户了解病毒是如何影响系统的。,9,10,10,11.3 引导扇区病毒,引导扇区病毒感染硬盘的主引导记录(MBR)。MBR在硬盘的第一个扇区，是计算机开启后读取的第一个扇区。MBR上的信息

5、告诉计算机在哪里可以找到操作系统文件。通常，当一个计算机被打开后，它会读取MBR，发现操作系统，然后将该操作系统加载到存储器中。 提示：主引导记录(MBR)有时也被称为分区表。 引导扇区病毒会用自己的代码代替MBR中的信息，因此，当计算机读取第一个扇区时，病毒会在操作系统之前被加载到内存中。当病毒进入内存后，它会将自己复制到计算机的每个磁盘上。除非被清除，否则该引导扇区病毒在每次计算机被,11,启动时都会加载到存储器中。 大多数软盘只携带数据文件，但如果将一个数据磁盘插入到一个被感染的计算机中，该病毒会将自己复制在这个磁盘中。当病毒改写了这个数据磁盘的第一个扇区中的信息使其成为类似于启动盘的磁

6、盘，于是这个软盘便成为了携带病毒的载体。如果将这个被感染的数据盘插人到未被感染的计算机中的软驱中时，该计算机会试图从软驱中引导，并将病毒加载到它的存储器中，也由此被感染。 （由于目前软驱已经退出市场，故引导扇区病毒通过软磁盘引导扇区感染并传播的示意图省略）,12,提示：除非计算机正在启动；否则它不会读取磁盘的第一个扇区。因此，当将一个被感染的数据盘插人到一个正在运行的计算机上时，病毒不会感染该计算机，除非该磁盘含有一个被感染的文件，而且该文件被加载到该计算机上。 除了感染其他磁盘，引导扇区病毒还会对系统造成其他破坏。它们可能会删除硬盘中的部分或全部内容，修改键盘输入，清除CMOS存储或清除MB

7、R。一些引导扇区病毒在造成破坏后会显示信息或播放声音。 一些引导扇区病毒在感染了计算机硬盘后不会被立刻激活，也不一定会感染计算机中安装的所有磁盘。其他的某些引导区病毒还可以被加密。具有这些特性的病毒很难被检测和清除。如，15_Year便是一个引导扇区病毒，它可以感染硬盘和软盘的引导扇区，改写硬盘上的部分数据。,13,引导扇区病毒具有以下的特征和特性： 引导扇区病毒通常会将原始的引导扇区以及部分病毒代码复制到磁盘的另一个地方。对代码的重新部署通常是破坏数据的原因。重新部署的扇区看起来像是一个坏扇区，操作系统认为它们是不可用的。如果一个软盘在同一个位置有几个坏扇区，就有可能是引导病毒造成的。 一些

8、引导扇区病毒有设计缺陷，导致在读取软盘时会产生偶尔的写保护错误。这些设计缺陷还可能会将病毒的部分放置在磁盘很少被使用的区域。当这些区域被使用时或当该引导病毒不能够正确安装自己时，就会出现引导错误。,14,虽然引导扇区病毒曾经是最常见的病毒类型，但它们已不再像以前那样造成严重的威胁。软盘己不再是共享文件和信息的主要方法，而更多的是通过网络、电子邮件和基于Web的方法。病毒程序编写者现在利用这些较新的技术更快、更有效地传播病毒。然而，还不能断言引导扇区病毒已经就此灭绝。只要软盘还在使用，引导扇区病毒将仍构成威胁。 编写主引导记录病毒需要了解以下几个方面的内容。,15,用什么来保存原始主引导记录 众

9、所周知的，文件型病毒用以保存被感染修改的部分是文件。引导型病毒是否也可以使用文件存储被覆盖的引导记录呢？答案是否定的。 由于主引导记录病毒先于操作系统执行，因而不能使用操作系统的功能调用，而只能使用BIOS的功能调用或者使用直接的IO设计。通常，使用BIOS的磁盘服务将主引导记录保存于绝对的扇区内。由于零道零面二扇区是保留扇区，因而通常使用它来保存。,16,需要掌握的BIOS磁盘服务功能调用 INT 13H子功能02H读扇区 其调用方法为： 入口为： AH02H AL读入的扇区数 CH磁道号 CL扇区号(从1开始) DH头号,17,DL=物理驱动器号 ES：BX-要填充的缓冲区 返回为：当CF

10、置位时表示调用失败 AH状态 AL实际读入的扇区数 INT13H子功能03H写扇区 其调用方法为： 入口为： AH=03H AL=写入的扇区数 CH=磁道号 CL=扇区号(从1开始),18,DH=头号 DL=物理驱动器号 ES：BX-缓冲区 返回为：当CF置位时表示调用失败 AH=状态 AL=实际写入的扇区数 这类病毒通过什么来进行感染 通常，这类病毒通过截获中断向量INT13H进行系统监控。当存在软盘或硬盘时，病毒将检测其是否干净，若尚未感染则感染之。,19,19,11.4 文件感染病毒,文件感染或寄生病毒会感染可执行的程序，如带有.COM、.EXE和.SYS后缀的文件。在宿主程序执行时，文

11、件感染病毒被激活。它们通过感染其他的可执行程序来传播。 文件感染病毒可以分为以下几类： DOS病毒：感染DOS中的可执行程序； Windows病毒：感染Windows中的可执行程序； 宏病毒：感染带有宏功能的应用文件中的宏； 脚本病毒：当它们进入一个存在着脚本宿主程序的系统时会激活； Java病毒：嵌入在用Java编程语言编写的应用中； Shockwave病毒：感染.SWF文件。,20,20,11.5 DOS病毒,第一代恶意代码病毒就是以DOS病毒的形式出现的。DOS病毒通过将自己的复制文件附着在宿主程序的末尾来感染程序，称为appending infection。这通常意味着，该病毒将自己添

12、加到了文件的末尾。然后，该病毒会将宿主程序的原来的文件头进行复制，并将其转移到病毒体中。在复制和存储了文件头后，病毒会将带有一个指向病毒体的错误文件头替换原来文件头。这保证了该病毒代码能够在执行该程序时首先被运行。,21,通常，当一个程序被执行时，计算机会从程序头开始读取代码。当一个程序被感染后，计算机会读取错误的文件头而跳过真正的程序进入病毒代码。当计算机读取病毒代码时，病毒会被加载到内存中。在病毒代码的末尾是程序的真正的文件头，计算机会跳回到原来程序的开始并执行。在多数情况下，该程序会正常运行，用户并不知道已经存在病毒。这是最常见的感染形式，因为它只需要将病毒添加到一个文件的末尾，并对原来

13、主文件的代码进行修改即可。,22,图11.1 病毒的文件头跳转示意图,23,虽然大多数DOS病毒将它们的代码附着在宿主程序的末尾，但有些病毒会将它们的代码插入在程序的开头，称作prependinginfection。这样的病毒会对它们的宿主程序造成严重的破坏，而且很难清除。 DOS病毒的特征和行为 DOS病毒感染DOS可执行程序(一般来说，是具有.COM和.EXE扩展名的文件)。大多数DOS病毒会试图通过感染其他宿主程序来进行复制和传播。在多数情况下，可以将它们从被感染的文件中成功地删除(除非它们已经改写或破坏了原来程序的部分代码)。除了感染可执行程序(.COM和.EXE)，一些DOS病毒还会

14、感染带有以下扩展名的文件：.SYS，.BIN，.BAT，.0VL和.DRV。,24,当一个DOS病毒感染了一台计算机后，它通常会造成一些可以识别的变化。大多数被感染文件的大小会变大，因为有附加的病毒代码的加入。如果病毒存在于内存，它会减慢系统的运行速度。当计算机内存无故下降时，或系统开始运行缓慢，便有可能是感染了病毒(这些症状也可能由于软件原因引起的)。如果你不能肯定你的计算机为什么出现功能异常，你应该用病毒扫描程序检测你的计算机。如果病毒改写了宿主程序的代码，宿主程序不能运行，用户便可以立即知道出了问题。,25,通常，DOS病毒不会感染Microsoft Windows的可执行程序。如果Wi

15、ndows或其他操作系统从一个DOS磁盘中启动并加载一个标准的DOS可执行程序，则DOS病毒也可以感染运行该Windows或其他操作系统的PC。运行基于386(或更高)系统的NetWare或自动装载的操作系统的PC很容易受到MBR的感染。任何提供“DOS窗口”或“DOS模拟器”来运行DOS程序的操作系统都有可能会感染上DOS病毒。,26,DOS病毒范例 同引导扇区病毒一样，DOS病毒通常是通过计算机用户之间共享软盘时进行传播的。今天DOS病毒几乎已经“灭绝”。大多数病毒已经被防毒软件消灭，剩下的拷贝版本都存在于防毒公司的病毒研究实验室中。 一些仍存在的DOS病毒有DarkAvenger、Teq

16、uila和Bladerunner。Dark Avenger是一个隐秘型引导扇区病毒，它可以用无意义的代码改写硬盘上的数据扇区。Tequila是另一种隐秘型引导扇区病毒，Bladerunner是一系列可以感染COM和EXE文件的加密病毒。,27,27,11.6 Windows病毒,Windows病毒与DOS病毒在攻击和传播方式上相似。不同之处在于，Windows病毒攻击的是Windows操作系统而不是DOS。通过DOS病毒相比，他们攻击不同的可执行文件，同时所附着的代码也略有不同。Windows病毒通常向宿主程序附着一个以上的拷贝，将其代码隐藏在程序代码的开始、中间或末尾。 下面以Windows

17、 cavity为例进行说明：该病毒具有很长的代码，为避免被检测到，它在可执行的文件中寻找可用的空间，并将病毒代码拷贝放入这些位置，见下图。,28,同DOS病毒一样，Windows病毒可以修改应用代码中的头部信息，在程序被执行时将自己加载到内存中。如果病毒编写得完美，宿主程序在运行时，不会发现被感染。,图11.2 Windows病毒插入文件可用空间,29,Windows病毒的特征和行为,大多数Windows病毒在感染文件以后，会增加文件的大小，许多病毒还会改变时间戳。然而，有些Windows病毒可以将主文件原来的时间戳保存起来，当感染结束后再将其恢复。对时间戳的恢复隐藏了它已经被修改的事实。一些

18、Windows病毒在感染一个程序时可能不增加该文件的大小。然而，一般来说，对文件大小和时间戳的不可预测的修改可能对你是一个提示，即表示可能有病毒了。 当一个Windows病毒常驻时，它通常出现在任务管理器中。你应该寻找奇怪的任务或进程并确定这些任务与哪些应用相关，这些应用可能会被感染。,30,Windows病毒通常会修改注册表和其他的配置文件，使其能够在Windows启动时自动运行。你可以检查注册表和其他配置文件，发现不寻常或可疑的改动。 Windows病毒通常会感染Windows应用，尤其是WindowsPE(便携可执行程序)文件，还有些可能会感染Windows环境中的其他可执行文件。一些经

19、常被感染的程序包括： Microsoft Explorer; 游戏；,31,画图(和类似的图形应用)； 记事本； Microsoft Word； Microsoft Outlook； 计算器。 大多数引导扇区病毒与Windows的存储管理系统不兼容。Windows操作系统比纯DOS系统更能抵御引导扇区病毒。目前几乎所有在野的病毒和蠕虫都是Windows 32-bit病毒。,32,Windows病毒范例 PE_KRIZ.3862病毒是一种位于内存中的常见的Windows病毒。该病毒也称KRIZ.3862，在每次感染时都会改变自己以躲避检测。KRIZ.3862感染EXE和.SCR文件，具有一个破坏

20、性的有效负载，在每年的12月25日发作。该病毒试图破坏某种类型的PC Flash BIOS和CMOS信息。,33,33,11.7 宏病毒,直到1995年，大多数病毒都只感染程序和可执行文件。宏病毒会感染包含有数据的文件，即文档。 宏是一组指令，可以简化一个应用内的重复性任务。例如，如果你的公司要求将某一个声明加到所有文档的后面，你可以在你的Word处理器上创建一个宏，通过按几个组合键便可以将一个声明加到所有文档的后面。还可以对这个宏进行配置，使其自动运行。 宏病毒是用应用程序的宏语句编写的。它们通常利用宏的自动化功能，在用户不参与的情况下便能够运行被感染的宏。因此，只要打开一个文档，这个被感染

21、的宏便会被执行。当一个被感染的宏被运行时，它会将自己安装在应用的模板中，并感染该应用创建和打开的所有文档。,34,如果在某个应用程序中的宏语言强大到能够控制文件时，并且如果文件格式支持数据和宏代码共同存在于同一个文件，应用程序便很容易受到宏病毒的感染，宏病毒在以下这些文件类型中最常见： Microsoft Word； Microsoft Excel； Microsoft Access； Microsoft Visio； Microsoft PowerPoint； Visual Basic for Applications (VBA) macros; CorelDraw； AmiPro； Wor

22、dPro。,35,宏病毒的特征和行为 与操作系统病毒相似，宏病毒在感染时增加了文件的大小。如果知道文档上一次被修改的大约时间，用户可以检查该文档的时间戳，留意最后一次被修改的时间。如果时间戳比记忆中的修改时间靠后，就可能存在着病毒。 下面是宏病毒感染的几种症状： 在以前不含有宏的文件中出现了宏； 该应用程序将所有文件保存为模板； 该应用程序经常会提醒用户保存那些只是被查看了但没有被修改的文件。,36,提示：使用Word2000打开一个在Word97中创建的文档，会提示用户保存文档，即使你没有做任何修改。 宏病毒通常会禁用一个应用程序的宏病毒保护特性。有些病毒还会禁用Visual Basic E

23、ditor以使人们放弃检查宏代码的想法。宏病毒通常以以下方式传播： 电子邮件； 软盘； Web下载； 文件传输； 协作性应用。,37,Word宏病毒,每一个Microsoft Word文档都是基于一个模板创建的，这个模板决定了该文档的基本结构和设置，包括宏。通用模板在Word中通常被称为Normal模板，含有一些应用在所有文档中的可用设置。 当一个被感染的文件在Word中被打开时，它通常会将它的宏代码复制到这个通用模板中。当宏病毒常驻在该通用模板中时，它便可以将自己复制到Word访问的其他任何文档中。 通常，用户在执行某些可触发病毒代码时就会被感染。宏病毒会产生一个自动被执行的命令。例如每次打

24、开一个文档时都会执行一个AutoOpen命令。因此，一个可自动执行AutoOpen命令的病毒会使病毒在命令进行前被执行。此时，该宏病毒便可以执行许多其他活动。,38,Excel宏病毒 Microsoft Excel采用的是一个通用的模板文件夹，即Excel Startup文件夹，而不是使用类似Word中的通用模板文件。当Microsoft Excel被启动时，它会打开启动文件夹中的所有文件，然后加载这些文件中所包含的设置，包括显示在这些页面上的宏，以及哪一个会自动执行。Excel宏病毒将一个被感染的电子表格l文档的副本放在启动文件夹中，可以在Excel的以后的会话中传播。,39,宏病毒范例,M

25、elissa病毒或W97M_ASSILEM.B都是宏病毒的典型。Melissa病毒于1999年3月开始出现，主要感染Microsoft Word97和Word2000的应用。该病毒影响Windows和苹果平台。Melissa作为附加在电子邮件中的Word文档向用户的Microsoft Outlook地址本的前50个地址发送。这种快速的传播严重影响了许多大网站的邮件服务器的性能，在某些地方还造成了Denial of Service(拒绝服务攻击)。 据统计，接近80的病毒都是宏病毒，而且这个比例还在上升。同Windows和DOS病毒不同，宏病毒不是针对操作系统，因此，它们可以更加轻松地传播。,4

26、0,40,11.8 脚本病毒,脚本是指从一个数据文档中进行一个任务的一组指令，这一点与宏相似(有时宏和脚本可以交替使用)。与宏相同，脚本也是嵌入到一个静止的文件中的，它们的指令是由一个应用程序而不是计算机的处理器运行的。WindowsScriptHost内嵌于Windows内，可激活像VBScript、Jscript、JavaScript和PerlScript等这样的脚本语言。大多数目前使用的Web浏览器，如Netscape Navigator和Microsoft Internet Explorer都具有脚本功能，能够运行嵌入在网页中的脚本。常用的脚本有网站点击计数器、格式处理器、实时时钟、搜

27、索引擎、鼠标效果和下拉菜单。,41,创建脚本病毒只需非常低的编程知识水平，它们的代码尽可能精简。脚本病毒还可以使用Windows中预先定义的对象来更加容易地访问被感染系统的其他部分。此外，代码作为文本编写，因此，其他人可以很容易地读取和模仿。因此，许多脚本病毒都有变体。例如，在“ILOVEYOU”病毒出现后不久，防毒厂商就发现原来代码的变体形式，它们采用不同的主题行或信体来传播。,42,脚本病毒的特征和行为 脚本病毒是使用应用程序和操作系统中的自动脚本功能来复制和传播的恶意脚本。例如，当在一个具有脚本功能的浏览器中打开一个HTML文件时，一个嵌入到HTML文件中的脚本病毒就会自动执行。脚本病毒

28、通常存在于CorelDraw(CSC)、Web(HTML，HTM，HTH，and PHP)、information(INF)和registry(REG)文件中。 脚本病毒主要是通过电子邮件和网页传播。,43,脚本病毒范例 “I LOVE YOU”病毒、Bubbleboy病毒和W97M_BEKO.A病毒都是脚本病毒。W97M_BEKO.A病毒或W97M/Coke2k病毒主要感染MicrosoftWord文档。它可以播种VBScript文件，该文件会通过使用Microsoft Outlook的电子邮件来发送脚本的复制。该脚本向被感染系统的电子邮件地址列表的所有人发送带有这种格式的电子邮件。如果系统

29、日期是任何一个月的29日，该脚本病毒就会显示一条消息说“本文件已经被Cokeboy Worm感染”。,44,44,11.9 Java病毒,Java是由SunMicrosystems公司创建的一种用于互联网环境中的编程语言。Java应用程序不会直接运行在操作系统中，而是运行在Java虚拟机(JVM)上。这使得Java应用具有较高的可移植性，一个在Windows环境中编写的Java应用可以运行在Linux平台上，只要有JVM运行。这种可移植性使Java应用非常适合用于平台复杂的互联网环境。 Java applet是一个可以嵌入到网页中的小Java程序。具有Java功能的浏览器可以运行这个小程序，使

30、用户能够通过各种方式玩网络游戏，做拼图，与网页交互。,45,Java病毒很难创建。Java编程语言是非常高级的语言，它不允许编程人员执行低级的操作。此外，Java小程序运行在一个独立的窗口(或sandbox)，可以防止该小程序访问计算机内存或操作系统的系统服务。在Java小程序中的任何病毒都不能够混进运行过该小程序的计算机。 Java与JavaScript不同。JavaScript是由Netscape创建的，它运行在一个脚本宿主上而不是JVM上。 Java病毒的特征和行为 一些Java病毒会消耗网络带宽，造成系统运行变慢。在病毒消耗带宽的同时，严重时可能会造成系统的超载，进而使系统瘫痪。,46

31、,Java病毒能够窃取、删除或修改信息。它们还会针对大量的安全漏洞创建后门，它们可以破坏用VBScript编写的计算机程序。Java病毒主要是在用户访问被感染的网页时传播。如果邮件中包含有嵌入的已被Java病毒感染的网页，Java病毒还可以通过电子邮件传播。 Java病毒范例 JAVA_RDPASSWD.A病毒可以窃取密码的非破坏性的Java小程序。它会尝试读取文件名为/etc/passwd的文件，这里是大多数UNIX和UNIX兼容系统中存储加密密码的地方。Java病毒通常是像Nimda这样的复合型病毒的一个组成部分。,47,47,11.10 Shockwave病毒,Shockwave(SWF

32、)文件是由Macromedia Flash应用创建的。该文件通常包含一些多媒体元素，如音频、动画和视频。嵌入SWF文件经常用在网页中，如动画贺卡、多媒体“splash”网页和动画图标。网络浏览器通过Shockwave插件来运行嵌入的SWF文件。单独的Shockwave播放器还可以在苹果和所有Windows操作系统中运行。 由于Flash具有脚本功能，因此，它很容易受到病毒感染。如果一个用户从互联网上下载了一个被感染的SWF文件或作为电子邮件附件接收了这个被感染的文件，当将该文件运行在一个独立的Shockwave播放器上时，病毒就会被激活。然而，如果利用浏览器从网站上发送被感染的SWF文件，则该SWF病毒不会感染计算机。Shockwave插件可以避免SWF文件访问计算机的存储和操作系统