病毒概況
黑客(hacker),源於英語動詞hack,意為“劈,砍”,引申為“幹了一件非常漂亮的工作”。在早期麻省理工學院的校園俚語中,“黑客”則有“惡作劇”之意,尤指手法巧妙、技術高明的惡作劇。在日本《新黑客詞典》中,對黑客的定義是“喜歡探索軟體程式奧秘,並從中增長了其個人才幹的人。他們不象絕大多數電腦使用者那樣,只規規矩矩地了解別人指定了解的狹小部分知識。”由這些定義中,我們還看不出太貶義的意味。他們通常具有硬體和軟體的高級知識,並有能力通過創新的方法剖析系統。“黑客”能使更多的網路趨於完善和安全,他們以保護網路為目的,而以不正當侵入為手段找出網路漏洞。對這些人的正確英文叫法是Cracker,有人翻譯成“駭客”。
電腦病毒
概念
計算機病毒(Computer Virus)在《中華人民共和國計算機信息系統安全保護條例》中被明確定義,病毒指“編制者在電腦程式中插入的破壞計算機功能或者破壞數據,影響計算機使用並且能夠自我複製的一組計算機指令或者程式代碼”。與醫學上的“病毒”不同,計算機病毒不是天然存在的,是某些人利用計算機軟體和硬體所固有的脆弱性編制的一組指令集或程式代碼。它能通過某種途徑潛伏在計算機的存儲介質(或程式)里,當達到某種條件時即被激活,通過修改其他程式的方法將自己的精確拷貝或者可能演化的形式放入其他程式中,從而感染其他程式,對計算機資源進行破壞,所謂的病毒就是人為造成的,對其他用戶的危害性很大!
除複製能力外,某些計算機病毒還有其它一些共同特性:一個被污染的程式能夠傳送病毒載體。當你看到病毒載體似乎僅僅表現在文字和圖象上時,它們可能也已毀壞了檔案、再格式化了你的硬碟驅動或引發了其它類型的災害。若是病毒並不寄生於一個污染程式,它仍然能通過占據存貯空間給你帶來麻煩,並降低你的計算機的全部性能。
可以從不同角度給出計算機病毒的定義。一種定義是通過磁碟、磁帶和網路等作為媒介傳播擴散,能“傳染” 其他程式的程式。另一種是能夠實現自身複製且藉助一定的載體存在的具有潛伏性、傳染性和破壞性的程式。還有的定義是一種人為製造的程式,它通過不同的途徑潛伏或寄生在存儲媒體(如磁碟、記憶體)或程式里。當某種條件或時機成熟時,它會自生複製並傳播,使計算機的資源受到不同程式的破壞等等。這些說法在某種意義上借用了生物學病毒的概念,計算機病毒同生物病毒所相似之處是能夠侵入計算機系統和網路,危害正常工作的“病原體”。它能夠對計算機系統進行各種破壞,同時能夠自我複製, 具有傳染性。
所以,計算機病毒就是能夠通過某種途徑潛伏在計算機存儲介質(或程式)里, 當達到某種條件時即被激活的具有對計算機資源進行破壞作用的一組程式或指令集合。
根據它的行為動機,可以有多種理解。有惡作劇型的、破壞型的、盜竊信息資料的、等等
有的黑客編輯病毒 是為了宣洩自己,獲得別人的認可,引起別人的注意,有的是圖其帶來的快感,還有些是反社會的,有些還跟國家政治有關,比如政府也有自己的黑客,在網路上與對手進行電子戰等等。不同的目的不同的行為,當然理解起來也是不同的矛盾的。
特點
繁殖性
計算機病毒可以像生物病毒一樣進行繁殖,當正常程式運行的時候,它也進行運行自身複製,是否具有繁殖、感染的特徵是判斷某段程式為計算機病毒的首要條件。
破壞性
計算機中毒後,可能會導致正常的程式無法運行,把計算機內的檔案刪除或受到不同程度的損壞。通常表現為:增、刪、改、移。
傳染性
計算機病毒不但本身具有破壞性,更有害的是具有傳染性,一旦病毒被複製或產生變種,其速度之快令人難以預防。傳染性是病毒的基本特徵。在生物界,病毒通過傳染從一個生物體擴散到另一個生物體。在適當的條件下,它可得到大量繁殖,並使被感染的生物體表現出病症甚至死亡。同樣,計算機病毒也會通過各種渠道從已被感染的計算機擴散到未被感染的計算機,在某些情況下造成被感染的計算機工作失常甚至癱瘓。與生物病毒不同的是,計算機病毒是一段人為編制的電腦程式代碼,這段程式代碼一旦進入計算機並得以執行,它就會搜尋其他符合其傳染條件的程式或存儲介質,確定目標後再將自身代碼插入其中,達到自我繁殖的目的。只要一台計算機染毒,如不及時處理,那么病毒會在這台電腦上迅速擴散,計算機病毒可通過各種可能的渠道,如軟碟、硬碟、移動硬碟、計算機網路去傳染其他的計算機。當您在一台機器上發現了病毒時,往往曾在這台計算機上用過的軟碟已感染上了病毒,而與這台機器相聯網的其他計算機也許也被該病毒染上了。是否具有傳染性是判別一個程式是否為計算機病毒的最重要條件。
潛伏性
有些病毒像定時炸彈一樣,讓它什麼時間發作是預先設計好的。比如黑色星期五病毒,不到預定時間一點都覺察不出來,等到條件具備的時候一下子就爆炸開來,對系統進行破壞。一個編制精巧的計算機病毒程式,進入系統之後一般不會馬上發作,因此病毒可以靜靜地躲在磁碟或磁帶里呆上幾天,甚至幾年,一旦時機成熟,得到運行機會,就又要四處繁殖、擴散,繼續危害。潛伏性的第二種表現是指,計算機病毒的內部往往有一種觸發機制,不滿足觸發條件時,計算機病毒除了傳染外不做什麼破壞。觸發條件一旦得到滿足,有的在螢幕上顯示信息、圖形或特殊標識,有的則執行破壞系統的操作,如格式化磁碟、刪除磁碟檔案、對數據檔案做加密、封鎖鍵盤以及使系統死鎖等。
隱蔽性
計算機病毒具有很強的隱蔽性,有的可以通過病毒軟體檢查出來,有的根本就查不出來,有的時隱時現、變化無常,這類病毒處理起來通常很困難。
可觸發性
病毒因某個事件或數值的出現,誘使病毒實施感染或進行攻擊的特性稱為可觸發性。為了隱蔽自己,病毒必須潛伏,少做動作。如果完全不動,一直潛伏的話,病毒既不能感染也不能進行破壞,便失去了殺傷力。病毒既要隱蔽又要維持殺傷力,它必須具有可觸發性。病毒的觸發機制就是用來控制感染和破壞動作的頻率的。病毒具有預定的觸發條件,這些條件可能是時間、日期、檔案類型或某些特定數據等。病毒運行時,觸發機制檢查預定條件是否滿足,如果滿足,啟動感染或破壞動作,使病毒進行感染或攻擊;如果不滿足,使病毒繼續潛伏。
病毒種類
(1)檔案病毒。此類病毒會將它自己的代碼附在執行檔(EXE、COM、BAT…)上。典型的代表是“黑色星期五”。
(2)引導型病毒。此類病毒在軟硬磁碟的引導扇區、主引導記錄或分區表中插入病毒指令。典型的代表是大麻病毒、磁碟殺手等。
(3)混合型病毒。是前兩種病毒的混種,並通過執行檔在網上迅速傳播。
(4)宏病毒。1995年8月,Windows95發表,並迅速成為主流作業系統,原先在DOS系統下猖撅一時的各種病毒,由於不適應新系統,而漸失活力。代之而起的新型病毒,一類也是攻擊執行檔,如臭名昭著的CIH病毒,另一類就是宏病毒,它主要感染日常廣泛使用的字表處理軟體(如Word等)所定義的宏,從而迅速蔓延。美麗莎就是這方面的“突出”代表。
(5)網路病毒。網路病毒通過網站和電子郵件傳播,它們隱藏在Java和ActiveX程式裡面,如果用戶下載了有這種病毒的程式,它們便立即開始破壞活動。由於網路傳播迅速,這類病毒造成的危害更大。最近,活動十分猖撅,破壞力很大的“愛”病毒就屬於這一類。
判斷中毒
1..安全工具不能運行
2.線上防毒網頁和檔案不能打開
3.當機,提示記憶體不夠
5.任務管理器,啟動項異常
6.硬碟燈,網卡燈狂閃
7QQ,MSN,網遊登錄異常
病毒防治
由於病毒對微機資源造成嚴重的破壞,所以必須從管理和技術兩方面採取有效措施,以防止病毒的入侵。
在日常工作中,防止病毒感染的主要措施有:
(1)首先,也是最重要的一點是選擇並安裝一個反病毒軟體,由於新的病毒不斷出現(平均每天13個),在如今高度共享、高度網路化的世界裡,一台計算機要在不裝反病毒軟體的情況下,躲過病毒的攻擊是困難的。定期對所用微機進行檢查,包括所使用的軟碟和硬碟,以便及時發現病毒,防患於未然。
(2)減少伺服器中用戶寫的權力。把伺服器中寫的權力控制在儘量少的人手中,能避免不必要的麻煩和損失。
(3)防範來歷不明軟碟和盜版光碟。應對來歷不明的軟碟和盜版光碟保持高度警惕,在把它塞進驅動器前要考慮清楚,如果你不得不這樣做,請先用反病毒軟體對軟碟進行檢查,掃描盤中的每一個檔案(不僅僅是執行檔),包括壓縮檔案。同樣,在你給別人軟碟時,及時對軟碟防寫,這樣別人機器里的病毒就不會傳到你的軟碟里。
(4)在閱讀電子郵件的附屬檔案前進行掃描。有些郵件接收軟體在用戶打開一封郵件後會自動打開附屬檔案,請千萬關閉這個功能。
(5)下載的時候要小心。下載檔案是病毒來源之一。
(6)把檔案存為RTF或ASCII格式。如果你想在網路伺服器上與別人共享一些數據,但又不願了解更多的病毒知識,那你最好把檔案存為RTF或ASCII格式,因為這兩種檔案格式都能避免宏病毒的攻擊。
(7)合理設定硬碟分區,預留補救措施。一般C糟宜採用FAT 32格式,容量應大於1G。這時C糟萬一被病毒感染,也能用KV300恢復98%以上數據,而採用FATl6格式,C糟容量小於2G,也只能恢復5%的數據。
(8)用Ghost(克隆)軟體、備份硬碟,快速恢復系統。
(9)及時升級防毒軟體、提高防範能力。
(10)重要數據和重要檔案一定要做備份。
病毒排行
NO.1 “CIH病毒”
“CIH病毒” 爆發年限:1998年6月.
CIH病毒(1998年)是一位名叫陳盈豪的台灣大學生所編寫的,從中國台灣傳入大陸地區的。CIH的載體是一個名為“ICQ中文Ch_at模組”的工具,並以熱門盜版光碟遊戲如“古墓奇兵”或Windows95/98為媒介,經網際網路各網站互相轉載,使其迅速傳播。
CIH病毒屬檔案型病毒,其別名有Win95.CIH、Spacefiller、Win32.CIH、PE_CIH,它主要感染Windows95/98下的執行檔(PE格式,Portable Executable Format),目前的版本不感染DOS以及WIN 3.X(NE格式,Windows and OS/2 Windows 3.1 execution File Format)下的執行檔,並且在Win NT中無效。其發展過程經歷了v1.0,v1.1、v1.2、v1.3、v1.4總共5個版本。
損失估計:全球約5億美元
NO.2 Melissa
“梅利莎(Melissa)” 爆發年限:1999年3月
梅利莎(1999年)是通過微軟的Outlook電子郵件軟體,向用戶通訊簿名單中的50位聯繫人傳送郵件來傳播自身。該郵件包含以下這句話:“這就是你請求的文檔,不要給別人看”,此外夾帶一個Word文檔附屬檔案。而單擊這個檔案,就會使病毒感染主機並且重複自我複製。
1999年3月26日,星期五,W97M/梅利莎登上了全球各地報紙的頭版。估計數字顯示,這個Word宏腳本病毒感染了全球15%~20%的商用PC。病毒傳播速度之快令英特爾公司(Intel)、微軟公司(Microsoft,下稱微軟)、以及其他許多使用Outlook軟體的公司措手不及,防止損害,他們被迫關閉整個電子郵件系統。
損失估計:全球約3億——6億美元
NO.3 Iloveyou
“愛蟲(Iloveyou)”爆發年限:2000年
愛蟲(2000年)是通過Outlook電子郵件系統傳播,郵件主題為“I Love You”,包含附屬檔案“Love-Letter-for-you.txt.vbs”。打開病毒附屬檔案後,該病毒會自動向通訊簿中的所有電子郵件地址傳送病毒郵件副本,阻塞郵件伺服器,同時還感染擴展名為.VBS、.HTA、.JPG、.MP3等十二種數據檔案。
新“愛蟲”(Vbs.Newlove)病毒同愛蟲(Vbs.loveletter)病毒一樣,通過outlook傳播,打開病毒郵件附屬檔案您會觀察到計算機的硬碟燈狂閃,系統速度顯著變慢,計算機中出現大量的擴展名為vbs的檔案。所有捷徑被改變為與系統目錄下wscript.exe建立關聯,進一步消耗系統資源,造成系統崩潰。
損失估計:全球超過100億美元
NO.4 CodeRed
“紅色代碼(CodeRed)” 爆發年限:2001年7月
紅色代碼(2001年)是一種計算機蠕蟲病毒,能夠通過網路伺服器和網際網路進行傳播。2001年7月13日,紅色代碼從網路伺服器上傳播開來。它是專門針對運行微軟網際網路信息服務軟體的網路伺服器來進行攻擊。極具諷刺意味的是,在此之前的六月中旬,微軟曾經發布了一個補丁,來修補這個漏洞。
被它感染後,遭受攻擊的主機所控制的網路站點上會顯示這樣的信息:“你好!歡迎光臨”。隨後病毒便會主動尋找其他易受攻擊的主機進行感染。這個行為持續大約20天,之後它便對某些特定IP位址發起拒絕服務(DoS)攻擊。不到一周感染了近40萬台伺服器,100萬台計算機受到感染。
損失估計:全球約26億美元
NO.5 Blaster
“衝擊波(Blaster)” 爆發年限:2003年夏季
衝擊波(2003年)於2003年8月12日被瑞星全球反病毒監測網率先截獲。病毒運行時會不停地利用IP掃描技術尋找網路上系統為Win2K或XP的計算機,找到後利用DCOM RPC緩衝區漏洞攻擊該系統,一旦成功,病毒體將會被傳送到對方計算機中進行感染,使系統操作異常、不停重啟、甚至導致系統崩潰。
另外該病毒還會對微軟的一個升級網站進行拒絕服務攻擊,導致該網站堵塞,使用戶無法通過該網站升級系統。在8月16日以後,該病毒還會使被攻擊的系統喪失更新該漏洞補丁的能力。
損失估計:數百億美元
NO.6 Sobig
“巨無霸(Sobig)” 爆發年限:2003年8月
巨無霸(2003年)是通過區域網路傳播,查找區域網路上的所有計算機,並試圖將自身寫入網上各計算機的啟動目錄中以進行自啟動。該病毒一旦運行,在計算機聯網的狀態下,就會自動每隔兩小時到某一指定網址下載病毒,同時它會查找電腦硬碟上所有郵件地址,向這些地址傳送標題如:"Re: Movies"、"Re: Sample"等字樣的病毒郵件進行郵件傳播,該病毒還會每隔兩小時到指定網址下載病毒,並將用戶的隱私發到指定的信箱。
由於郵件內容的一部分是來自於被感染電腦中的資料,因此有可能泄漏用戶的機密檔案,特別是對利用區域網路辦公的企事業單位,最好使用網路版防毒軟體以防止重要資料被竊取!
損失估計:50億——100億美元
NO.7 “MyDoom”
爆發年限:2004年1月
MyDoom(2004年)是一例比“巨無霸病毒”更厲害的病毒體,在2004年1月26日爆發,在高峰時期,導致網路載入時間減慢50%以上。它會自動生成病毒檔案,修改註冊表,通過電子郵件進行傳播,並且它還會嘗試從多個URL下載並執行一個後門程式,如下載成功會將其保存在Windows資料夾中,名稱為winvpn32.exe。該後門程式允許惡意用戶遠程訪問被感染的計算機。
病毒使用自身的SMTP引擎向外傳送帶毒電子郵件,進行傳播。病毒會從註冊表的相關鍵值下和多種擴展名的檔案中蒐集郵件地址,病毒還會按照一些制定的規則自己生成郵件地址,並向這些地址傳送帶毒電子郵件。病毒同時會略去還有特定字元的郵件地址。
損失估計:百億美元
NO.8 Sasser
“震盪波(Sasser)” 爆發年限:2004年4月
震盪波(2004年)於2004年4月30日爆發,短短的時間內就給全球造成了數千萬美元的損失,也讓所有人記住了04年的4月,該病毒為I-Worm/Sasser.a的第三方改造版本。與該病毒以前的版本相同,也是通過微軟的最新LSASS漏洞進行傳播,我們及時提醒廣大用戶及時下載微軟的補丁程式來預防該病毒的侵害。如果在純DOS環境下執行病毒檔案,會顯示出譴責美國大兵的英文語句。
震盪波感染的系統包括Windows 2000、Windows Server 2003和Windows XP,病毒運行後會巧妙的將自身複製為%WinDir%napatch.exe,隨機在網路上搜尋機器,向遠程計算機的445連線埠傳送包含後門程式的非法數據,遠程計算機如果存在MS04-011漏洞,將會自動運行後門程式,打開後門連線埠9996。
損失估計:5億——10億美元
NO.9 Nimaya
“熊貓燒香(Nimaya)” 爆發年限:2006年
熊貓燒香(2006年)準確的說是在06年年底開始大規模爆發,以Worm.WhBoy.h為例,由Delphi工具編寫,能夠終止大量的反病毒軟體和防火牆軟體進程,病毒會刪除擴展名為gho的檔案,使用戶無法使用ghost軟體恢復作業系統。“熊貓燒香”感染系統的*.exe、*.com、*.pif、*.src、*.html、*.asp檔案,導致用戶一打開這些網頁檔案,IE自動連線到指定病毒網址中下載病毒。在硬碟各分區下生成檔案autorun.inf和setup.exe.病毒還可通過隨身碟和移動硬碟等進行傳播,並且利用Windows系統的自動播放功能來運行。
“熊貓燒香”還可以修改註冊表啟動項,被感染的檔案圖示變成“熊貓燒香”的圖案。病毒還可以通過已分享檔案夾、系統弱口令等多種方式進行傳播。
損失估計:上億美元
NO.10 “網遊大盜”
爆發年限:2007年
網遊大盜(2007年)是一例專門盜取網路遊戲帳號和密碼的病毒,其變種wm是典型品種。英文名為Trojan/PSW.GamePass.jws的“網遊大盜”變種jws是“網遊大盜”木馬家族最新變種之一,採用VisualC++編寫,並經過加殼處理。“網遊大盜”變種jws運行後,會將自我複製到Windows目錄下,自我註冊為“Windows_Down”系統服務,實現開機自啟。
該病毒會盜取包括“魔獸世界”、“完美世界”、“征途”、等多款網遊玩家的帳戶和密碼,並且會下載其它病毒到本地運行。玩家計算機一旦中毒,就可能導致遊戲帳號、裝備等丟失。在07年轟動一時,網遊玩家提心弔膽。
損失估計:千萬美元