栏目回收
国家计算机病毒应急处理中心
计算机病毒防治产品检验中心
张 健
1999年3月6日,一个名为“美丽杀”的计算机病毒席卷欧、美各国的计算机网络。这种病毒利用邮件系统大量复制、传播,造成网络阻塞,甚至瘫痪。并且,这种病毒在传播过程中,还会造成泄密。在美国,白宫、微软和Intel等政府部门和一些大公司,为了避免更大的损失,紧急关闭了网络服务器,检查、清除“美丽杀”病毒。由于“美丽杀”病毒危害美国政府和大型企业的利益,美国联邦调查局(FBI)迅速行动。经过四、 五天的技术侦查,将病毒制造者史密斯抓获。但是“美丽杀”病毒已致使300多家大型公司的服务器瘫痪, 这些公司的业务依赖于计算机网络,服务器瘫痪后造成公司正常业务停顿,损失巨大。并且,随后“美丽杀”病毒的源代码在互联网上公布,功能类似于“美丽杀”的其他病毒或蠕虫接连出台。如:PaPa,copycat等。然而,这仅仅是计算机病毒肆虐网络的序曲。
一、世界主要流行的计算机病毒
根据国外统计资料,今年世界流行计算机病毒的前十位,主要有以下几种:
1 VBS_KAKWORM.A
2 TROJ_PRETTY_PARK
3 TROJ_SKA
4 VBS_LOVELETTER
5 PE_CIH
6 W97M_MELISSA
7 TROJ_MTX.A
8 TROJ_QAZ.A
9 W97M_ETHAN.A
10 O97M_TRISTATE
在这十种病毒种,其中通过网络主动传播的病毒占了七种,另外两种宏病毒可以感染人们编辑的文档,然后通过收发邮件进行传播,PE_CIH可以通过介质、网络下载进行传播。下面我们着重分析一下七种主动通过网络传播的计算机病毒。
1、 VBS_KAKWORM.A
该蠕虫是在1999年10月份发现的。它由三部分组成:HTA 文件 (HTML 应用程序), REG 文件和BAT 文件(MS_DOS批处理文件)。该蠕虫使用MS Outlook Express,通过邮件进行传播。
这种蠕虫首先将原有的AUTOEXEC.BAT复制为 AE.KAK,然后AUTOEXEC.BAT被修改并覆盖了KAK.HTA文件。系统的注册表也将被修改为:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
cAg0u = "C:\WINDOWS\SYSTEM\(name).hta"
其中,(name)是随机生成的八个字母的文件名。 这样,可以保证蠕虫在每次Windows启动时能够得以运行。它在每月一日下午六点时显示这样一条信息:"Kagou-Anti-Kro$oft says not today!"
2、 TROJ_PRETTY_PARK
这种蠕虫最早在1999年6月时,在欧洲中部广泛流行,在今年三月时,又再次爆发。它会每隔30分钟,将自身命名为'Pretty Park.Exe',然后作为邮件的附件发送给邮件地址薄中的所有人。文件的图标使用著名的名为“南方公园”中的卡通形象。
另外,该蠕虫还具有后门程序的功能,它会将感染此蠕虫的系统的信息发送给一些IRC服务器,如:系统配置信息、登录密码和用户名、电话号码以及ICQ 号码等。这些IRC服务器列表如下:
irc.twiny.net
irc.stealth.net
irc.grolier.net
irc.club-internet.fr
ircnet.irc.aol.com
irc.emn.fr
irc.anet.com
irc.insat.com
irc.ncal.verio.net
irc.cifnet.com
irc.skybel.net
irc.eurecom.fr
irc.easynet.co.uk
同时,它还可以远程控制被感染的系统,如:创建/删除目录、上载/下载文件和删除或执行文件。
3、 TROJ_SKA
这也是一个蠕虫病毒,它也称作“Happy99”。当“Happy99.EXE”被运行时,它将在Windows\System目录下生成一个名为SKA.EXE.的文件。同时,它会修改注册表。
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\
Ska.exe = Ska.exe
这样可以保证每次Windows启动时,该蠕虫可以被激活。当蠕虫运行时,将显示"Happy New Year 1999!!",并显示放焰火。该蠕虫将Happy99.EXE作为邮件附件进行传播。
4、 VBS_LOVELETTER
当该病毒运行后,它自动给邮件地址列表中的所有的地址发送邮件,并将自身作为邮件的附件。同时,该病毒感染力极强,可寻找本地驱动器和映射驱动器,并在所有的目录和子目录中搜索可以感染的目标。该病毒感染扩展名为"vbs", "vbe", "js", "jse", "css", "wsh", "sct","hta", "jpg", "jpeg", "mp3"和"mp2"等十二种类型文件。当病毒找到有扩展名为"js", "jse", "css", "wsh", "sct","hta"文件时,病毒将覆盖原文件,并将文件后缀改为"vbs";当感染扩展名为"vbs", "vbe"的文件时,原文件将被病毒代码覆盖;当感染扩展名为"jpg", "jpeg"的文件时,用病毒代码覆盖文件原来的内容,并将后缀加上.vbs后缀,随后毁掉宿主文件,破坏了这些数据文件原始内容。扩展名为"mp3"和"mp2"的文件,其属性被改为隐含文件,然后创建病毒文件,其文件名为以原始文件名添加后缀.vbs作为新的文件名,例如:原始文件为jianyan.mp3,该文件被感染后,jianyan.mp3的文件属性改为隐含文件,然后生成病毒文件jianyan.mp3.vbs。但是,这十二种后缀的文件如果在磁盘的根目录下,则不会遭受破坏。
5、 W97M_MELISSA
当打开染有该病毒的Word文档时,它首先感染模版文件Normal.dot。此后,新创建的文档和修改编辑的文档都会感染此病毒。该病毒将把自身作为附件自动发给邮件地址列表中前五十个地址。
6、 TROJ_MTX.A
这是同时具有病毒、蠕虫和后门程序特点的程序。它把自己作为邮件附件,附件的名称通常为:I_am_sorry_doc.pif,或是zipped_files.exe,然后通过邮件传播,它还可以传染windows目录下的32位EXE文件和DLL文件。
7、TROJ_QAZ.A
TROJ_QAZ.A具有蠕虫和后门程序的特点。它是在今年七八月份发现的。当它运行时,将修改注册表:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
startIE = "Notepad.exe qazwsx.hsq"
这样,可以保证每次随Windows 启动,然后可以通过网络共享进行传播。它将欲传染的系统中的Notepad.exe改为note.com然后将自身拷贝为Notepad.exe。当用户使用记事本程序时,该蠕虫将被激活。它可以允许远程用户控制感染此蠕虫的系统。并可以想某一特定地址发送信息。
二、网络时代,计算机病毒的特点
1、 主动通过网络和邮件系统传播
从当前流行的前十位计算机病毒来看,其中七个病毒都可以利用邮件系统和网络进行传播。W97M_ETHAN.A和 O97M_TRISTATE是宏病毒,它们虽然不能主动通过网络传播,但是,我们很多人使用Office系统创建和编辑文档,然后通过电子邮件交换信息。因此,宏病毒也是通过邮件进行传播的。所以,前十种病毒中,有九种是可以通过网络传播的。
2、 传播速度极快
由于病毒主要通过网络传播,因此,一种新病毒出现后,可以迅速通过国际互联网传播到世界各地。如“爱虫”病毒在一、两天内迅速传播到世界的主要计算机网络,并造成欧、美国家的计算机网络瘫痪。
3、 危害性极大
“爱虫”、“美丽杀”以及CIH等病毒都给世界计算机信息系统和网络带来灾难性的破坏。有的造成网络拥塞,甚至瘫痪;有的造成重要数据丢失;还有的造成计算机内储存的机密信息被窃取;甚至还有的计算机信息系统和网络被人控制。
4、 变种多
目前,很多病毒使用高级语言编写,如“爱虫”是脚本语言病毒,“美丽杀”是宏病毒。因此,它们容易编写,并且很容易被修改,生成很多病毒变种。“爱虫”病毒在十几天中,出现三十多种变种。“美丽杀”
病毒也生成三、四种变种,并且此后很多宏病毒都是了“美丽杀”的传染机理。这些变种的主要传染和破坏的机理与母本病毒一致。只是某些代码作了改变。
5、 难于控制
利用网络传播、破坏的计算机病毒,一旦在网络中传播、蔓延,很难控制。往往准备采取防护措施时侯,可能已经遭受病毒的侵袭。除非关闭网络服务,但是这样做很难被人接受,同时关闭网络服务可能会蒙受更大的损失。
6、 难于根治、容易引起多次疫情�F
“美丽杀”病毒最早在99年三月份爆发,人们花了很多精力和财力控制住了它。但是,今年在美国它又死灰复燃,再一次形成疫情,造成破坏。之所以出现这种情况,一是由于人们放松了警惕性,新投入使用系统未安装防病毒系统;再者是使用了保存旧的染病毒文档,激活了病毒再次流行。
7、 具有病毒、蠕虫和后门(黑客)程序的功能
计算机病毒的编制技术随着网络技术的普及和发展也在不断提高和变化。过去病毒最大的特点是能够复制自身给其他的程序。现在,计算机病毒具有了蠕虫的特点,可以利用网络进行传播,如:利用E-mail。同时,有些病毒还具有了黑客程序的功能,一旦侵入计算机系统后,病毒控制者可以从入侵的系统中窃取信息,远程控制这些系统。呈现出计算机病毒功能的多样化,因而,更具有危害性。
三、网络时代,计算机病毒的防治策略
1、依法治毒
我国在1994年颁布实施了《中华人民共和国信息系统安全保护条例》和1997年出台的新《刑法》中增加了有关对制作、传播计算机病毒进行处罚的条款。2000年5月,公安部颁布实施了《计算机病毒防治管理办法》,进一步加强了我国对计算机的预防和控制工作。同时,为了保证计算机病毒防治产品的质量,保护计算机用户的安全,公安部建立了计算机病毒防治产品检验中心,在96年颁布执行了中华人民共和国公共安全行业标准GA 135-1996《DOS环境下计算机病毒的检测方法》和GA 243-2000《计算机病毒防治产品评级准则》。我们的开展病毒防治工作要严格遵循这些标准和法规,这样才能有效地保障我国的计算机病毒防治水平。
2、建立一套行之有效的病毒防治体系
根据计算机病毒的特点,和多年病毒防治工作的经验来看,从根本上完全杜绝和预防计算机病毒的产生和发展是不可能的。我们目前面临的计算机病毒的攻击事件不但没有减少,而是日益增多,并且,病毒的种类越来越多,破坏方式日趋多样化。每出现一种新病毒,就要有一些用户成为病毒的受害者。面对此种形势,我们不能坐以待毙,而是要寻求一种解决方案,力争将计算机病毒的危害性降至最低。因此,因此,急需建立一种快速的预警机制,能够在最短的时间内发现并捕获病毒,向计算机用户发出警报,提供计算机病毒的防治方案。为遭受计算机病毒攻击、破坏的计算机信息系统提供数据恢复方案,保障我国计算机信息系统和网络的安全。为此,公安部和国家计算机网络与安全管理中心在今年8月份决定,在建立在天津的计算机病毒防治产品检验中心的基础之上,建立国家计算机病毒应急处理中心。该中心是我国计算机应急体系(CERT )中的一部分。国内从事病毒研究的机构和病毒防治产品的开发厂家,以及各省市公共信息网络安全监察部门都是应急体系的成员,CERT遵循的工作原则是“积极预防、及时发现、快速反应、确保恢复”。他们一旦发现计算机病毒,就及时向应急中心报告,对在我国发现的计算机病毒事件进行快速反应和处置,对重大计算机病毒疫情将报告公安部,向社会发布病毒疫情,减少计算机病毒对我国计算机信息系统和网络的破坏。
3、制定严格的病毒防治技术规范
⑴重要部门的计算机,尽量专机专用与外界隔绝。
⑵不要随便使用在别的机器上使用过的可擦写存储介质(如:软盘、硬盘、可擦写光盘等)。
⑶坚持定期对计算机系统进行计算机病毒检测。
⑷坚持经常性的数据备份工作。这项工作不要因麻烦而忽略,否则后患无穷。
⑸坚持以硬盘引导,需用软盘引导,应确保软盘无病毒,
⑹对新购置的机器和软件不要马上投入正式使用,经检测后,试运行一段时间,未发现异常情况再正式运行。
⑺严禁玩电子游戏
⑻对主引导区、引导扇区、FAT表、根目录表、中断向量表、模板文件Winsock.DLL 、WSOCK32.DLL和Kernek32.DLL等系统重要数据做备份。
⑼定期检查主引导区,引导扇区,中断向量表、文件属性(字节长度、文件生成时间等)、模板文件和注册表等。
⑽局域网的机器尽量使用无盘(软盘)工作站。
⑾对局域网络中超级用户的使用要严格控制。
⑿在网关、服务器和客户端都要安装使用病毒防火墙,建立立体的病毒防护体系。
⒀一旦遭受病毒攻击,应采取隔离措施。
⒁不要使用盗版光盘上软件。
⒂安装系统时,不要贪图大而全,要遵守适当的原则,如: 未安装Windows Scripting Host的系统,可以避免“”爱虫”这类脚本语言病毒的侵袭。
⒃接入Internet的用户,不要轻易下载使用免费的软件。
⒄不要轻易打开电子邮件的附件
⒅对如下文件注册表的键值作经常性检查,
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
同时,要对Autoexec.bat文件的内容进行检查,防治病毒及黑客程序的侵入。
⒆要将Office提供的安全机制充分利用起来,将宏的报警功能打开。
⒇发现新病毒及时报告国家计算机病毒应急中心和当地公共信息网络安全监察部门。
随着计算机网络的发展,计算机病毒对信息安全的威胁日益严重,我们一方面要掌握对当现的计算机病毒的防范措施,另一方面要加强对未来病毒发展趋势的研究,真正做到防患于未然。目前,随着掌上型移动通讯工具和PDA的广泛使用,针对这类系统的病毒已经开始出现。尤其是随着WAP协议的功能日益增强,病毒对手机和无线网络的威胁越来越大。我们要提前做好技术上的贮备,严阵以待,保障我国的信息安全。
© 2023 版权所有:河海大学网络安全与信息化办公室 版权所有 地址:江苏省南京市西康路1号 反馈邮箱:xxzxzhb@hhu.edu.cn 苏ICP备12023610号 网站管理 河海大学微门户 河海大学移动办公 河海网信办微信公众号 |