网络安全技术 第5章 计算机病毒及其防范

第 5章 计算机病毒及其防范 第 5章 计算机病毒及其防范 5.1 概述5.2 计算机病毒的特点与种类5.3 病毒的传播途径和寄生软件 5.4 计算机病毒的结构和形式描 5.5 病毒的表 现 行 为5.6 常见计算机病毒实例分析5.7 计算机病毒的防御措施 5.8 常用防病毒软件介绍 第 5章 计算机病毒及其防范 5.1 概 述 什么是计算机病毒 (Computer Virus)? 中华人民共和国计算机信息系统安全保护条例中对计算机病毒给出了明确的定义，计算机病毒是 “ 编制或者在计算机程序中插入的破坏数据，影响计算机使用并且能自我复制的一组计算机指令或者程序代码 ” 。 第 5章 计算机病毒及其防范 计算机病毒的产生与发展由来已久。早在 1949年第一台商用计算机出现之前，计算机先驱约翰 冯 诺伊曼 (John Von Neumann)在 “ 复杂自动装置的理论及组织 ”( Theory and Organization of Complicated Automata)中就已提到：程序可以被编写成能自我复制并增加自身大小的形式。当时只有少数科学家注意到冯 诺伊曼所提出的概念，并开始研究这个问题，而绝大部分的计算机专家都无法想象这种会自我繁殖的程序的可能性。在 20世纪 50年代，贝尔实验室的科学家开始玩一种游戏，在这种称为核心战 (Core War)的游戏中，一方的 “ 生物 ”( 计算机代码 )与对方的 “ 生物 ” 进行战斗。这种 “ 生物 ” 实际上已经有了计算机病毒的主要特征。第 5章 计算机病毒及其防范 到 20世纪 60年代，约翰 康韦 (John Conway)开发出了 “活的 ” (living)软件，这种软件已经可以进行自我复制。 “ 活的 ” 软件的思想在那时很受欢迎，创造病毒类型程序的热情开始在学术界广泛传播，这类 “ 生物学计算机 ” 后来传播到MIT(麻省理工学院 )的一些研究中心以及 XEROX(施乐 )公司的PARC研究中心，但在大范围内这些仍是保密的。 第 5章 计算机病毒及其防范 计算机病毒开始大规模泛滥始于 20世纪 80年代。在 1983年，科恩 汤普森在他的颁奖典礼上向外界正式公布了计算机病毒的存在，并公布了病毒程序的编写方法。从此，计算机病毒的流传便一发不可收拾。 1983年 11月 3日，美国南加州大学学生费雷德 科恩编写的计算机病毒是最早被记录在案的病毒之一。伦 艾德勒曼 (Len Adleman)将它命名为计算机病毒，并在计算机安全讨论会上正式提出，然后专家们在 VAX11/750计算机系统上正式成功演示了第一个病毒实验。 1985年，最早的病毒程序之一通过电子公告牌提供给公众。 1985年 3月， “ 计算机病毒 ” 一词正式出现在科学美国人杂志上。第一个被检测到的病毒出现于 1986年，称为 Brain(巴基斯坦智囊病毒 )，这是一个驻留内存的根扇区病毒，本无恶意的破坏和扩散意图，但病毒代码中的小错误使磁盘文件分配表中的数据被搅乱，从而造成了数据的丢失。 1987年 10月，在美国发现了第一例计算机病毒 (Brain)。 第 5章 计算机病毒及其防范 1988年 11月 2日晚，美国康奈尔大学研究生罗伯特 莫里斯 (Rober Morris)将计算机蠕虫 (Worm)投放到计算机网络中，这个只有 99行代码的病毒程序在美国军方网 (MILnet)和ARPA网上迅速传播，到第二天凌晨，病毒从美国东海岸肆虐到西海岸，波及美国国家航空和航天局、军事基地、主要大学以及与欧洲联网的计算机，造成了 6200多个用户系统瘫痪，直接经济损失达 9200多万美元。莫里斯蠕虫病毒在它遇到的每台计算机的后台都运行一个小进程，它利用了一个编程的缺陷，因而不易被用户发现，以致大量计算机系统瘫痪。这是自计算机面世以后最严重的一次计算机病毒袭击事件，它把科幻故事变成了活生生的现实，引起了世界各国的关注。 第 5章 计算机病毒及其防范 到 20世纪 90年代，随着反病毒技术的提高和计算机网络的发展，计算机病毒也不断变换新花样。 1991年，发现首例专门攻击计算机网络的病毒 GPI， 它突破了 NOVELL Net Ware网络的限制。 1992年，发现首例 Windows中的病毒。 1994年后，采用密码技术编写的技巧高超的隐蔽性病毒和多变体型病毒在世界各地接连不断地出现，如变形金刚 (Multation Engine )、 幽灵王等。 20世纪 90年代中期，出现了病毒工具包或 “ 病毒生产厂 ” 软件。 1995年 8月 9日，在美国首次发现了新型宏病毒 (Macro)， 这不但标志着病毒类型变化的多元化新趋势，而且也说明病毒造成的危害越来越大。 1998年 6月，发现世界上首 例能够破坏硬件的病毒 CIH病毒。 第 5章 计算机病毒及其防范 1999年 3月 26日发现的 Melissa(梅丽莎 )病毒仅用 12 16小时就席卷了全球因特网，在短短的几天之内感染了数以百万计的计算机。 “ 梅丽莎 ” 的大规模感染被称为 “ 前所未有的、席卷全球的因特网病毒风暴 ” 。 2000年 5月 4日，一个名字很美丽的病毒 “ 我爱你 ” 病毒 (I LOVE YOU， 又称 “爱虫 ” )使美国蒙受了计算机病毒史上最大的损失。这是第一个能侵入机密计算机系统的病毒，仅仅用 2小时就造成了 10多亿美元的损失。其中，美国国防部有 4台机密计算机在防火墙被攻破后遭到 “ 爱虫 ” 病毒感染。 2005年 5月，以 “ 我爱你 ”病毒为代表的计算机病毒包括新爱虫 (New Love)、 珍妮特。西蒙斯简历病毒 (Resume-Janet Simons)等的大爆发，影响了全球数百万使用者，其造成的全球损失估计达 67亿美元。 第 5章 计算机病毒及其防范 据统计资料显示， 2001年世界已知的计算机病毒就已超过 60 000种，而在 1998年，计算机病毒只有 14 000种。计算机病毒给人类社会造成的损失是巨大的。据粗略估计， 2001年 7月和 8月仅在网上传播的红色代码病毒就给全球造成了 26亿美元的损失。自 2002年起，计算机病毒连续 3年成为最大的安全威胁之一，而每年病毒造成的损失都在几百亿美元以上。同时，病毒还扰乱社会生活的公共秩序。 第 5章 计算机病毒及其防范 在中国，计算机及网络系统的普及面和普及程度在世界范围内并不是最大的，但计算机病毒的泛滥和危害却非常突出。 20世纪 80年代，计算机病毒就开始在国内泛滥。米开朗基罗 (Michelangelo)和黑色星期五 (Friday the 13th)这两个文件型病毒首开破坏软件系统之先河。 1992年，国内发现了第一例变形病毒 “ Doctor” 。 在很短的时间内，国内的一些程序员通过剖析毒体，迅速掌握了病毒的编写技术。随后， “ 广州一号 ” 、 “ 中国炸弹 ” 、 “ 六 四 ” 和 “ 毛毛虫 ” 等各种国产病毒相继出现。 1995年，在国内发现了危害性较大的 “病毒生产机 ” ，它能自动生成大量 “ 同族 ” 新病毒，并且这些病毒可加密、解密，生存能力和破坏能力极强。 1999年 4月 26日，国内遭受了最为严重的计算机病毒攻击 CIH病毒攻击 (这种病毒可造成硬件的损坏 )，给国内的计算机系统造成了巨大的损害。 第 5章 计算机病毒及其防范 据有关资料统计， 2002年我国计算机用户感染病毒面达83.98%。其中感染面大，造成较大损失的病毒有：冰河、Funlove、 CIH等病毒。病毒造成的主要破坏方式包括数据丢失、系统无法使用和浏览配置被修改等。另外，在国内，病毒的增加速度估计为 4种 /月。2006年上半年，金山毒霸反病毒监测中心共截获 37 735种病毒，依据其传播范围和感染数量，排名前 10位的病毒如表 5.1所示。 第 5章 计算机病毒及其防范 表 5.1 2006年上半年国内计算机受病毒感染情况 第 5章 计算机病毒及其防范 5.2 计算机病毒的特点与种类 5.2.1 计算机病毒的特点计算机病毒是一组程序代码，它可以自我复制，并对计算机系统造成危害。那么，计算机病毒到底有哪些有别于其他计算机程序的特点呢？归纳起来，计算机病毒具有如下一些特点。(1) 隐蔽性。病毒程序代码往往驻留在计算机磁盘等媒体上或附着在其他程序上，一般无法以操作系统提供的文件管理方法观察到它们。有的病毒程序设计得非常巧妙，甚至用一般的系统分析软件工具都无法发现它的存在。(2) 传染性或复制性。计算机病毒可以从一个文件传染到另一个程序，从一台计算机传染到另一台计算机，进而可以在网络上传播蔓延。 第 5章 计算机病毒及其防范 (3) 潜伏性。病毒程序感染正常的计算机之后，一般不会立即发作，而是潜伏下来，等到激发条件 (如日期、时间、特定的字符串等 )满足时才产生破坏作用。计算机病毒的触发条件主要有以下 3种： 利用时间作为触发条件； 利用计算机内执行的某些特定操作作为触发条件； 外部命令触发。 第 5章 计算机病毒及其防范 计算机病毒的潜伏性是依靠其隐蔽机制实现的。计算机病毒之所以容易隐藏而不易被发现，是由于它们具有如下特点。 短小精悍，占用空间小。 具有属性管理能力。病毒程序具有对目标文件的属性进行修改的能力，包括修改文件的日期和时间标志等。 活动隐秘。病毒程序可以暗中修改文件或引导扇区。当病毒被装入内存后，它即暗中监视系统对文件或磁盘扇区的调用。当捕获到这种调用时，病毒会修改并返回该调用进程的信息，使它看起来与原始状态一样。 第 5章 计算机病毒及其防范 具有欺骗性。病毒程序常常使用一些非正常的转移指令，因而跟踪者不易发现，但它会使程序编码违反常规，代码可读性降低。 使用加密手段。病毒程序采用加密措施隐藏容易暴露的调用和文本串等，包括对程序段动态加密、对显示信息加密、对宿主程序段加密以及密钥不固定等。 第 5章 计算机病毒及其防范 多变性。病毒程序在传染文件的同时会修改自身的特征串，并且仍然保持原来的功能。多变性的病毒程序在不同宿主程序中的代码，不仅绝大部分各不相同，而且变化的代码段其相对空间排列位置也有变化。有些病毒还能够自动化整为零，分散潜伏到各种宿主中，且对不同的感染目标其分散潜伏的宿主也不一定相同，在活动时，这些病毒又能自动集零为整，自我组合成一个完整的病毒。更高一级的病毒则具有 “ 变色 ” 特性，随着时间的变化，能自动变化、演绎成不同的形状或者自动改变分散潜伏的各部分病毒的宿主对象。(4) 破坏性。当病毒程序发作时，它们就以不同的形式对计算机系统产生破坏作用。(5) 针对性。大约 70%的病毒都是感染 Windows系统 Unix系统 (包括 Linux)遭受的感染较少。 第 5章 计算机病毒及其防范 5.2.2 计算机病毒的分类1蠕虫 (Worm)蠕虫是一种可以通过网络进行自身复制的病毒程序。蠕虫程序只会在内存中维持一个活动副本，而不向硬盘中写入任何信息。蠕虫有别于一般病毒的主要特点是：它是一个可以独立运行的程序，自身不改变其他程序，但可携带一个具有改变其他程序功能的病毒。蠕虫可以利用多种方式进行传播，通常是利用被攻击目标操作系统中已知的安全漏洞进行传播的。蠕虫对计算机系统的损害主要是占用资源，使被感染的计算机不能工作 (如求职信、 Nimda、 冲击波等 )。 第 5章 计算机病毒及其防范 2特洛伊木马 (Trojan horse)特洛伊木马是一种隐藏了恶意代码或病毒的程序。特洛伊木马程序本身不是病毒程序，而是一种独立的应用程序，不具备自我复制能力，但它同病毒程序一样有潜伏性，且常常具有更大的欺骗性和危害性。特洛伊木马程序可能包含蠕虫和其他病毒程序，如冰河、 Trojan/Beway等。 第 5章 计算机病毒及其防范 3逻辑炸弹 (Logic bomb)逻辑炸弹是一种在某一特殊逻辑条件下执行有害行为的程序。4后门 (活门 )后门是进入程序的一个秘密入口，有时也称为陷门。后门其实是一段代码，它能够识别某种特定的输入序列，通常会通过特定的用户 ID来运行它，或者通过一种事件序列来激活它。知道这个后门的人就可以通过它绕过访问的一般安全检查过程，而直接获得访问 权力。 第 5章 计算机病毒及其防范 5.3 病毒的传播途径和寄生软件 5.3.1 病毒的传播途径病毒传播的方法一般有以下几种。(1) 通过文件传染。病毒感染的文件主要有 3种：可执行文件 (如扩展名为 com、 exe和 bat等 )、文档文件或数据文件 (如Word文档、 Excel文档、 Access文档等，宏病毒就可感染这些文件 )和 Web文档 (包括图像、声音文件 )。 第 5章 计算机病毒及其防范 (2) 通过计算机硬件进行传播，包括计算机内的 ROM芯片、专用 ASIC芯片、硬盘等。还可以通过可移动式存储设备，包括软盘、磁带、 USB盘及可移动式硬盘等传播病毒。其中包括通过引导扇区进行传播的方式，这时引导扇区的病毒一般会把一些系统指令移到磁盘上的其他地方，然后把自己的代码放入引导扇区，当系统初始化时，病毒会自动装入 内存。 第 5章 计算机病毒及其防范 (3) 网络复制。网络复制和引导扇区复制不同的是：病毒直接通过网络传染到目标机系统，典型的情况是直接进入目标机内存，成为进程。通过网络复制的计算机病毒，属于“ 活的代码 ” 类病毒，其典型代表是蠕虫。它们能在因特网上四处传播，并在满足触发条件时破坏计算机。蠕虫在 “ 旅行 ” 到另一个计算机系统上后能生成自身的许多复制，消耗大量的计算机资源，甚至可以使整个计算机网络崩溃。现代病毒在企业网络内部之所以能够快速而广泛地传播，是因为它们充分利用了网络的特点。一般来说，计算机网络的基本构成包括网络服务器和网络站点，计算机病毒一般首先通过工作站传播到内部网络，然后进一步在网上传播。具体来说，其传播方式有如下几种。 第 5章 计算机病毒及其防范 病毒直接从工作站复制到服务器中。 病毒先传染工作站，在工作站内存驻留，等运行网络程序时再传染给服务器。 病毒先传染工作站，在工作站内存驻留，在运行时直接通过映像路径传染给服务器。 如果远程工作站被病毒侵入，则病毒也可以通过通信时数据交换进入网络服务器中，其传播途径为：工作站 服务器 工作站。 第 5章 计算机病毒及其防范 (4) 通过点对点通信系统和无线通信传播。这种渠道与通过网络进行传播的渠道很相似，但又有区别，这种方式可通过计算机网络，也可以通过无线通信的方法进行传播。第 5章 计算机病毒及其防范 5.3.2 病毒的寄生软件计算机病毒为了传播方便，往往寄生在各种软件上。经研究发现，最受病毒欢迎的软件有如下几种。(1) 盗版软件。这是病毒制造者最喜欢使用的病毒寄生软件。(2) 共享软件。(3) 从因特网上下载的软件。(4) 具有报复和惩戒功能的正版软件。(5) 带宏的数据文件，如 Word的 .doc和 .dot数据文件、扩展名为 mdb(Access数据库 )和 xcl(Excel)的文件等。(6) 电子邮件 (E-mail)及附件 (attached)。 第 5章 计算机病毒及其防范 5