定義
熊貓燒香病毒(尼姆亞病毒變種)計算機病毒 (Computer Virus)在《 中華人民共和國計算機信息系統安全保護條例》中被明確定義,病毒指“編制者在電腦程式中插入的破壞計算機功能或者破壞數據,影響計算機使用並且能夠自我複製的一組計算機指令或者程式代碼”。
計算機病毒與醫學上的“病毒”不同,計算機病毒不是天然存在的,是人利用計算機軟體和硬體所固有的脆弱性編制的一組指令集或程式代碼。它能潛伏在計算機的存儲介質(或程式)里,條件滿足時即被激活,通過修改其他程式的方法將自己的精確拷貝或者可能演化的形式放入其他程式中。從而感染其他程式,對計算機資源進行破壞,所謂的病毒就是人為造成的,對其他用戶的危害性很大。
發展
第一份關於計算機病毒理論的學術工作( "病毒" 一詞當時並未使用)於 1949 年由約翰·馮·諾伊曼完成。以 " Theory and Organization of Complicated Automata" 為題的一場在伊利諾伊大學的演講,後改以 "Theory of self-reproducing automata" 為題出版。馮·諾伊曼在他的論文中描述一個電腦程式如何複製其自身。
1980 年,Jürgen Kraus 於多特蒙德大學撰寫他的學位論文 "Self-reproduction of programs"。論文中假設電腦程式可以表現出如同病毒般的行為。
“病毒”一詞最早用來表達此意是在弗雷德·科恩 (Fred Cohen)1984年的論文《電腦病毒實驗》。
1983 年 11月,在一次國際計算機安全學術會議上,美國學者科恩第一次明確提出計算機病毒的概念,並進行了演示。
1986年年初,巴基斯坦兄弟編寫了“大腦( Brain)”病毒,又被稱為“巴基斯坦”病毒。
1987年,第一個電腦病毒C-BRAIN誕生。由巴基斯坦兄弟:巴斯特( Basit)和阿姆捷特( Amjad)編寫。計算機病毒主要是引導型病毒,具有代表性的是“小球”和“石頭”病毒。
1988年在財政部的計算機上發現的,中國最早的計算機病毒。
1989年,引導型病毒發展為可以感染硬碟,典型的代表有“石頭2”。
1990年,發展為複合型病毒,可感染COM和EXE檔案。
1992年,利用DOS載入檔案的優先順序進行工作,具有代表性的是“金蟬”病毒。
1995年,當生成器的生成結果為病毒時,就產生了這種複雜的“病毒生成器” ,幽靈病毒流行中國。 典型病毒代表是“病毒製造機” “VCL”。
1998年台灣大同工學院學生陳盈豪編制了CIH病毒。
2000年最具破壞力的10種病毒分別是:Kakworm,愛蟲, Apology-B, Marker , Pretty ,Stages-A,Navidad,Ska-Happy99 ,WM97/Thus ,XM97/Jin。
2003年,中國大陸地區發作最多的十個病毒,分別是:紅色結束符、愛情後門、FUNLOVE、QQ傳送者、衝擊波殺手、羅拉、求職信、尼姆達II、QQ木馬、CIH。
2005年,1月到10月,金山反病毒監測中心共截獲或監測到的病毒達到50179個,其中木馬、蠕蟲、黑客病毒占其中的91%,以盜取用戶有價賬號的木馬病毒(如網銀、QQ、網遊)為主,病毒多達2000多種。
2007年1月,病毒累計感染了中國80%的用戶,其中78%以上的病毒為木馬、後門病毒。 熊貓燒香肆虐全球。
2010年,越南全國計算機數量已500萬台,其中93%受過病毒感染,感染電腦病毒共損失59000萬億越南盾。
2017年5月,一種名為“想哭”的勒索病毒席捲全球,在短短一周時間裡,上百個國家和地區受到影響。據美國有線新聞網報導,截至2017年5月15日,大約有150個國家受到影響,至少30萬台電腦被病毒感染。
科幻小說
而病毒一詞廣為人知是得力於科幻小說。一部是1970年代中期大衛·傑洛德(David Gerrold)的《When H.A.R.L.I.E. was One》,描述了一個叫“病毒”的程式和與之對戰的叫“抗體”的程式;另一部是約翰·布魯勒爾(John Brunner)1975年的小說《震盪波騎士(ShakewaveRider)》,描述了一個叫做“磁帶蠕蟲”、在網路上刪除數據的程式。
病毒程式
1960年代初,美國麻省理工學院的一些青年研究人員,在做完工作後,利用業務時間玩一種他們自己創造的計算機遊戲。做法是某個人編制一段小程式,然後輸入到計算機中運行,並銷毀對方的遊戲程式。而這也可能就是計算機病毒的雛形。
特徵
繁殖性
計算機病毒可以像生物病毒一樣進行繁殖,當正常程式運行時,它也進行運行自身複製,是否具有繁殖、感染的特徵是判斷某段程式為計算機病毒的首要條件。
破壞性
計算機中毒後,可能會導致正常的程式無法運行,把計算機內的檔案刪除或受到不同程度的損壞。破壞引導扇區及BIOS,硬體環境破壞。
傳染性
計算機病毒傳染性是指計算機病毒通過修改別的程式將自身的複製品或其變體傳染到其它無毒的對象上,這些對象可以是一個程式也可以是系統中的某一個部件。
潛伏性
計算機病毒潛伏性是指計算機病毒可以依附於其它媒體寄生的能力,侵入後的病毒潛伏到條件成熟才發作, 會使電腦變慢。
隱蔽性
計算機病毒具有很強的隱蔽性,可以通過病毒軟體檢查出來少數,隱蔽性計算機病毒時隱時現、變化無常,這類病毒處理起來非常困難。
可觸發性
編制計算機病毒的人,一般都為病毒程式設定了一些觸發條件,例如,系統時鐘的某個時間或日期、系統運行了某些程式等。一旦條件滿足,計算機病毒就會“發作”,使系統遭到破壞。
原理
病毒依附存儲介質軟碟、 硬碟等構成傳染源。病毒傳染的媒介由工作的環境來定。病毒激活是將病毒放在記憶體, 並設定觸發條件,觸發的條件是多樣化的, 可以是時鐘,系統的日期,用戶標識符,也可以是系統一次通信等。條件成熟病毒就開始自我複製到傳染對象中,進行各種破壞活動等。
病毒的傳染是病毒性能的一個重要標誌。在傳染環節中,病毒複製一個自身副本到傳染對象中去。
感染策略
為了能夠複製其自身,病毒必須能夠運行代碼並能夠對記憶體運行寫操作。基於這個原因,許多病毒都是將自己附著在合法的執行檔上。如果用戶企圖運行該執行檔,那么病毒就有機會運行。病毒可以根據運行時所表現出來的行為分成兩類。非常駐型病毒會立即查找其它宿主並伺機加以感染,之後再將控制權交給被感染的應用程式。常駐型病毒被運行時並不會查找其它宿主。相反的,一個常駐型病毒會將自己載入記憶體並將控制權交給宿主。該病毒於背景中運行並伺機感染其它目標。
非常駐型病毒
非常駐型病毒可以被想成具有搜尋模組和複製模組的程式。搜尋模組負責查找可被感染的檔案,一旦搜尋到該檔案,搜尋模組就會啟動複製模組進行感染。
常駐型病毒
常駐型病毒包含複製模組,其角色類似於非常駐型病毒中的複製模組。複製模組在常駐型病毒中不會被搜尋模組調用。病毒在被運行時會將複製模組載入記憶體,並確保當作業系統運行特定動作時,該複製模組會被調用。例如,複製模組會在作業系統運行其它檔案時被調用。在這個例子中,所有可以被運行的檔案均會被感染。常駐型病毒有時會被區分成快速感染者和慢速感染者。快速感染者會試圖感染儘可能多的檔案。例如,一個快速感染者可以感染所有被訪問到的檔案。這會對防毒軟體造成特別的問題。當運行全系統防護時,防毒軟體需要掃描所有可能會被感染的檔案。如果防毒軟體沒有察覺到記憶體中有快速感染者,快速感染者可以藉此搭便車,利用防毒軟體掃描檔案的同時進行感染。快速感染者依賴其快速感染的能力。但這同時會使得快速感染者容易被偵測到,這是因為其行為會使得系統性能降低,進而增加被防毒軟體偵測到的風險。相反的,慢速感染者被設計成偶而才對目標進行感染,如此一來就可避免被偵測到的機會。例如,有些慢速感染者只有在其它檔案被拷貝時才會進行感染。但是慢速感染者此種試圖避免被偵測到的作法似乎並不成功。
分類
破壞性
良性病毒、惡性病毒、極惡性病毒、災難性病毒。
傳染方式
引導區型病毒主要通過軟碟在作業系統中傳播,感染引導區,蔓延到硬碟,並能感染到硬碟中的"主引導記錄"。
檔案型病毒是檔案感染者,也稱為“寄生病毒”。它運行在計算機存儲器中,通常感染擴展名為COM、EXE、SYS等類型的檔案。
混合型病毒具有引導區型病毒和檔案型病毒兩者的特點。
宏病毒是指用BASIC語言編寫的病毒程式暫存在Office文檔上的宏代碼。宏病毒影響對文檔的各種操作。
1.引導區型病毒主要通過軟碟在作業系統中傳播,感染引導區,蔓延到硬碟,並能感染到硬碟中的"主引導記錄"。
2.檔案型病毒是檔案感染者,也稱為“寄生病毒”。它運行在計算機存儲器中,通常感染擴展名為COM、EXE、SYS等類型的檔案。
3.混合型病毒具有引導區型病毒和檔案型病毒兩者的特點。
4.宏病毒是指用BASIC語言編寫的病毒程式暫存在Office文檔上的宏代碼。宏病毒影響對文檔的各種操作。
連線方式
源碼型病毒攻擊高級語言編寫的源程式,在源程式編譯之前插入其中,並隨源程式一起編譯、連線成執行檔。源碼型病毒較為少見,亦難以編寫。
入侵型病毒可用自身代替正常程式中的部分模組或堆疊區。因此這類病毒只攻擊某些特定程式,針對性強。一般情況下也難以被發現,清除起來也較困難。
作業系統型病毒可用其自身部分加入或替代作業系統的部分功能。因其直接感染作業系統,這類病毒的危害性也較大。
外殼型病毒通常將自身附在正常程式的開頭或結尾,相當於給正常程式加了個外殼。大部份的檔案型病毒都屬於這一類。
1.源碼型病毒攻擊高級語言編寫的源程式,在源程式編譯之前插入其中,並隨源程式一起編譯、連線成執行檔。源碼型病毒較為少見,亦難以編寫。
2.入侵型病毒可用自身代替正常程式中的部分模組或堆疊區。因此這類病毒只攻擊某些特定程式,針對性強。一般情況下也難以被發現,清除起來也較困難。
3.作業系統型病毒可用其自身部分加入或替代作業系統的部分功能。因其直接感染作業系統,這類病毒的危害性也較大。
4.外殼型病毒通常將自身附在正常程式的開頭或結尾,相當於給正常程式加了個外殼。大部份的檔案型病毒都屬於這一類。
計算機病毒種類繁多而且複雜,按照不同的方式以及計算機病毒的特點及特性,可以有多種不同的分類方法。同時,根據不同的分類方法,同一種計算機病毒也可以屬於不同的計算機病毒種類。
按照計算機病毒屬性的方法進行分類,計算機病毒可以根據下面的屬性進行分類。
根據病毒存在的媒體劃分:
•網路病毒——通過計算機網路傳播感染網路中的執行檔。
•檔案病毒——感染計算機中的檔案(如:COM,EXE,DOC等)。
•引導型病毒——感染啟動扇區(Boot)和硬碟的系統引導扇區(MBR)。
還有這三種情況的混合型,例如:多型病毒(檔案和引導型)感染檔案和引導扇區兩種目標,這樣的病毒通常都具有複雜的算法,它們使用非常規的辦法侵入系統,同時使用了加密和變形算法。
根據病毒傳染渠道劃分:
•駐留型病毒——這種病毒感染計算機後,把自身的記憶體駐留部分放在記憶體(RAM)中,這一部分程式掛接系統調用併合併到作業系統中去,它處於激活狀態,一直到關機或重新啟動
•非駐留型病毒——這種病毒在得到機會激活時並不感染計算機記憶體,一些病毒在記憶體中留有小部分,但是並不通過這一部分進行傳染,這類病毒也被劃分為非駐留型病毒。
根據破壞能力劃分:
•無害型——除了傳染時減少磁碟的可用空間外,對系統沒有其它影響。
•無危險型——這類病毒僅僅是減少記憶體、顯示圖像、發出聲音及同類影響。
•危險型——這類病毒在計算機系統操作中造成嚴重的錯誤。
•非常危險型——這類病毒刪除程式、破壞數據、清除系統記憶體區和作業系統中重要的信息。
根據算法劃分:
•伴隨型病毒——這類病毒並不改變檔案本身,它們根據算法產生EXE檔案的伴隨體,具有同樣的名字和不同的擴展名(COM),例如:XCOPY.EXE的伴隨體是XCOPY-COM。病毒把自身寫入COM檔案並不改變EXE檔案,當DOS載入檔案時,伴隨體優先被執行到,再由伴隨體載入執行原來的EXE檔案。
•“蠕蟲”型病毒——通過計算機網路傳播,不改變檔案和資料信息,利用網路從一台機器的記憶體傳播到其它機器的記憶體,計算機將自身的病毒通過網路傳送。有時它們在系統存在,一般除了記憶體不占用其它資源。
•寄生型病毒——除了伴隨和“蠕蟲”型,其它病毒均可稱為寄生型病毒,它們依附在系統的引導扇區或檔案中,通過系統的功能進行傳播,按其算法不同還可細分為以下幾類。
•練習型病毒,病毒自身包含錯誤,不能進行很好的傳播,例如一些病毒在調試階段。
•詭秘型病毒,它們一般不直接修改DOS中斷和扇區數據,而是通過設備技術和檔案緩衝區等對DOS內部進行修改,不易看到資源,使用比較高級的技術。利用DOS空閒的數據區進行工作。
•變型病毒(又稱幽靈病毒),這一類病毒使用一個複雜的算法,使自己每傳播一份都具有不同的內容和長度。它們一般的作法是一段混有無關指令的解碼算法和被變化過的病毒體組成。
命名
計算機病毒命名,DOS系統下病毒無前綴。 (一般病毒命名格式:<前綴>.<病毒名>.<後綴>)
| 前綴 | 含義 |
| WM | Word6.0、Word95宏病毒 |
| WM97 | Word97宏病毒 |
| XM | Excel5.0、Excel95宏病毒 |
| X97M | Excel5.0和Excel97版本下發作 |
| XF | Excel程式病毒 |
| AM | Access95宏病毒 |
| AM97M | Access97宏病毒 |
| W95 | Windows95、98病毒 |
| Win | Windows3.x病毒 |
| W32 | 32位病毒,感染所有32位Windows系統 |
| WINT | 32位Windows病毒,只感染Windows NT |
| Trojan/Troj | 特洛伊木馬 |
| VBS | VBScript程式語言編寫的病毒 |
| VSM | Visio VBA宏或script的宏或script病毒 |
| JS | JScript程式語言編寫的病毒 |
| PE | 32位定址的Windows病毒 |
| OSX | OS X的病毒 |
| OSXL | OS X Lion或者更新版本的病毒 |
徵兆預防
病毒徵兆
螢幕上出現不應有的特殊字元或圖像、字元無規則變或脫落、靜止、滾動、雪花、跳動、小球亮點、莫名其妙的信息提等。
發出尖叫、蜂鳴音或非正常奏樂等。
磁碟機(2007年)經常無故當機,隨機地發生重新啟動或無法正常啟動、運行速度明顯下降、記憶體空間變小、磁碟驅動器以及其他設備無緣無故地變成無效設備等現象。
磁碟標號被自動改寫、出現異常檔案、出現固定的壞扇區、可用磁碟空間變小、檔案無故變大、失蹤或被改亂、執行檔( exe)變得無法運行等。
列印異常、列印速度明顯降低、不能列印、不能列印漢字與圖形等或列印時出現亂碼。
收到來歷不明的電子郵件、自動連結到陌生的網站、自動傳送電子郵件等。
保護預防
程式或數據神秘地消失了,檔案名稱不能辨認等;注意對系統檔案、執行檔和數據防寫;不使用來歷不明的程式或數據;儘量不用軟碟進行系統引導。
不輕易打開來歷不明的電子郵件;使用新的計算機系統或軟體時,先防毒後使用;備份系統和參數,建立系統的應急計畫等。安裝防毒軟體。分類管理數據。
免殺技術以及新特徵
免殺是指:對病毒的處理,使之躲過防毒軟體查殺的一種技術。通常病毒剛從病毒作者手中傳播出去前,本身就是免殺的,甚至可以說“病毒比防毒軟體還新,所以防毒軟體根本無法識別它是病毒”,但由於傳播後部分用戶中毒向防毒軟體公司舉報的原因,就會引起安全公司的注意並將之特徵碼收錄到自己的病毒庫當中,病毒就會被防毒軟體所識別。
病毒作者可以通過對病毒進行再次保護如使用彙編加花指令或者給文檔加殼就可以輕易躲過防毒軟體的病毒特徵碼庫而免於被防毒軟體查殺。
美國的Norton Antivirus、McAfee、PC-cillin,俄羅斯的Kaspersky Anti-Virus,斯洛伐克的NOD32等產品在國際上口碑較好,但防毒、查殼能力都有限,目前病毒庫總數量也都僅在數十萬個左右。
自我更新性是近年來病毒的又一新特徵。病毒可以藉助於網路進行變種更新,得到最新的免殺版本的病毒並繼續在用戶感染的計算機上運行,比如熊貓燒香病毒的作者就創建了“病毒升級伺服器”,在最勤時一天要對病毒升級8次,比有些防毒軟體病毒庫的更新速度還快,所以就造成了防毒軟體無法識別病毒。
除了自身免殺自我更新之外,很多病毒還具有了對抗它的“天敵”防毒軟體和防火牆產品反病毒軟體的全新特徵,只要病毒運行後,病毒會自動破壞中毒者計算機上安裝的防毒軟體和防火牆產品,如病毒自身驅動級Rootkit保護強制檢測並退出防毒軟體進程,可以過主流防毒軟體“主動防禦”和穿透軟、硬體還原的機器狗,自動修改系統時間導致一些防毒軟體廠商的正版認證作廢以致防毒軟體作廢,從而病毒生存能力更加強大。
免殺技術的泛濫使得同一種原型病毒理論上可以派生出近乎無窮無盡的變種,給依賴於特徵碼技術檢測的防毒軟體帶來很大困擾。近年來,國際反病毒行業普遍開展了各種前瞻性技術研究,試圖扭轉過分依賴特徵碼所產生的不利局面。目前比較有代表性產品的是基於虛擬機技術的啟發式掃描軟體,代表廠商NOD32,Dr.Web,和基於行為分析技術的主動防禦軟體,代表廠商中國的微點主動防禦軟體等。
