計算機病毒知識與防治學(xué)習(xí)資料大全(3-2)

甘苦人生2010 2013-05-24

展開全文

開機型病毒是藏匿在磁盤片或硬盤的第一個扇區(qū)。因為DOS的架構(gòu)設(shè)計, 使得病毒可以在每次開機時, 在操作系統(tǒng)還沒被加載之前就被加載到內(nèi)存中, 這個特性使得病毒可以針對DOS的各類中斷 (Interrupt) 得到完全的控制, 并且擁有更大的能力進行傳染與破壞。
2.2文件型病毒 (File Infector Virus):
文件型病毒通常寄生在可執(zhí)行文件(如 *.COM, *.EXE等)中。當這些文件被執(zhí)行時, 病毒的程序就跟著被執(zhí)行。文件型的病毒依傳染方式的不同, 又分成非常駐型以及常駐型兩種 :
(1) 非常駐型病毒(Non-memory Resident Virus) :
非常駐型病毒將自己寄生在 *.COM, *.EXE或是 *.SYS的文件中。當這些中毒的程序被執(zhí)行時，就會嘗試去傳染給另一個或多個文件。
(2) 常駐型病毒(Memory Resident Virus) :
常駐型病毒躲在內(nèi)存中，其行為就好象是寄生在各類的低階功能一般(如 Interrupts)，由于這個原因, 常駐型病毒往往對磁盤造成更大的傷害。一旦常駐型病毒進入了內(nèi)存中, 只要執(zhí)行文件被執(zhí)行, 它就對其進行感染的動作, 其效果非常顯著。將它趕出內(nèi)存的唯一方式就是冷開機(完全關(guān)掉電源之后再開機)。
2.3復(fù)合型病毒 (Multi-Partite Virus):
復(fù)合型病毒兼具開機型病毒以及文件型病毒的特性。它們可以傳染 *.COM, *.EXE 文件，也可以傳染磁盤的開機系統(tǒng)區(qū)(Boot Sector)。由于這個特性, 使得這種病毒具有相當程度的傳染力。一旦發(fā)病，其破壞的程度將會非常可觀！
2.4隱型飛機式病毒 (Stealth Virus):
隱型飛機式病毒又稱作中斷截取者(Interrupt Interceptors)。顧名思義, 它通過控制DOS的中斷向量，把所有受其感染的文件"假還原"，再把"看似跟原來一模一樣"的文件丟回給 DOS。
2.5千面人病毒 (Polymorphic/Mutation Virus):
千面人病毒可怕的地方, 在于每當它們繁殖一次, 就會以不同的病毒碼傳染到別的地方去。每一個中毒的文件中, 所含的病毒碼都不一樣, 對于掃描固定病毒碼的防毒軟件來說，無疑是一個嚴重的考驗！有些高竿的千面人病毒，幾乎無法找到相同的病毒碼。感染 PE_ Marburg 病毒后的 3 個月，即會在桌面上出現(xiàn)一堆任意排序的 "X" 符號
2.6宏病毒 (Macro Virus):
宏病毒主要是利用軟件本身所提供的宏能力來設(shè)計病毒, 所以凡是具有寫宏能力的軟件都有宏病毒存在的可能, 如Word、 Excel 、AmiPro 等等。
2.7特洛伊木馬病毒 VS.計算機蠕蟲
特洛依木馬（ Trojan ）和計算機蠕蟲（ Worm ）之間，有某種程度上的依附關(guān)系，有愈來愈多的病毒同時結(jié)合這兩種病毒型態(tài)的破壞力，達到雙倍的破壞能力。
計算機蠕蟲在網(wǎng)絡(luò)中匍匐前進。計算機蠕蟲大家過去可能比較陌生，不過近年來應(yīng)該常常聽到，顧名思義計算機蠕蟲指的是某些惡性程序代碼會像蠕蟲般在計算機網(wǎng)絡(luò)中爬行，從一臺計算機爬到另外一臺計算機，方法有很多種例如透過局域網(wǎng)絡(luò)或是 E-mail.最著名的計算機蠕蟲案例就是" ILOVEYOU-愛情蟲 "。例如：" MELISSA-梅莉莎" 便是結(jié)合"計算機病毒"及"計算機蠕蟲"的兩項特性。該惡性程序不但會感染 Word 的 Normal.dot（此為計算機病毒特性），而且會通過 Outlook E-mail 大量散播（此為計算機蠕蟲特性）。
　　事實上，在真實世界中單一型態(tài)的惡性程序其實愈來愈少了，許多惡性程序不但具有傳統(tǒng)病毒的特性，更結(jié)合了"特洛伊木馬程序"、"計算機蠕蟲"型態(tài)來造成更大的影響力。一個耳熟能詳?shù)陌咐?探險蟲"（ExploreZip）。探險蟲會覆蓋掉在局域網(wǎng)絡(luò)上遠程計算機中的重要文件（此為特洛伊木馬程序特性），并且會透過局域網(wǎng)絡(luò)將自己安裝到遠程計算機上（此為計算機蠕蟲特性）。
2.8 黑客型病毒
-走后門、發(fā)黑色信件、癱瘓網(wǎng)絡(luò)
　　自從 2001七月 CodeRed紅色警戒利用 IIS 漏洞，揭開黑客與病毒并肩作戰(zhàn)的攻擊模式以來，CodeRed 在病毒史上的地位，就如同第一只病毒 Brain 一樣，具有難以抹滅的歷史意義。
　　如同網(wǎng)絡(luò)安全專家預(yù)料的，CodeRed 將會成為計算機病毒、計算機蠕蟲和黑客"三管齊下"的開山鼻祖，日后的病毒將以其為樣本，變本加厲地在網(wǎng)絡(luò)上展開新型態(tài)的攻擊行為。果不其然，在造成全球 26.2 億美金的損失后，不到 2 個月同樣攻擊 IIS 漏洞的Nimda 病毒，其破壞指數(shù)卻遠高于 CodeRed。 Nimda 反傳統(tǒng)的攻擊模式，不僅考驗著 MIS 人員的應(yīng)變能力，更使得傳統(tǒng)的防毒軟件面臨更高的挑戰(zhàn)。
　　繼紅色代碼之后，出現(xiàn)一只全新攻擊模式的新病毒，透過相當罕見的多重感染管道在網(wǎng)絡(luò)上大量散播，包含：電子郵件、網(wǎng)絡(luò)資源共享、微軟IIS服務(wù)器的安全漏洞等等。由于 Nimda 的感染管道相當多，病毒入口多，相對的清除工作也相當費事。尤其是下載微軟的 Patch，無法自動執(zhí)行，必須每一臺計算機逐一執(zhí)行，容易失去搶救的時效。
　　每一臺中了Nimda 的計算機，都會自動掃描網(wǎng)絡(luò)上符合身份的受害目標，因此常造成網(wǎng)絡(luò)帶寬被占據(jù)，形成無限循環(huán)的 DoS阻斷式攻擊。另外，若該臺計算機先前曾遭受 CodeRed 植入后門程序，那么兩相掛勾的結(jié)果，將導(dǎo)致黑客為所欲為地進入受害者計算機，進而以此為中繼站對其它計算機發(fā)動攻勢。
類似Nimda威脅網(wǎng)絡(luò)安全的新型態(tài)病毒，將會是 MIS 人員最大的挑戰(zhàn)。"
認識計算機病毒與黑客
　　防止計算機黑客的入侵方式，最熟悉的就是裝置「防火墻」(Firewall)，這是一套專門放在 Internet 大門口 (Gateway) 的身份認證系統(tǒng)，其目的是用來隔離 Internet 外面的計算機與企業(yè)內(nèi)部的局域網(wǎng)絡(luò)，任何不受歡迎的使用者都無法通過防火墻而進入內(nèi)部網(wǎng)絡(luò)。有如機場入境關(guān)口的海關(guān)人員，必須核對身份一樣，身份不合者，則謝絕進入。否則，一旦讓恐怖份子進入國境破壞治安，要再發(fā)布通緝令逮捕，可就大費周章了。
　　一般而言，計算機黑客想要輕易的破解防火墻并入侵企業(yè)內(nèi)部主機并不是件容易的事，所以黑客們通常就會用采用另一種迂回戰(zhàn)術(shù)，直接竊取使用者的賬號及密碼，如此一來便可以名正言順的進入企業(yè)內(nèi)部。而 CodeRed、Nimda即是利用微軟公司的 IIS網(wǎng)頁服務(wù)器操作系統(tǒng)漏洞，大肆為所欲為。
--寬帶大開方便之門
　　CodeRed 能在短時間內(nèi)造成亞洲、美國等地 36 萬計算機主機受害的事件，其中之一的關(guān)鍵因素是寬帶網(wǎng)絡(luò)（Broadband）的"always-on" (固接，即二十四小時聯(lián)機)特性特性所打開的方便之門。
　　寬帶上網(wǎng)，主要是指 Cable modem 與 xDSL這兩種技術(shù)，它們的共同特性，不單在于所提供的帶寬遠較傳統(tǒng)的電話撥接為大，同時也讓二十四小時固接上網(wǎng)變得更加便宜。事實上，這兩種技術(shù)的在本質(zhì)上就是持續(xù)聯(lián)機的，在線路兩端的計算機隨時可以互相溝通。
　　當 CodeRed 在 Internet 尋找下一部服務(wù)器作為攻擊發(fā)起中心時，前提必須在該計算機聯(lián)機狀態(tài)方可產(chǎn)生作用，而無任何保護措施的寬還用戶，"雀屏中選"的機率便大幅提升了。
　　當我們期望Broadband（寬帶網(wǎng)絡(luò)）能讓我們外出時仍可隨時連上家用計算機，甚至利用一根小手指頭遙控家中的電飯鍋煮飯、咖啡爐煮咖啡時，同樣的，黑客和計算機病毒也有可能隨時入侵到我們家中。計算機病毒可能讓我們的馬桶不停地沖水，黑客可能下達指令炸掉家里的微波爐、讓冰箱變成烤箱、甚至可能利用家用監(jiān)視攝影機來監(jiān)視我們的一舉一動。唯有以安全為后盾，有效地阻止黑客與病毒的覬覦，才能開啟寬帶網(wǎng)絡(luò)的美麗新世界。
　　計算機及網(wǎng)絡(luò)家電鎮(zhèn)日處于always-on的狀態(tài)，也使得計算機黑客有更多入侵的機會。在以往撥接上網(wǎng)的時代，家庭用戶對黑客而言就像是一個移動的目標，非常難以鎖定，如果黑客想攻擊的目標沒有撥接上網(wǎng)絡(luò)，那幺再厲害的黑客也是一籌莫展，只能苦苦等候。相對的，寬帶上網(wǎng)所提供的二十四小時固接服務(wù)卻讓黑客有隨時上下其手的機會，而較大的帶寬不但提供家庭用戶更寬廣的進出渠道，也同時讓黑客進出更加的快速便捷。過去我們認為計算機防毒與防止黑客是兩回事（見表一），然而 CodeRed卻改寫了這個的定律，過去黑客植入后門程序必須一臺計算機、一臺計算機地大費周章的慢慢入侵，但CodeRed卻以病毒大規(guī)模感染的手法，瞬間即可植入后門程序，更加暴露了網(wǎng)絡(luò)安全的嚴重問題。
表一：黑客與計算機病毒比較

黑客（Hacker）
計算機病毒( Virus )

入侵對象
鎖定特定目標
沒有特定目標

隱喻
被限制出入境者（非企業(yè)網(wǎng)管相關(guān)人員），以幾可亂真的 Passport欺蒙海關(guān)守門員（如同企業(yè)網(wǎng)絡(luò)的Gateway），進入國境（企業(yè)網(wǎng)絡(luò)）后，鎖定迫害對象（計算機主機），進行各種破壞動作。
某人持有合法護照，但在出入境時，攜帶的行李被放置槍炮彈藥等違禁品（病毒程序），海關(guān)（如同企業(yè)網(wǎng)絡(luò)的Gateway）并沒有察覺，于是在突破第一道關(guān)卡后，這些違禁品進入國境（個人計算機或企業(yè)網(wǎng)絡(luò)），隨時產(chǎn)生破壞動作。

舉例說明
沒有合法身份認證的計算機黑客通常都會先想辦法取得一個合法的通行密碼，或者利用系統(tǒng)安全疏失，在網(wǎng)絡(luò)上通行無阻。
一個合法的使用者在有意無意間所「引進」病毒，其管道可能是直接從網(wǎng)際網(wǎng)絡(luò)下載文件、或是開啟 e-mail 中含有病毒的附加文件 (Attachment)所感染。

七．病毒的命名
對病毒命名，各個反毒軟件亦不盡相同，有時對一種病毒不同的軟件會報出不同的名稱。如“SPY”病毒，KILL起名為SPY，KV300則叫“TPVO-3783”。給病毒起名的方法不外乎以下幾種：
按病毒出現(xiàn)的地點，如“ZHENJIANG_JES”其樣本最先來自鎮(zhèn)江某用戶。按病毒中出現(xiàn)的人名或特征字符，如“ZHANGFANG—1535”，“DISK KILLER”，“上海一號”。按病毒發(fā)作時的癥狀命名，如“火炬”，“蠕蟲”。按病毒發(fā)作的時間，如“NOVEMBER 9TH”在11月9日發(fā)作。有些名稱包含病毒代碼的長度，如“PIXEL.xxx”系列,“KO.xxx”等體。