電腦病毒
出自 MBA智库百科(https://wiki.mbalib.com/)
電腦病毒(Computer Virus)
目錄 |
什麼是電腦病毒[1]
電腦病毒是指編製或者在電腦程式中插入的破壞電腦功能或者毀壞數據,影響電腦使用,並能自我複製的一組電腦指令或者程式代碼。
電腦病毒的起源[2]
電腦病毒的產生通常是出於以下幾種目的:
(1)惡作劇者或自以為有才能的製造者。
(2)心懷不滿的報複者。
(3)軟體開發者為了追蹤非法拷貝軟體的行為,故意在軟體中加入病毒,只要他人非法拷貝,便會帶上病毒。
電腦病毒的特點[3]
電腦病毒一般具有如下特點,
1.傳染性
傳染性是病毒的最基本特征,是判斷一段程式代碼是否為電腦病毒的依據。電腦病毒可以通過各種渠道從已經被感染的電腦擴散到未被傳染的電腦,使被傳染的電腦工作失常甚至癱瘓,病毒程式一旦侵入電腦系統就開始尋找可以傳染的程式或者磁介質,然後通過自我複製迅速傳播。由於目前電腦網路日益發達,電腦病毒的傳播更為迅速,破壞性更大。
2.破壞性
電腦病毒不僅占用系統資源,還可以刪除或者修改文件或數據,加密磁碟中的一些數據、格式化磁碟、降低運行效率或者中斷系統運行,甚至使整個電腦網路癱瘓,造成災難性的後果。電腦病毒的破壞性直接體現了病毒設計者的真正的意圖。
3.潛伏性
一個編製精巧的電腦病毒程式進入系統之後不會立即發作,可以在幾周甚至幾年內隱藏在合法文件中,對其他文件進行傳染,而不被人發現,只有條件滿足時才被激活,開始進行破壞性活動。潛伏性越好,它在系統中的時間就會越長,病毒的傳染範圍就會越大,它的危害也就越大。
4.可觸發性
病毒因某個事件或者數值的出現,誘使病毒實施感染或進行攻擊的特性稱為可觸發性。病毒的觸發機制用來控制感染和破壞動作的頻率。病毒具有預定的觸發條件,這些條件可能是時間、日期、文件類型或者某些特定數據等。病毒運行時,觸發機制檢查預定條件是否滿足,如果滿足,啟動感染或破壞動作;如果不滿足,病毒則繼續潛伏。
5.衍生性
病毒的傳染性和破壞性是病毒設計者的目的和意圖。但是,如果被其他一些惡作劇者或者惡意攻擊者所模仿,從而衍生出不同於原版本的新的電腦病毒(又稱為變種),這就是電腦病毒的衍生性。這種變種病毒造成的後果可能要比原版病毒要嚴重很多。
除了以上這些特點外,電腦病毒還有其他的一些特點,比如攻擊的主動性、病毒執行的非授權性、病毒的欺騙性、病毒的持久性、病毒檢測的不可預見性、病毒對不同操作系統的針對性等。電腦病毒的這些特點,決定了病毒難以被髮現,難以被清除,危害持久。
電腦病毒的類型[3]
根據電腦病毒的特點,電腦病毒的分類方法有許多種。
1.按照病毒的破壞能力分類
(1)無害型:除了傳染時減少磁碟的可用空間外,對系統沒有其他影響。
(2)無危險型:這類病毒僅僅會減少記憶體、顯示圖像、發出聲音等。
(3)危險型:這類病毒電腦在系統操作中造成嚴重的錯誤。
(4)非常危險型:這類病毒可以刪除程式、破壞數據、消除系統記憶體區和操作系統中一些重要的信息。
這些病毒對系統造成的危害,並不完全是本身的演算法中存在危險的調用,而是當它們傳染時會引起無法預料的破壞。由病毒引起其他的程式產生的錯誤也會破壞文件。一些現在的無害型病毒也可能會對新版的DOS、Windows和其他操作系統造成破壞。例如,在早期的病毒中,有一個“Denzuk”病毒在360KB磁碟上不會造成任何破壞,但在後來的高密度軟盤上卻能引起大量的數據丟失。
2.根據病毒特有的演算法分類
(1)伴隨型病毒:這一類病毒並沒有改變本身,它們根據演算法產生EXE文件的伴隨體,具有同樣的名字和不同的擴展名(COM),例如,xcopy.exe的伴隨體是xcopy.com。病毒把自身寫入COM文件並不改變EXE文件,當DOS載入文件時,伴隨體優先被執行到,再由伴隨體載入執行原來的EXE文件。
(2)蠕蟲型病毒:主要通過電腦網路進行傳播,不改變文件和資料信息,利用網路從一臺機器的記憶體傳播到其他機器的記憶體,計算網路地址,將自身的病毒通過網路發送。這種病毒一般除了記憶體外不占用其他的資源。
(3)變型病毒:又被稱為幽靈病毒。這類病毒使用了一個複雜的演算法,使自己每傳播一份都具有不同的內容和長度。它們一般的做法是一段混有無關指令的解碼演算法和被變化過的病毒體組成。
3.根據病毒的傳染方式分類
(1)文件型病毒:文件型病毒是指能夠感染文件、並能通過被感染的文件進行傳染擴散的電腦病毒。這種病毒主要感染文件為可執行性文件(擴展名為c0M、ExE等)和文本文件(擴展名為DOC、XLS等)。前者通過實施傳染,後者則通過wbrd或Excel等軟體在調用文檔中的“巨集”病毒指令實施感染和破壞。已感染病毒文件執行速度會減慢,甚至完全無法執行。有些文件被感染後,一旦執行就會遭到刪除。感染病毒的文件被執行後,病毒通常會趁機對下一個文件進行感染。
(2)系統引導型病毒:這類病毒隱藏在硬碟或軟盤的引導區,當電腦從感染了引導區病毒的硬碟或者軟盤啟動,或者當電腦從受感染的磁碟中讀取數據時,引導區病毒就會開始發作。一旦載入系統,啟動時病毒會將自己載入在記憶體中,然後就開始感染其他被執行的文件。早期出現的大麻病毒、小球病毒就屬於此類。
(3)混合型病毒:混合型病毒綜合了系統引導型和文件型病毒的特性,它的危害比系統引導型和文件型病毒更為嚴重。這種病毒不僅感染系統引導區,也感染文件,通過這兩種方式來感染,更增加了病毒的傳染性以及存活率。不管以哪種方式傳染,都會在開機或執行程式時感染其他的磁碟或文件。所以,這種病毒也是最難殺滅的。
(4)巨集病毒:巨集病毒是一種寄存於文檔或模板的巨集中的電腦病毒,主要利用MicrosoR word提供的巨集功能來將病毒帶進到帶有巨集的Doc文檔中一一旦打開這樣的文檔,巨集病毒就會被激活,進人電腦記憶體中,並駐留在Nonnal模板上。從此以後,所有自動保存的文檔都會感染上這種巨集病毒。如果網上其他用戶打開了感染病毒的文檔,巨集病毒就會被傳染到其他電腦上。病毒的傳播速度很快,對系統和文件都可以造成破壞。
電腦病毒的傳播[3]
電腦病毒的傳染性是計算病毒最基本的特點。病毒的傳染性是病毒賴以生存繁殖的條件,如果電腦病毒沒有傳播渠道,則其破壞性小,擴散而窄,難以造成大面積的流行。電腦病毒必須要“搭載”到電腦上才能感染系統,通常它們是附加到某個文件上,
電腦病毒的傳播主要通過文件複製、文件傳送、文件執行等方式進行,文件複製與文件傳送需要傳輸媒介,文件執行則是病毒感染的必然途徑(Word、Excel等巨集病毒通過Word、Excel調用間接地執行),因此,病毒傳播與文件傳輸媒體的變化有著直接的關係、據有關資料報道,電腦病毒出現在20世紀70年代,那是由於電腦還未普及,所以,病毒造成的破壞和對社會公眾造成的影響還不是十分大。1986年巴基斯坦智囊病毒的廣泛傳播,則把病毒對PC的威脅實實在在地擺在了人們的面前。1987年黑色星期五大規模肆虐於全世界各國的IBMPC及其兼容機之中,造成了相當大的病毒恐慌。這些電腦病毒如同其他電腦病毒一樣,最基本的特性就是它的傳染性。通過認真研究各種電腦病毒的傳染途徑,有的放矢地採取有效措施,必定能在對抗電腦病毒的鬥爭中占據有利地位,更好地防止病毒對電腦系統地侵襲。電腦病毒的傳播途徑主要有以下幾種。
(1)軟盤傳播:通過移動存儲沒備來傳播,這些設備主要包括軟盤、光碟、u盤等在移動存儲設備中,軟盤是使用最廣泛、移動最頻繁的存儲介質,因此也成了電腦病毒寄生的“溫床”。以前,大多數電腦都是從這類途徑感染病毒的。
(2)硬體設備傳播:通過不可移動的電腦硬體設備進行傳播,這些設備通常有電腦的專用的ASIC晶元和硬碟等。由於帶病毒的硬碟在本地或移到其他地方使用、維修等,將乾凈的硬碟感染並再擴散。這種病毒雖然極少,但破壞力卻極強,目前尚沒有較好的檢測手段來預防。
(3)網路傳播:目前通過網路應用(如電子郵件、文件下載、網頁瀏覽)進行傳播已經成為電腦病毒傳播的主要方式。最近幾個傳播很廣的病毒如“愛蟲”、“紅色代碼”、“尼姆達”無一例外都選擇了網路作為主要傳播途徑。國際電腦安全協會(International Computer Security Association,ICSA)所公佈的《2000年度病毒傳播趨勢報告》顯示,電子郵件已躍升為電腦病毒最主要的傳播媒介,感染率由1998年的32%、1999年的56%,大幅度增長至2000年的87%。
(4)BBs電子佈告欄(BBs):因為上站容易、投資少,因此深受大眾用戶的喜愛。BBs是由電腦愛好者自發組織的通信站點,用戶可以在BBs上進行交換(包括自由軟體、游戲、自編程式)。南於BBs站一般沒有嚴格的安全管理,也無任何限制,這樣就給一些病毒程式編寫者提供了傳播病毒的場所。各城市BBs站問通過中心站間進行傳送,傳播面較廣。隨著BBs在國內的普及,給病毒的傳播又增加了新的介質。
電腦病毒的危害[4]
電腦病毒的危害可以分為對電腦網路系統的危害和對微型電腦系統的危害兩方面。下麵根據當前掌握的情況介紹如下。
1.電腦病毒對網路系統的危害
(1)病毒程式通過“自我複製”傳染正在行動其它程式的系統,並與正常運行的程式爭奪系統的資源,使系統癱瘓。
(2)病毒程式可在發作時沖毀系統存儲器中的大量數據,致使電腦及其用戶的數據丟失,蒙受巨大損失。
(3)病毒程式不僅侵害使用的電腦系統,而且通過網路侵害與之聯網的其它電腦系統。
(4)病毒程式可導致電腦控制的空中交通指揮系統失靈,使衛星、導彈失控.使銀行金融系統癱瘓,使自動生產線控制紊亂等。
2.電腦病毒對微型機系統的危害
(1)破壞磁碟的文件分配表或目錄區,使用戶磁碟上的信息丟失。
(2)刪除軟、硬碟上可執行文件或覆蓋文件。
(3)將非法數據寫DOS記憶體參數區,引起系統崩潰。
(4)修改或破壞文件和數據。
(5)影響記憶體常駐程式的正常執行。
(6)在磁碟上標記虛假的壞簇,從而破壞有關的程式或數據。
(7)更改或重新寫入磁碟的捲標號。
(8)對可執行文件反覆傳染拷貝,造成磁碟存貯空間減少,並影響系統運行效率。
(9)對整個磁碟進行特定的格式化,破壞全盤的數據。
(10)使系統空掛,造成顯示器鍵盤被封鎖的狀態。
電腦病毒的表現形式[3]
從本質上來說,電腦病毒是一段程式代碼,雖然它可以隱藏得很好,但也會留下很多得蛛絲馬跡通過對這些蛛絲馬跡的分析和判別,我們就可以發現這些病毒的存在了。根據電腦病毒感染和發作的階段,可以將電腦的表現分為j大類,即電腦病毒發作前、發作時和發作後的表現。
1.電腦病毒發作前的表現
電腦病毒發作前,是指從電腦感染電腦系統、潛伏在系統內開始,一直到激發條件滿足,電腦病毒發作之前的一個階段。在這個階段,電腦病毒的行為主要是以潛伏、傳播為主。電腦病毒會以各式各樣的手法隱藏自己,在不被髮現的同時,又自我複製,以各種手段進行傳播。以下是一些電腦病毒發作前常見的表現。
(1)平時運行正常的電腦突然經常性無緣無故地死機。病毒感染了電腦系統後,將自身駐留在系統內並修改了中斷程式,引起系統工作不穩定,造成死機現象發生。
(2)操作系統無法正常啟動。關機後再啟動,操作系統報告缺少必要的啟動文件,或啟動文件被破壞,系統無法啟動。這很可能是電腦病毒感染系統文件後使得文件結構發生變化,無法被操作系統載入、引導所致。
(3)以前能正常運行的軟體經常發生記憶體不足的錯誤。某個以前能夠正常運行的程式,在系統啟動的時候報告系統記憶體不足,或者使用應用程式中的某個功能時報告記憶體不足。這可能是電腦病毒駐留後占用了系統中大量的記憶體空間,使得可用記憶體空間減少。
(4)以前正常運行的應用程式經常發生死機或者非法錯誤。在硬體和操作系統沒有做任何改動的情況下,以前能夠正常運行的應用程式發生非法錯誤和死機的情況明顯增加。這可能是由於電腦病毒感染應用程式後破壞了應用程式本身的正常功能,或者電腦病毒程式本身存在著兼容性方面的問題造成的。
(5)系統文件的時間、日期、大小發生變化,這是最明顯的電腦病毒感染跡象。電腦病毒感染應用程式文件後,會將自身隱藏在原始文件的後面,文件大小大多會有所增加,文件的訪問、修改日期和時間也會被改成感染時的時間。尤其是對那些系統文件,絕大多數情況下是不會修改它們的,除非是進行系統升級或打補丁。對應用程式使用到的數據文件,文件大小和修改日期、時間可能會改變,並不一定是電腦病毒在作怪。
(6)磁碟空間迅速減少。沒有安裝新的應用程式,而系統可用的磁碟空間減少得很快。這可能是電腦病毒感染造成的。需要註意的是經常瀏覽網頁、回收站中的文件過多、臨時文件夾下的文件數量過多過大、電腦系統有過意外斷電等情況,也可能會造成可用的磁碟空間迅速減少。
除了上述幾點表現外,列印和通信發生異常、無意中要求對軟盤進行寫操作和陌生人發來的電子郵件等,也可能是電腦病毒發作前的表現。可以根據以上幾點來初步判斷電腦是否感染上了電腦病毒。
2.電腦病毒發作時的表現
電腦病毒發作時是指滿足電腦病毒發作的條件後,電腦病毒程式開始進行破壞行為的階段。電腦病毒發作時的表現大多各不相同,這與編寫電腦病毒者的目的、所採用的技術手段等有著密切的關係。以下是一些電腦病毒發作時常見的表現。
(1)系統運行速度明顯變慢一在硬體設備沒有損壞或者更換的情況下,本來運行速度很快的電腦,在運行同樣應用程式時,速度明顯變慢,而且重啟後依然很慢。這很可能是電腦病毒發作時占用了大量的系統資源,並且自身的運行占用了大量的處理器時間,造成系統資源不足,運行變慢。
(2)硬碟瀆寫指示燈不斷閃爍。硬碟讀寫指示燈閃爍說明有硬碟讀寫操作。當對硬碟有持續大量的操作時,硬碟的讀寫指示燈就會不斷的閃爍,比如格式化硬碟或者寫入很大的文件。有的電腦病毒會在發作的時候反覆讀取某個文件或者不斷地進行自身病毒文件的複製並寫入硬碟。
(3)自動鏈接到一些陌生的網站。有些病毒在運行時,會自動打開瀏覽器並訪問Intemet上某個或多個陌生的網站或者建立隱藏的網路鏈接,占用大量的網路帶寬,致使電腦用戶在訪問網路時速度變慢。
(4)自動發送電子郵件。大多數電子郵件電腦病毒都採用自動發送電子郵件的方法作為傳播手段,也有的電子郵件電腦病毒在某一特定的時刻向同一個郵件伺服器發送大量無用的信件,以阻塞該郵件伺服器的正常服務功能。
(5)電腦突然死機或重啟。有些電腦病毒程式因為具有程式兼容性的問題,在病毒運行時會要求系統重新啟動以載入其所需要的系統組件,從而對電腦系統進行更深層次的破壞。
(6)彈出一些毫不相干的信息。有些惡作劇式的電腦病毒發作時,會自動彈出一些無用的信息、播放一段音樂、產生特定的圖像、提一些智力問答題等。這類病毒一般都是良性的,不會有破壞操作。
3.電腦病毒發作後的表現
通常情況下,電腦病毒發作都會給電腦系統帶來破壞性的後果,那種只有惡作劇式的良性電腦病毒只是電腦病毒家族中很小的一部分。大多電腦病毒都是屬於惡性電腦病毒。惡性電腦病毒發作後往往會帶來很大的損失,以下是一些惡性電腦病毒發作後所造成的後果。
(1)系統無法啟動,數據丟失。電腦病毒破壞了硬碟的引導扇區後,就無法從硬碟啟動電腦系統了。有些電腦病毒篡改了硬碟的關鍵內容(如硬碟分配表、根目錄區等),使得原先保存在硬碟上的數據幾乎完全丟失。
(2)部分文檔丟失或者破壞。類似系統文件的丟失或者被破壞,有些電腦病毒在發作時會刪除或破壞硬碟上的文檔,造成數據的丟失。
(3)部分文檔自動加密碼。還有些電腦病毒利用加密演算法,將加密密鑰保存在電腦病毒程式體內或其他隱蔽的地方,而被感染的文件將被加密。如果記憶體中駐留由這種電腦病毒,那麼在系統訪問被感染的文件時它自動將文檔解密,使用戶察覺不到。一旦這種電腦病毒被清除,那麼被加密的文檔就很難被恢復了。
(4)網路癱瘓,無法提供正常的服務。
由上所述,我們可以瞭解到防殺電腦病毒軟體必須要實時化,在電腦病毒進入系統時要立即報警並清除,才能確保系統安全,待電腦病毒發作後再去殺毒,實際上已經為時已晚。
電腦病毒的檢測與防治[3]
上面介紹了電腦病毒在不同情況下的表現形式。檢測電腦病毒,就是要到電腦病毒寄生場所去檢查,驗明“正身”,確認電腦病毒的存在。電腦病毒存儲於磁碟中,激活時駐留在記憶體中。因此對電腦病毒的檢測分為對記憶體的檢測和對磁碟的檢測。一般對磁碟進行電腦病毒檢測時,要求記憶體中不帶電腦病毒。這是由於某些電腦病毒會向檢測者報告假情況。例如,“4096”電腦病毒,當它在記憶體中時,查看被感染的文件長度,不會發現該文件的長度已發生變化;而當在記憶體中沒有該電腦病毒時,才會發現文件長度已經增長了4 096KB。例如,“DIR II”電腦病毒,在記憶體中,用Debug程式查看時,根本看不到“D1R II”電腦病毒的代碼,很多檢測程式因此而漏過了被其感染的文件。因此,只有在要求確認某種電腦病毒的類型和對其進行分析、研究時,才在記憶體中帶病毒的情況下做檢測工作。
從原始的、未受電腦病毒感染的DOS系統軟體啟動,可以保證記憶體中不帶病毒、啟動必須是上電啟動,而不能按Alt+Ctrl+Del快捷鍵。因為某些電腦病毒通過截取鍵盤中斷處理程式,仍然會將自己駐留在記憶體中,可見保留一份未被電腦病毒感染的防寫的DOS系統軟盤是很重要的。
需要註意的是,若要檢測硬碟中的電腦病毒,則啟動系統的DOS軟盤的版本應該等於或高於硬碟內DOS系統的版本號。若硬碟上使用磁碟管理軟體、磁碟壓縮存儲管理軟體等,啟動系統的軟盤上應該把這些軟體的驅動程式包括在內,並把它們添加在CONFIG.SYS文件中,否則用系統軟盤引導啟動後,將不能訪問硬碟上的所有分區,使躲藏在其中的電腦病毒逃過檢查。
(1)病毒的防治策略
針對目前日益增多的電腦病毒和惡意代碼,根據這些病毒的特點和病毒未來的發展趨勢,國家電腦病毒緊急處理中心與電腦病毒防治產品檢驗中心制定了以下的病毒防治策略供電腦用戶參考。
a、建立病毒防治的規章制度,嚴格管理。
b、建立病毒防治和應急體系。
c、進行電腦安全教育,提高安全防範意識。
d、對系統進行風險評估。
e、選擇公安部認證的病毒防治產品。
f、正確配置,使用病毒防治產品。
g、正確配置系統,減少病毒侵害事件。
h、定期檢查敏感文件。
i、適時進行安全評估,調整各種病毒防治策略。
j、建立病毒事故分析制度。
k、確保恢復,減少損失。
(2)常用的防毒殺毒軟體
a、北信源uDiea.
b、瑞星QQ病毒專殺。
c、“MsN性感雞”病毒專殺工具。
d、金山木馬專殺
e、卡巴斯基,
f、“愛情後門(wornl.LovGate)”。
g、“QQ病毒”專殺工具。
h、瑞星圖片病毒專用查殺工具。
i、諾頓2004全套專殺工具。
j、“災飛”專殺工具。
k、硬碟殺手(wonn.opasoft)。
l、衝擊波(worn.Blaster)。
m、泡沫人(wornl.P2p.Fizzer)。
n、求職信系統病毒專殺工具。
o、墨菲(Troian.Mofei)。
