栏目回收
北京江民新科技术有限公司
王江民
关键词: 病毒、网络蠕虫、变形病毒、病毒生产机、特络依木马、有害代码、抗病毒软件、数据备份、快速升级、灾难恢复
一 摘 要 ┃
文章概略的揭示了计算机病毒出现由简单到复杂的特性与目的,编病毒者还抛出了“病毒自动生产机”软件。文中指出了计算机病毒自身结构主要将向能对抗反病毒手段的变形病毒方向发展,并把这类病毒归纳为一维、二维、三维、四维变形病毒,使人们站在一定的高度上对变形病毒有一个较清楚的认识,以便今后针对其采取有效的措施进行主动诊治。文中提到的病毒名字都是作者亲自编程杀过的, 作者总结了多年的反病毒经验,提出抗病毒最基本的做法是:一备份,二快升级,三灾难恢复。
二 我们将与病毒长久共存 ┃
人类进入了信息社会创造了智能机器(电子计算机), 同时也创造了机器(电子计算机)病毒,福祸同降。 人类在信息社会更容易与机器(电子计算机)融为一个整体,可是,破坏这个整体的一个方面将是机器病毒(计算机病毒),人类同时在与生物病毒作斗争时又要与机器病毒作斗争,这是人类在方便自己时也在为难自己。
从一九八三年计算机病毒首次被确认以来,并没有引起人们的重视。直到一九八七年计算机病毒才开使受到世界范围内的普遍重视。我国于一九八九年在计算机界发现病毒。至今,全世界已发现近数万种病毒,并且还在高速度的增加。
由于计算机软件的脆弱性与互联网的开放性,我们将与病毒长久共存。而且,病毒主要朝着能更好的隐蔽自己并对抗反病毒手段的方向发展。同时,病毒已被人们利用其特有的性质与其他功能相结合进行有目的的活动。
病毒的花样不断翻新,编程手段越来越高,防不胜防。特别是Internet的广泛应用,促进了病毒的空前活跃,网络蠕虫病毒传播更快更广,Windows病毒更加复杂,带有黑客性质的病毒和特络依木马等有害代码大量涌现。
下面按病毒先后出现的顺序,简要例举部分病毒的特性就可看出其发展过程。
三 病毒的发展过程 ┃
20世纪60年代初,美国贝尔实验室里,三个年轻的程序员编写了一个名为“磁芯大战”的游戏,游戏中通过复制自身来摆脱对方的控制,这就是所谓“病毒”的第一个雏形。
20世纪70年代,美国作家雷恩在其出版的<
1983年11月,在国际计算机安全学术研讨会上,美国计算机专家首次将病毒程序在VAX/750计算机上进行了实验,世界上第一个计算机病毒就这样出生在实验室中。
20世纪80年代后期,巴基斯坦有两个编软件为生的兄弟,他们为了打击那些盗版软件的使用者,设计出了一个名为“巴基斯坦智囊”的病毒,该病毒只传染软盘引导。这就是最早在世界上流行的一个真正的病毒。
1988年至1989年,我国也相继出现了也能感染硬盘和软盘引导区的Stoned(石头)病毒,该病毒体代码中有明显的标志“Your PC is now Stoned!”、“LEGALISE MARIJUANA!”,也称为“大麻”病毒”等。该病毒感染软硬盘0面0道1扇区,并修改部分中断向量表。该病毒不隐藏也不加密自身代码,所以很容易被查出和解除。类似这种特性的还有“小球、Azusa/Hong-Kong/2708、 Michaelangelo,这些都是从国外传染进来的。而国产的有Bloody、 Torch、Disk Killer等病毒,实际上它们大多数是Stoned病毒的翻版。
20世纪90年代初,感染文件的病毒有Jerusalem(黑色13号星期五)、 YankeeDoole、 Liberty、 1575、 Traveller、1465、2062,4096等,主要感染.COM和.EXE文件。这类病毒修改了部分中断向量表,被感染的文件明显的增加了字节数,并且病毒代码主体没有加密,也容易被查出和解除。 这些病毒中, 略有对抗反病毒手段的只有Yankee Doole病毒, 当它发现你用DEBUG工具跟踪它的话,它会自动从文件中逃走。
接着, 又一些能对自身进行简单加密的病毒相继出现,有1366(DaLian)、1824(N64)、1741(Dong)、1100等病毒。它们加密的目的主要是防止跟踪或掩盖有关特征等。
在内存有1741病毒时, 用DIR列目录表,病毒会掩盖被感染文件所增加的字节数,使看起来字节数很正常。
而1345-64185病毒却每传染一个目标就增加一个字节, 增到64185个字节时,文件就被破坏。
以后又出现了引导区、文件型“双料”病毒,这类病毒既感染磁盘引导区、又感染可执行文件,常见的有Flip/Omicron、 XqR(New century)、Invader/侵入者、 Plastique/塑料炸弹、3584/郑州(狼)、3072(秋天的水)、ALFA/3072-2、Ghost/One_Half/3544(幽灵)、Natas(幽灵王)、TPVO/3783等,如果只解除了文件上的病毒,而没解除硬盘主引导区的病毒,系统引导时又将病毒调入内存,会重新感染文件。如果只解除了主引导区的病毒,而可执行文件上的病毒没解除,一执行带毒的文件时,就又将硬盘主引导区感染。
Flip/Omicron(颠倒)、XqR(New century新世纪)这两种病毒都设计有对抗反病毒技术的手段,Flip(颠倒)病毒对其自身代码进行了随机加密,变化无穷,使绝大部分病毒代码与前一被感染目标中的病毒代码几乎没有三个连续的字节是相同的,该病毒在主引导区只潜藏了少量的代码,病毒另将自身全部代码潜藏于硬盘最后6个扇区中,并将硬盘分区表和DOS引导区中的磁盘实用扇区数减少了6个扇区,所以再次起动系统后, 硬盘的实用空间就减少了6个扇区。这样,原主引导记录和病毒主程序就保存在硬盘实用扇区外,避免了其它程序的覆盖,而且用DEBUG的L命令也不能调出查看,就是用FORMAT进行格式化也不能消除病毒,可见,病毒编制者用意深切!与此相似的还有Denzuko病毒。
XqR(New century新世纪)病毒也有它更狡猾的一面,它监视着INT13、INT21中断有关参数,当你要查看或搜索被其感染了的主引导记录时,病毒就调换出正常的主引导记录给你查看或让你搜索,使你认为一切正常,病毒却蒙混过关。病毒的这种对抗方法,我们在此称为:病毒在内存时,具有“反串”(反转)功能。这类病毒还有Mask(假面具)、2709/ROSE(玫瑰)、One_Half/3544(幽灵)、Natas/4744、Monkey、PC_LOCK、DIE_HARD/HD2、GranmaGrave/Burglar/1150、 3783病毒等,现在的新病毒越来越多的使用这种功能来对抗按装在硬盘上的抗病毒软件,但用无病毒系统软盘引导机器后,病毒就失去了“反串”(反转)功能。
1345、 1820、PCTCOPY-2000病毒却直接隐藏在COMMAND.COM文件内的空闲(0代码)部位,从外表上看,文件一个字节也没增加。
INT60(0002)病毒隐藏的更加神秘,它不修改主引导记录, 只将硬盘分区表修改了两个字节,使那些只检查主引导记录的程序认为完全正常,病毒主体却隐藏在这两个字节指向的区域。硬盘引导时,ROM-BIOS程序糊理糊涂的按这两个字节的引向,将病毒激活。病毒太狡猾了,只需两个字节,就可以牵着机器的鼻子走!
Monkey(猴子)、PC_LOCK(加密锁)病毒将硬盘分区表加密后再隐藏起来, 如果轻易将硬盘主引导记录更换,或用FDISK/MBR格式轻易将硬盘主引导记录更换, 那么,就再进不了硬盘了,数据也取不出来了,所以,不要轻易使用FDISK/MBR格式。
1992年以来,DIR2-3、DIR2-6、NEW DIR2病毒以一种全新的面貌出现,具有感染力极强,无任何表现,不修改中断向量表,而直接修改系统关键中断的内核,修改可执行文件的首簇数, 将文件名字与文件代码主体分离。 在系统有此病毒的情况下,一切就象没发生一样。而在系统无病毒时,你用无病毒的文件去覆盖有病毒的文件,灾难就会发生,全盘所有被感染的可执行文件内容都是刚覆盖进去的文件内容。这是病毒“我死你也活不成”的罪恶伎俩。该病毒的出现,使病毒又多了一种新类型。
20世纪内,决大多数病毒是基于DOS系统的,有80%的病毒能在WINDOWS中传染。TPVO/3783病毒是“双料性”、(传染引导区、文件)“双重性”(DOS、WINDOWS)病毒,这是病毒随着操作系统发展而发展。当然,Internet的广泛应用,Java恶意代码病毒也出现了。
脚本病毒“HAPPYTIME快乐时光”是一种传染能力非常强的病毒。
该病毒利用体内VBScript代码在本地的可执行性(通过Windows Script Host进行),对当前计算机进行感染和破坏。即,一旦我们将鼠标箭头移到带有“HAPPYTIME快乐时光”病毒体的邮件名上时,不必打开信件,就能受到HAPPYTIME“快乐时光”病毒的感染,该病毒传染能力很强。
近几年,出现了近万种WORD(MACRO宏)病毒,并以迅猛的势头发展,已形成了病毒的另一大派系。由于宏病毒编写容易,不分操作系统,再加上Internet网上用WORD格式文件进行大量的交流,宏病毒会潜伏在这些WORD文件里,被人们在Internet网上传来传去。
早在1995年时,出现了一个更危险的信号,在我们对众多的病毒剥析中,发现部分病毒好象出于一个家族,其“遗传基因”相同,简单的说,是“同族”病毒。但绝不是其他好奇者简单的修改部分代码而产生的“改形”病毒。
“改形”病毒的定义此应简单的说,与“原种”病毒的代码长度相差不大,绝大多数病毒代码与“原种”的代码相同, 并且相同的代码其位置也相同, 否则就是一种新的病毒。
大量具有相同“遗传基因”的“同族”病毒的涌现,使人不的不怀疑“病毒生产机”软件已出现。1996年下半年在国内终于发现了“G2、IVP、VCL”三种“病毒生产机软件”,不法之徒,可以用来编出千万种新病毒。目前国际上已有上百种“病毒生产机”软件。
这种“病毒生产机”软件可不用绞尽脑汁的去编程序,便会轻易的自动生产出大量的“同族”新病毒。这些病毒代码长度各不相同,自我加密、解密的密钥也不相同,原文件头重要参数的保存地址不同,病毒的发作条件和现象不同,但是,这些病毒的主体构造和原理基本相同。
“病毒生产机”软件,其“规格”有专门能生产变形病毒的、有专门能生产普通病毒的。目前,国内发现的、或有部分变形能力的病毒生产机有“G2、 IVP、VCL病毒生产机等十几种。具备变形能力的有CLME、DAME-SP/MTE病毒生产机等。它们生产的病毒都有“遗传基因”于相同的特点,没有广谱性能的查毒软件,只能是知道一种,查一种,难于应付“病毒生产机”生产出的大量新病毒。
据港报载, 香港已有人也模仿欧美的Mutation Eneine(变形金刚病毒生产机)软件编写出了一种称为CLME(Crazy Lord Mutation Eneine)即“疯狂贵族变形金刚病毒生产机”, 已放出了几种变形病毒, 其中一种名为CLME.1528。 国内也发现了一种名为CLME.1996、DAME-SP/MTE的病毒。 更令人可恶的是,编程者公然在BBS站和国际互联网Internet中纵恿他人下传。“病毒生产机”的存在,随时就有可能存在着“病毒暴增”的危机!
危机一个接一个,网络蠕虫病毒I-WORM.AnnaKournikova,就是一种VBS/I-WORM病毒生产机生产的,它一出来,短时间内就传便了全世界。这种病毒生产机也传到了我国。
Windows9x、win2000操作系统的发展,也使病毒种类和样随其变化而变化。以下例举几个点型的WINDOWS病毒。
WIN32.CAW.1XXX病毒是驻留内存的Win32病毒,它感染本地和网络中的PE格式文件。该病毒的产生是来源一种32位的Windows“CAW病毒生产机”, 该“CAW病毒生产机”是国际上一家有名的病毒编写组织开发的。
“CAW病毒生产机”能生产出来各种各样的CAW病毒,有加密的和不加密的,其字节数一般在1000至2000内。目前在国内流行的有:CAW.1531、CAW.1525、CAW.1457、CAW.1419、CAW.1416、CAW.1335、CAW.1226等,在国际上流行的CAW.1XXX病毒种类更多。
病毒有以下几项破坏:
1、当病毒驻留内存时,病毒会在每日的整点时间,如1:00, 6:00, 10:00,...,病毒就会删除一些特定的文件,如:.BMP、.JPG、.DOC、.WRI、.BAS、.SAV、.PDF、.RTF、.TXT、WINWORD.EXE。
2、当7月7日的时候CAW病毒就会发作,删除硬盘上的所有文件。
3、某些CAW.1XXX病毒有缺陷,被传染上该病毒的文件被破坏了,杀毒后文件也无法修复,只能用正常文件覆盖坏文件。病毒还有一个缺陷,即重复多层次感染文件,容易将文件写坏了。
WIN32.FunLove.4099病毒感染本地和网络中的PE-EXE文件。
病毒本身就是只具有'.code'部分PE格式的可执行文件。
当染毒的文件被运行时,该病毒将在Windows\system目录下创建FLCSS.EXE文件,在其中只写入病毒的纯代码部分,并运行这个生成的文件。
一旦在创建FLCSS.EXE文件的时候发生错误,病毒将从染毒的主机文件中运行传染模块。该传染模块被作为独立的线程在后台运行,主机程序在执行时几乎没有可察觉的延时。
传染模块将扫描本地从 C: to Z:的所有驱动器,然后搜索网络资源,扫描网络中的子目录树并感染具有.OCX, .SCR or .EXE扩展名的PE文件。
这个病毒类似Bolzano病毒那样修补NTLDR和WINNT\System32\ntoskrnl.exe,被修补的文件不可以恢复只能通过备份来恢复。
WIN32.KRIZ.4250病毒已大面积传播, 这是一个变形病毒, 变化多端, 每年的12月25日象CIH病毒一样破坏硬盘数据与主板BIOS,该病毒目前也有许多字节数不同的变种。
病毒的种类、传染和攻击的手法越来越高超,一种流传到国内的“子母弹”病毒Demiurg,被北京江民公司反病毒应急中心捕获。
该病毒被激活后,会象“子母弹”一样,分裂出多种类型的病毒来分别攻击并感染计算机内不同类型的文件。
该病毒分裂时,会在C盘根目录下产生出几个具有独立传染能力和传染各不相同文件性质的子病毒。它们的名字是:DEMIURG.EXE、DEMIURG.SYS、DEMIURG.XLS和EXCEL的启动子目录内的XLSTART.XLS,这些都是子病毒,分别传染各自不同的文件。
该病毒感染文件的类型比较多,它既感染DOS可执行程序、批处理文件、WINDOWS的可执行程序,而且还感染EXCEL97/2000文件。
该病毒感染的文件的具体类型有:DOS下的COM文件、DOS下的EXE文件、BAT文件、XLS文件以及WINDOWS下的PE格式的可执行文件、NE格式的可执行文件、内核文件KERNEL32.DLL等文件。
该病毒感染EXCEL97/2000文件的长度为16354字节,感染WIN_PE文件的长度为17408字节, 感染DOS的.COM、.EXE文件的长度为27552字节左右。
该病毒感染EXCEL文档的过程是将一个受感染的文件放在EXCEL的启动子目录XLSTART目录下,同时在系统的根目录下建立一个文件DEMIURG.SYS,每次EXCEL启动时,EXCEL会自动调用\XLSTART子目录下的受病毒感染的文件,进而感染别的EXCEL文件。
Internet网的发展,激发了病毒更加广泛的活力。病毒通过网络的快速传播和破坏,为世界带来了一次一次的巨大灾难。
1999年2月,“美丽杀”病毒席卷欧美大陆,是世界上最大的一次病毒浩劫,也是最大的一次网络蠕虫大泛滥。
1998年2月,台湾省的陈盈豪,编写出了破坏性极大的Windows恶性病毒CIH-1.2版,并定于每年的4月26日发作破坏,然后,悄悄的潜伏在网上的一些供人下载的软件中。
可是,两个月的时间,被人下载的不多,到了4月26日,病毒只在台湾省少量发作,并没引起重视。心理扭曲的陈盈豪不甘心,又炮制了CIH-1.3版,并将破坏时间设在6月26日。
可是,还是两个月的时间,1.3版被人下载的不多,6月26日也没多大破坏。心理扭曲到极点的陈盈豪有点恼怒,没看到很大的破坏,心理很不痛快。7月,又炮制出了CIH-1.4版。这次,他干脆将破坏时间设为每个月的26日,他要月月看到人们遭殃。
就在那一年,很不巧的是,当时在国内外上映的台湾电视剧的女主角“小龙女”的肖像被广泛用在计算机中的屏幕保护程序中,CIH-1.2、CIH-1.4病毒也被悄悄注进该程序中,大量的用户从网上下载使用,同时,该程序也被广泛的装进各种各样的盗版光盘中,三种版本的CIH病毒被广泛的扩散,当时的反病毒公司也没有及时的发现。
因此,这种全新的Windows病毒到处传播,危机的阴影迅速的笼罩着四方。
一个月后,也就是到了1998年8月26日,CIH-1.4病毒首先跳出来发作,我国部分地区遭到袭击,但损害面积不大。事后,为了必免更大灾害,我国政府职能部门公安部发出了通缉三种CIH病毒的通告。可是,使用正版杀毒软件的意识不被一些用户重视,又不经常保持升级杀毒软件,CIH-1.2病毒又经过一年的传播,已传遍全世界,世界性的巨大杀机潜伏下来了,一场人类史无前例的信息大却难即将暴发。
1999年4月26日,一个计算机行业难以忘却的日子,也就是到了CIH-1.2病毒第二年的发作日,人们起早一上班便轻松的打开计算机准备工作,可是,打开一台计算机后,只看到屏幕一闪便就黑暗一片。再打开另外几台,也同样一闪后就再也启动不起来了...,计算机史上,病毒造成的又一次巨大的浩劫发生了。
一大早,反病毒软件公司所有的电话铃声急急不断的振耳,急促促的报警电话蜂拥而来。门外,需求修复数据而手持硬盘和抬着机器的人们象一条长龙一样,从楼上到楼下,一直排到大街上。“谁能给我修好数据,我出高价!”的叫喊声到处可听见。
据报导,此次病毒的浩劫,在东方的亚州国家最严重。欧美国家嘲笑东方国家,一说盗版严重而带来,二说反病毒软件落后。可是,在此前的一个月,欧美的“美丽杀”病毒在西方造成了更为严重的灾难,其经济损失远远超过CIH病毒对亚洲造成的损失,而CIH病毒造成的破坏,绝大部分则可以修好。
由于欧美国家先一个月发生“美丽杀”病毒灾难,引起欧亚国家媒体暴炒“美丽杀”病毒,在一定程度上起了误导作用。国内的老牌反病毒公司北京江民公司,通过在国内强大的病毒反馈网,以灵敏的嗅觉,警惕到CIH-1.2病毒要在4月26日大发作!便不昔重金在报纸上用广告和文章形式在4月26前连篇提醒人们重视防范CIH病毒。这在当时可能是国内唯一的一家提醒人们重视防范CIH病毒的反病毒公司。但是,还是被淹没在暴炒“美丽杀”病毒的文章中。只有部分看到防范CIH病毒的报纸后,并即时的升级查杀了CIH病毒,才幸免遇难。事后,<<软件报>>在一篇文章中给予了北京
江民公司极高的评价。
“美丽杀”病毒对欧美的破坏,比CIH病毒对亚洲的破坏要大的多。“美丽杀”病毒对亚洲没什么破坏,而“CIH”病毒同样对欧美有较大的破坏。欧美所谓先进的反病毒软件也不堪一击,所谓全球病毒监测网如同虚构。
随着Internet网的发展,使病毒传播更加方便、更加广泛,网络蠕虫病毒已成为病毒主力,这应使我们严加防犯。
四 网络蠕虫病毒的发展 ┃
最早的网络蠕虫病毒作者是美国的小莫里思,他编写的蠕虫病毒是在美国军方的局域网内活动,但是,必需事先获取局域网的权限和口令。
世界性的第一个大规模在Internet网上传播的网络蠕虫病毒是1998年底的Happy99网络蠕虫病毒,当你在网上向外发出信件时,HAPPY99网络蠕虫病毒会顶替你的信件或随你的信件从网上跑到你发信的目标出,到了1月1日,收件人一执行,便会在屏幕上不断暴发出绚丽多彩的礼花,机器就不在干什么了。
1999年3月欧美暴发了“美丽杀”网络蠕虫宏病毒,欧美最大的一些网站频频遭受到堵塞,造成巨大经济损失。
2000年至今,是网络蠕虫开始大闹互联网的发展期。
2000年,在欧美还暴发了I-WORM/Love Letter“爱虫”网络蠕虫病毒,又使欧美最大的一些网站和企业及政府的服务器频频遭受到堵塞和破坏,造成了比“美丽杀”病毒破坏还大的经济损失。目前,该病毒以有十多种变种产生,不断的到处破坏。
2001后,有更多的网络蠕虫出现。
I-WORM.NAVIDAD网络蠕虫。该病毒能引发大规模的邮件泛滥。其传播机制不同于一般的网络蠕虫程序(如爱虫、美丽公园等),该网络蠕虫程序具有较大的迷惑性:用户通过OUTLOOK EXPRESS 收到的是一封来自你曾经发送过的人的回复信件,内容与您发送的完全一致,邮件的主题、邮件的正文都一样,只是增加了一个电子邮件的附件,该附件的文件名称是:NAVIDAD.EXE文件,文件的大小是:32768字节。该附件就是该网络蠕虫程序的主体文件。该邮件只是在微软的OUTLOOK EXPRESS邮件系统下自动传播,它会自动地给您的收件箱(而不是地址簿)的所有人发送一份该网络蠕虫程序。
由于病毒修改该注册表项目的文件名称的错误,WINDOWS系统在启动,读取可执行EXE文件时,会因为找不到WINSVRC.EXE文件而不能正常启动WINDOWS 系统。
I_WORM.Blebla.B网络蠕虫。该病毒是通过电子邮件的附件来发送的,文件的名称是:xromeo.exe 和xjuliet.chm,该蠕虫程序的名称由此而来。
当用户在使用OE阅读信件时,这两个附件自动被保存、运行。 当运行了该附件后, 该蠕虫程序将自身发送给OUTLOOK地址薄里的每一个人,并将信息发送给alt.comp.virus 新闻组。该蠕虫程序是以一个EMAIL附件的形式发送的,信件的主体是以HTML语言写成的,并且含有两个附件:xromeo.exe及xjuliet.chm.收件人本身看不见什么邮件的内容。
该蠕虫程序的危害性还表现在它还能修改注册表一些项目,使得一些文件的执行,必须依赖该蠕虫程序生成的在WINDOWS目录下的SYSRNJ.EXE文件,由此可见对于该病毒程序的清除不能简单的将蠕虫程序删除掉,而必需先将注册表中的有关该蠕虫的设置删除后,才能删除这些蠕虫程序。
I_WORM/EMANUEL网络蠕虫。该病毒通过MICROSOFT的OUTLOOK EXPRESS来自动传播给受感染计算机的地址薄里的所有人,给每人发送一封带有该附件的邮件。该网络蠕虫长度16,896-22000字节,有多个变种。
在用户执行该附件后,该网络蠕虫程序在系统状态区域的时钟旁边放置一个“花”一样的图标,如果用户点击该"花"图标,会出现一个消息框,大意是不要按此按钮.如果按了该按钮的话,会出现一个以Emmanuel为标题的信息框, 当您关闭该信息框时又会出现一些别的:诸如上帝保佑您的提示信息.
还有一个网络蠕虫I-Worm/Hybris的最明显的特征是, 当您打开带有该网络蠕虫程序的附件时, 您的计算机的屏幕就会被一个始终位于最上方的图象所覆盖,该图象是活动的、转动的、黑白相见的螺旋状的圆形图形。
该网络蠕虫程序与其他常见的网络蠕虫程序一样,是通过网络上的电子邮件系统OUTLOOK来传播的, 同样是修改WINDOWS系统下的主管电子邮件收发的文件wsock32.dll文件。它与别的网络蠕虫程序的不同之处在于它不断可以通过网络自动发送网络蠕虫程序本身,而且发送的文件的名称是变化的。
该病毒是世界上第一个可自我将病毒体分解成多个大小可变化的程序块(插件),分别潜藏计算机内的不同位置,以便躲避查毒软件。该病毒具有将这些碎块聚合成一个完整的病毒,再进行传播和破坏。早在1997年王江民先生在〈〈计算机病毒的发展趋势与对抗手段〉〉一文中就有一段话预言会有这种病毒出现。
I_WORM/HTML.Little Davinia网络蠕虫。这是一个破坏性极大的网络蠕虫,可以清除硬盘上的所有数据,它利用WORD2000的漏洞、EMAIL等来传播。该网络蠕虫程序是复合型的, 是HTML(网页语言)形式的、VBS文件结构、带有宏的网络蠕虫程序。
该病毒还能修改系统的注册表,一旦修改注册表成功,该病毒就会自动搜索所有的本地硬盘、网络盘、以及所有目录下的文件,采用覆盖的方式将发现的文件写上一些含有一些杂乱信息的文字,被损坏的文件很难修复!
I_WORM.MTX网络蠕虫病毒已大面积传播, 超过了CIH的感染率,但破坏性没CIH大。
它是一个变形病毒, 变化无穷。该网络蠕虫的邮件比较特殊,它没有主题、正文,只有一个附件文件,附件的文件名是变化的。
I-WORM.AnnaKournikova网络蠕虫程序是使用了一个病毒制造机程序VBSWG制造并加密。该蠕虫程序发送的邮件的附件是:
AnnaKournikova.jpg.vbs(俄罗斯体育选手的名称命名的文件名称),它是一个VBS程序文件。当邮件用户不小心执行了该附件,那么该网络蠕虫程序会给OUTLOOK地址薄里的所有人发送一份该网络蠕虫程序,邮件的附件文件名称:
AnnaKournikova.jpg.vbs(俄罗斯网球女明星的图片文件)
该网络蠕虫程序的长度是2853字节左右。
如果机器的日期是1月26日的话,该网络蠕虫程序会自动将您指向一个位于荷兰的计算机商店的网络地址。
该网络蠕虫程序会给所有地址薄里的所有用户发送网络蠕虫程序来看,它和轰动一时的“爱虫程序”有相似之处。
I-Worm.Magistr网络蠕虫恶性病毒可通过互联网上电子邮件或在局域网内进行传播。可通过Outlook、Netscape Messenger等其他电子邮件软件和新闻组在内的软件读取其中地址簿中的地址发送带毒电子邮件进行传播。
该病毒随机在当前机上找一个.EXE或.SCR文件和一些.DOC或.TXT文件作为附件发出去,如果你的机中.DOC或.TXT文件是机密文件,肯定会被发在互联网上到处都是。
目前,该病毒已有许许多多的变种。病毒发作时间是在病毒感染系统一个月后。病毒会改写本地机和局域网中电脑上的文件,文件内容全部被改写,这将导致文件不能恢复!
如果在WIN9X环境下,该病毒会象CIH病毒一样,破坏BIOS和清除硬盘上的数据,是危害性一非常大的一种病毒。
该病毒采用了多变形引擎和两组加密模块,病毒感染文件的中部和尾部,将中部的原文件部分代码加密后潜藏在病毒体内,病毒长为24000-30000字节。 病毒使用了非常复杂的感染机制,感染.EXE、.DLL、.OCX、.SCR、.CPL等文件,病毒每传染一个目标,就变化一次,具有无穷次变化,其目的是使反病毒软件难以发现和清除。
病毒在发展,网络在发展,网络又促进了病毒的发展,复杂的病毒又超着变形病
毒发展。
五 变形病毒
早先,国内外连续发现多种更高级的能变换自身代码的“变形”病毒,其名字有:Stea lth(诡秘)病毒、Mutation Engine(变形金钢或称变形病毒生产机)、Fear(恐怖)`Satan(恶魔)、 Tremor(地震)、 Casper(卡死脖幽灵)、One_Half/3544(幽灵)、NATAS/4744(拿他死幽灵王)、NEW DIR2病毒等。 特别是Mutation Engine,它遇到普通病毒后并能将其改造成为变形病毒。这些变形病毒具有多态性、多变性,甚至没有一个连续的字节是相同的,从而使以往的搜索病毒方法不知去搜索什么。1992年,我们首次发现了国内第一例变形病毒,病毒名字为“Doctor”(医生)。
目前, 我国已发现了许许多多变形病毒, 其名字称为“Doctor” (医生)、NewFlip(颠倒屏幕)、Casper(卡死脖幽灵)、Ghost/One_Half/3544(幽灵)、VTech、NATAS/4744(拿他死幽灵王)、1982/(福州大学HXH)、1748/HXH、2560/HYY、V3、HYY/3532(福州1号变形王)、Tremor、5VOLT4、CLME、1748/HXH、NEW DIR2、CONNIE2台湾2号变形王、MADE-SP、HEFEI(合肥1号,2号)、JOKE、NIGHTALL、WIN-Marburg、WIN32/HPS、WIN32/CXDZ、WIN32/MATRIX、I-WORM/MAGISTR(马吉思)等病毒。
这些变形病毒能将自身的代码变换成亿万种样贴附在被感染的文件中,其Casper(卡死脖幽灵)、Ghost/One_Half/3544(幽灵)、1982/(福州大学HXH)病毒可变代码为数千亿种,NATAS/4744(拿他死幽灵王)、 HYY/3532(HYY/3532(福州1号变形王)、HEFEI变形鬼魂、CONNIE2台湾2号变形王、MADE-SP、HEFEI、JOKE、NIGHTALL、Marburg病毒代码可变无穷次。这使的一些病毒扫描软件产生漏查漏杀现象。其中,CONNIE2台湾2号变形王、MADE-SP、JOKE、NIGHTALL、Windows Marburg、I-WORM/MAGISTR变形病毒变形复杂,几乎达到了不可解除的状态。
通过以上例子来看,计算机病毒在不断发展,手段越来越高明,结构越来越特别。目前,对出现的上万种引导区病毒和普通的文件型病毒以及宏病毒已有了较好的对策,但变形病毒将会是今后病毒发展主要方向之一,这应当引起我们的警惕。那么变形病毒是什么样呢?
六 变形病毒的基本类型
病毒都具有一定的基本特性,这些基本特性主要指的是病毒的传染性、繁殖性、破坏性、恶作剧等其它表现,这是普通病毒所应具备的基本特性。
过去,一些教科书里对病毒的基本定义简单的说是“具有传染性质的一组代码,可称为‘病毒’”。即病毒从一个文件传染到另一个文件上,许多文件会染毒。引导区病毒从一个磁盘传染到另一个磁盘上。
而在互联网时代,网络会在互联网上通过一台机器自动传播到另一台机器上,一台机器中只有一个蠕虫病毒,当然,也有的蠕虫可以在当前机器中感染大量文件。
现在应发展一下对病毒的基本定义。即对病毒的基本定义简单的说是“具有传播性质的一组代码,可称为‘病毒’”。
病毒的这些基本特性不能用来决定病毒是属于第几代的。能用变化自身代码和形状来对抗反病毒手段的变形病毒才是下一代病毒首要的基本特征。我们通过多年的反病毒研究,对变形病毒做了以下定义:
变形病毒特征主要是,病毒传播到目标后,病毒自身代码和结构在空间上、时间上具有不同的变化。我们以下简要划分的变形病毒种类分为四类。
第一类变形病毒的特性是:具备普通病毒所具有的基本特性,然而,病毒每传播到一个目标后,其自身代码与前一目标中的病毒代码几乎没有三个连续的字节是相同的,但这些代码其相对空间的排列位置是不变动的, 这里称为:一维变形病毒。
在一维变形病毒中, 个别的病毒感染系统后,遇到检测时能够进行自我加密或脱密,或自我消失。有的列目录时能消失增加的字节数,或加载跟踪时,病毒能破坏跟踪或者逃之夭夭。
第二类变形病毒的特性是:除了具备一维变形病毒的特性外,并且那些变化的代码相互间的排列距离(相对空间位置),也是变化的,这里称为:二维变形病毒。
在二维变形病毒中, 有如前面提到的MADE-SP病毒等,能用某种不动声色特殊的方式或混载于正常的系统命令中去修改系统关键内核,并与之溶为一体,或干脆另创建一些新的中断调用功能。有的感染文件的字节数不定,或与文件溶为一体。
第三类变形病毒的特性是:具备二维变形病毒的特性,并且能分裂后分别潜藏在几处,当病毒引擎被激发后都能自我恢复成一个完整的病毒。病毒在附着体上的空间位置是变化的,即潜藏的位置不定。比如:可能一部分藏在第一台机器硬盘的主引导区,另外几部分也可能潜藏在几个文件中,也可能潜藏在覆盖文件中,也可能潜藏在系统引导区、也可能另开垦一块区域潜藏...等等。而在下一台被感染的机器内,病毒又改变了其潜藏的位置。这里称为:三维变形病毒。
第四类变形病毒的特性是:具备三维变形病毒的特性,并且,这些特性随时间动态变化。比如,在染毒的机器中,刚开机时病毒在内存里变化为一个样子,一段时间后又变成了另一个样子,再次开机后病毒在内存里又是一个不同的样子。还有的是这样一类病毒,其本身就是具有传播性质的“病毒生产机”病毒,它们会在计算机内或通过网络传播时,将自己重新组合代码生成于前一个有些代码不同的变种新病毒,这里称为:四维变形病毒。
四维变形病毒大部分具备网络自动传播功能,在网络的不同角落里到处隐藏。
还有一些这类高级病毒不再持有以往绝大多数病毒那种“恶作剧”的目的,它可能主要是,人类在信息社会投入巨资研究出的、可扰乱破坏社会的信息、政治、经济制序等、或是主宰战争目的的一种“信息战略武器”病毒。它们有可能接受机外遥控信息,也可以向外发出信息。比如在多媒体机上可通过视频、音频、无线电或互联网收发信息。也可以通过计算机的辐射波,向外发出信息。也可以潜藏在联接Internet网的计算机中,收集密码和重要信息,再悄悄的随着主人通信时,将重要信息发出去(I-WORM/MAGISTR(马吉思)病毒就有此功能),这些变形病毒的智能化程度相当高。
以上,我们把变形病毒划分定义为一维变形病毒、二维变形病毒、三维变形病毒、四维变形病毒。这样,可使我们站在一定的高度上对变形病毒有一个较清楚的认识,以便今后针对其采取强而有效的措施进行诊治。
以上的四类变形病毒可以说是病毒发展的趋向,也就是说:病毒主要朝着能对抗
反病毒手段和有目的方向发展。目前,已发展到了一维、二维、三维变形病毒。
七 特络依木马与有害代码
互联网的发展,使病毒、黑客、后门、漏洞、有害代码等相互结合起来,对信息社会造成极大的威胁。
国际上最早最有名的Backdoor.BO1.2、BO2K和国产的“冰河”的客户端程序是一个可潜伏在用户机中的后门程序,它可将用户上网后的计算机大开后门,任意进出。可以记录各种口令信息,获取系统信息,限制系统功能:包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制;还可远程文件操作:包括创建、上传、下载、复制、修改、删除文件或目录、文件压缩、快速浏览文件、远程打开文件等多项文件操作功能;还可对注册表操作:包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能。这在当时,影响极大。
国产类似上述的后门程序有“冰河”一系列版本,被散发的面积很大,有相当多的用户在不知不觉中使机器中“毒”。
这是一个基于TCP/IP协议和WINDOWS操作系统的网络工具,可用于监控远程计算机和配置服务器程序。但是,其被监控端后台监控程序在被执行时,没有明显的告诫警示不明用户的安装界面和安装路径及其屏幕右下角没有最小化托盘图标,而是悄悄的就安装在用户机中了,为用户带来潜在的危害。所以,被所有反病毒公司的反病毒软件做为“后门有害程序”而杀掉。
类似这类的国内外程序还有,YAI、PICTURE、NETSPY、NETBUS、DAODAN、BO.PROC、CAFCINI.09、BADBOY、INTERNA 、QAZ、SPING、THETHING、MATRIM、SUBx等等。主要的特络依木马有SURFSPY、EXEBIND、SCANDRIV、NCALRPC、WAY20、OICQ.KEY、CAINABEL151、ZERG、BO.1EANPB、COCKHORSE、ZSPYIIS、NETHISF等等。
其中OICQ.KEY、NETHISF一种可将IP地址、系统密码等发出去的特络依木马,被不轨人悄声捆绑在某OICQ在线聊天程序中,结果被人下载了几十万多次,真不知有多少人受到伤害。
还有那些直接就破坏的恶性程序,如shanghai.TCBOMB(上海TC炸弹),放在网上供人下载。不知情的用户一执行后,瞬间硬盘就不能用了,数据就取不出来了,这会使受害者茹痛不生。还有HARM/DEL-C,这个程序被人用了一个响亮的名字,一执行后,C盘下的文件全被删除了。这类恶意程序还有FUNJOKE、SIJI、HA-HA、MAILTOSPAM、SYSCRASH、CLICKME、QUAKE、WAY20、TDS.SE、STRETCH、NUKER等等。
还有那些不破坏的恶作剧,出现一幅吓人的画面,或死机,或屏幕抖动等等。这类程序有JOKE/GHOS(女鬼)、TBLUEBOMB、FLUKE、JOKEWOW等等。
攻击类的黑客程序,它是行为人(黑客)使用的工具,一般的反病毒软件不去查它,留给“网络防火墙”来处理。
网络的广泛使用和漫无边际的交流,为破坏者提供了场所。一些恶性破坏程序和恶作剧等各种各样的有害代码被人在网上传播和供人下栽,或以美丽猎奇的标题诱人上当。这些有害代码也成了反病毒软件的任务。
目前,国内外的后门、漏洞、有害代码等成了反病毒软件要对付的主攻方向,已有了2000多种,仅次于7500多种宏病毒。有害代码程序会越来越多,而查毒软件对其没有任何先知的智能化的查找方法,最多也只能在其行为上(破坏时)进行“实时监测”。
八 病毒的种类与数量
目前,病毒到底有多少�� 各反病毒公司说法不一。笔者于2000年12月参加了在日本东京举行的“亚洲计算机反病毒大会”,几乎世界各国的反病毒专家和著名的反病毒厂家也参加了会议。大会对2000年11月以前的病毒种类和数量作出了初步的报告。如下:
DOS病毒: 40000 种
WIN32病毒: 15 种
WIN9x病毒: 600 种
WINNT/WIN2000病毒: 200 种
WORD宏病毒: 7500 种
EXCEL宏病毒: 1500 种
PowerPoint病毒: 100 种
Script脚本病毒: 500 种
Macintos苹果机病毒: 50 种
Linux病毒: 5 种
手机病毒: 2 种
合计: 55000 种
国际上有名的病毒编写组织有:
29A
Linezero
MetaPhase
随着计算机的不断发展,和历史原因,以及软件、硬件上技术的垄断与操作系统、办公集成系统在习惯上根深蒂固的垄断及延续,造成了计算机所固有的脆弱性。 比如,因芯片或硬盘(或光盘)或软件在技术上的被垄断, 垄断部门有可能把“病毒”设计进芯片或硬盘(或光盘)或软件的非正常区域。或在硬件、软件中留有“后门”,非常时期时再通过某种方式将“病毒”激活, 或将“后门”打开,施行毁灭性的打击,真是神不知鬼不觉。
比如说:CPU等芯片,它的功能和构造比我们身上带的BP机要强大和复杂的多,谁能说它里面没有“后门”或“病毒”呢!它是否能象BP机一样通过主板上的导线接收外来的无线信息这不是太容易了吗�� 一但接收到了外来信息,它是否会放出“病毒”或开启“后门”或发出破坏指令呢,或令“死机”!哪后果可想而知...
我们已发现某一广泛使用的操作系统中的一处“缺陷”!这是“缺陷”�� 还是“后门”? 我们还发现某操作系统中隐藏有一处非常危险的逻辑错误,是“错误”�Щ故且�藏的“炸弹”�� 为什么至今连续几年的新版本都不改掉!为什么另一家相同功能的操作系统中就没有这一“错误”!这一“错误”(后门)如果在信息战中被利用,计算机将彻底瘫痪!这一现状,必应引起我们的高度重视,小规模的信息化战争和对抗已不断出现。比如说,94年4月,南非的黑人领袖在竞选总统时获得较大优势,但是,最后在统计选票的关键时刻,出现了计算机病毒的严重事件,机器被病毒搞瘫痪了,迫使选票结果推迟了几天,险些使大选结果遭到毁灭性破坏。这一事件的产生过程,直到现在还是个谜。中美黑客对抗和攻击引发我们深思...。
大规模的信息战争也将一触即发。所以,我们必须加强反病毒手段的研究和全方位信息安全的研究。
国际互联网Internet的广泛发展,虽然加速了病毒的传播速度和广度,但是,各国的老病毒由于其本身的局限性还不会在全球广泛传播。只有本地化和地域性的新型病毒随着国与国信息的频繁往来交流,将上升为全球性病毒。新病毒对各国来说都是新的,这就要看谁具备了快速的反病毒手段,谁具备了快速为用户能解除病毒的条件。
另外,在网络上抗病毒(防火墙)和对网络性能要求成反比,所以,总会有漏网的病毒,目前,各国都在研究各种各样的防火墙(防病毒是防火墙内的功能之一),但在网络上还没有完美无缺的抗病毒方法和产品。据实验,最好的防病毒产品,对新病毒的漏网率为20%,那么,10个新病毒就可能有2个漏网,100个新病毒就可能有20个病毒漏网,这多可怕!而往往有时用户的机器中也就染上了那么一两种病毒,而就这一两种病毒就使机器不能正常工作了,而也就在这时,这一两种病毒使那些能杀1千种、1万种、5万种的杀毒软件的威风不知道哪去了。也就为了杀除这一两种病毒,用户到处寻求有效的反病毒解决方案!
九 寻找抗病毒的有效方法
在反病毒的长期过程中,我们必须用科学的观点正视如下现实:
1) 目前的防病毒软硬件不可能自动防今后一切病毒!
2) 目前的查解病毒软硬件不可能自动查解今后一切病毒而又能正确自动恢复被这些新病毒感染的文件! 有些惑人的广告词,如“自动查解今后一切未知病毒”、“可解除所有病毒”、“百分之百查杀世界流行病毒”等等,太夸大其词了。如果,这些广告词的创造者,真正亲自研究解除过一百种以上病毒,那他就不会使用“一切”、“所有”的词了,因为那些病毒的创造者们头脑十分发达灵巧,魔法无穷,怪招百出。谁也不能预计今后一切病毒会发展到什么样子,很难能开发出具有先知先觉功能的“一切”、“所有”的自动反病毒软硬件和工具。
3) 目前的防、查、解病毒软件和硬件, 如果其对付的病毒种类越多,越会有误查误报现象,也不排除有误解或解坏现象。杀毒编程太费事、太累、还要冒风险,后来国外有的软件干脆只杀除其已知病毒的70%,复杂病毒只查不杀了。所以,杀病毒时,用户应遵循一查找、二备份、三解除的原则。
4) 目前的防、查、解病毒软件和硬件是易耗品, 必须经常更新、升级或自我升级。
病毒穷出不尽,有时明明知道机内染有一种新病毒,那么在别的机器内和磁盘中还有此病毒吗? 这需要靠经验和时间去费力的判断,用户苦于手头没有主动式快速诊治新病毒的手段。
目前,计算机病毒之所以到处不断的泛滥,其一个方面的原因就是查解病毒的手段老是跟在一些新病毒的后面发展,所以病毒就到处传染。并且,现代信息传递有多么快、多么广,病毒就传染有多么快、多么广。病毒产生在先、诊治手段在后,让病毒牵着鼻子走的状态,怕是长久问题。
那么,有没有能紧紧跟上病毒的传播,而对其采取有效的查解手段呢? 最起码在新病毒刚露头时,就应有能立即快速将其查找出来的手段,这样可针对其采取相应的措施,将新病毒消灭在初发阶段。
目前,要想有效诊治病毒的手段之一,就是最起码应该使懂电脑基本操作的和略知病毒常识的用户,有一种能不必编程序而可方便有效的主动去快速查出新病毒的手段。查出新病毒后,可根据情况采取相应对策,这样做会及早的限制住新病毒的流行。
这种方法之一就是,用户应有一种能根据病毒特征码和开放式加载查毒模块来查出普通病毒和变形病毒的专门的程序,其新病毒的特征码和解密模块可通过专业报刊杂志和Internet网及有关渠道获得,需要有反病毒部门经常提供新病毒特征码和反毒程序模块。
那么,有这种可以随时增加查病毒能力的程序吗?那些变形病毒容易查出吗�П湫尾《镜某鱿郑�使抗病毒的难度加大了。在这里我们说,病毒在发展,但反病毒理论和技术也在发展!一种杀病毒软件性能优劣的一个关键方面就是看,用什么样的理论来指导技术上的快速跟进。
比如说:目前,国际上已有数万种病毒,但是变种占了一半多。把变种相似的分类,分几个、几十个、几百个一组找出它们共有的特殊代码,我们称为广谱病毒特征码,这不就是可用几组、几十组简单的广谱特征码就可查出几百个、几千个老病毒和新病毒了吗? 难道这不好吗?
再如磁盘引导区有512个字节,感染这地方的病毒有千百种,可我们只用不到十个字节的广谱病毒特征码,就可以查出几十个、几百个引导区病毒,这也不可取吗�г偃�WORD宏病毒大潮,来势凶凶,铺天盖地。当我们研究了一大部分宏病毒后,发现了宏病毒的广谱特性,因此,来多少杀多少!
话再说回来,狡诈的变形加密病毒,象乱线团一个,几乎让人解不开。用具有特殊技术的查毒方法,使上述病毒在静态环境中是很容易被发现。所谓静态环境就是指重新加电,用干净软盘引导系统。这样,就可在内存无病毒的状态下,用具有特殊扫描方法的软件去主动搜索病毒。即我们可用广谱过滤法、以毒攻毒法、跟踪法、逻辑法、逆转显影法、内存反转法、虚拟机法、启发式分析法、指纹分析法、神经网络敏感系统...等等,目前,还没有解不了的变形病毒。
对用户需要来说,抗病毒最有效的方法是:一备份!二备份!三备份!
对用户需要来说,抗病毒最有效的手段是:病毒库升级要快!快!快!
对用户需要来说,病毒破坏后最没办法的办法是:死马当着活马医-灾难恢复!
© 2023 版权所有:河海大学网络安全与信息化办公室 版权所有 地址:江苏省南京市西康路1号 反馈邮箱:xxzxzhb@hhu.edu.cn 苏ICP备12023610号 网站管理 河海大学微门户 河海大学移动办公 河海网信办微信公众号 |