现在网络高度发达,互联网日益成为全球性工具,为计算机病毒的大规模爆发提供了有效的传播途径,因此计算机病毒就成为信息系统安全的主要威胁 ,尤其是计算机网络病毒,通过网络特别是电子邮件传播的病毒,与传统计算机病毒相比,表现出了更快的传播速度以及更强的破坏性。有鉴于此,为了确保计算机系统及网络信息的安全,研究计算机病毒的性质特征、传染途径、防范措施等,对于防范计算机系统及网络信息的安全尤为重要。
1 计算机网络病毒的特点及危害
在计算机病毒刚出现时,人们对计算机病毒的认识不够,防范意识不强,还没来得及深刻认识它的作用,它就已经开始大量传播,肆意横行了。刚开始的计算机病毒只是在单机中传播,而如今随着计算机网络应用的日益普及,计算机病毒凭借互联网迅速的传播、繁殖,其速度和危害性已引起越来越多人的重视。目前,在网络信息安全领域,计算机病毒特别是网络病毒已经成为一种有效的攻击手段。
1.1 计算机病毒的概念
计算机病毒是根据计算机软、硬件所固有的弱点,编制出的具有特殊功能的程序。
电脑病毒最初的历史,可以追溯至一九八二年,Rich Skerta撰写了一个名为:“Elk Cloner”的电脑程序,到现在已经发现的计算机病毒近七十万个,极大地威胁着计算机信息安全。从广义上讲,凡能够引起计算机故障,破坏计算机数据的程序统称为计算机病毒。1994年2月18日,我国正式颁布实施《中华人民共和国计算机信息系统安全保护条例》,在其中第二十八条中明确指出,计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能,或者毁坏数据、影响计算机使用,并能自我复制的一组计算机指令或者程序代码。
1.2 计算机病毒的特点
1)传染性
这是病毒的基本特征。计算机病毒会通过各种渠道从已被感染的计算机扩散到未被感染的计算机,造成被感染的计算机工作失常甚至瘫痪。是否具有感染性是判别一个程序是否为计算机病毒的重要条件。
2)隐蔽性
病毒通常附在正常程序中或磁盘较隐蔽的地方,也有的以隐含文件形式出现。如果不经过代码分析,病毒程序与正常程序是不容易区分开来的。计算机病毒的源程序可以是一个独立的程序体,源程序经过扩散生成的再生病毒一般采用附加和插入的方式隐藏在可执行程序和数据文件中,采取分散和多处隐藏的方式,当有病毒程序潜伏的程序被合法调用时,病毒程序也合法进入,并可将分散的程序部分在所非法占用的存储空间进行重新分配,构成一个完整的病毒体投入运行。
3) 潜伏性
大部分病毒感染系统后,会长期隐藏在系统中,悄悄的繁殖和扩散而不被发觉,只有在满足其特定条件的时候才启动其表现(破坏)模块。
4) 破坏性(表现性)
任何病毒只要入侵系统,就会对系统及应用程序产生程度不同的影响。轻则会降低计算机工作效率,占用系统资源,重则可导致系统崩溃,根据病毒的这一特性可将病毒分为良性病毒和恶性病毒。良性病毒可能只显示些画面或无关紧要的语句,或者根本没有任何破坏动作,但会占用系统资源。恶性病毒具有明确的目的,或破坏数据、删除文件,或加密磁盘、格式化磁盘,甚至造成不可挽回的损失。
5) 不可预见性
从病毒的监测方面看,病毒还有不可预见性。计算机病毒常常被人们修改,致使许多病毒都生出不少变种、变体,而且病毒的制作技术也在不断地深入性提高,病毒对反病毒软件常常都是超前的,无法预测。
6) 触发性
病毒因某个事件或数值的出现,诱使病毒实施感染或进行进攻的特性称为可触发性。病毒既要隐蔽又要维持攻击力,就必须有可触发性。
病毒的触发机制用于控制感染和破坏动作的频率。计算机病毒一般都有一个触发条件,它可以按照设计者的要求在某个点上激活并对系统发起攻击。
触发的条件有以下几种。
?以时间作为触发条件。计算机病毒程序读取系统内部时钟,当满足设计的时间时,开始启发。
?以计数器作为触发条件。计算机病毒程序内部设定一个计数单元,当满足设计者的特定值时就发作。
?以特定字符作为触发条件。当敲入某些特定字符时即发作。
?组合触发条件。综合以上几个条件作为计算机病毒的触发条件。
7) 针对性
有一定的环境要求,并不一定对任何系统都能感染。
8) 寄生性(依附性)
计算机病毒程序嵌入到宿主程序中,依赖于宿主程序的执行而生存,这就是计算机病毒的寄生性。病毒程序在浸入到宿主程序后,一般会对宿主程序进行一定的修改,宿主程序一旦执行,病毒程序就被激活,从而进行自我复制。
通常认为,计算机病毒的主要特点是传染性、隐蔽性、潜伏性、寄生性、破坏性。
1.3 计算机病毒的分类
计算机病毒的分类方法有许多种,所以,同一种病毒可能有多重不同的分法。
1.3.1 基于破坏程度分类
基于破坏程度分类是最流行、最科学的分类方法之一,按照此种分类方法,病毒可以分为良性病毒和恶性病毒。
1) 良性病毒
良性病毒是指其中不含有立即对计算机系统产生直接破坏作用的代码。这类病毒为了表现其存在,只是不停的进行扩散,会使计算机程序工作异常,但不会破坏计算机内的数据。
良性病毒取得系统控制权后,会导致整个系统运行效率降低,可用内存容量减少,某些应用程序不能运行,还与操作系统和应用程序争抢CPU的控制权,有时还会导致整个系统死锁。常见的良性病毒有“小球”病毒、“台湾一号”、“维也纳”、“巴基斯坦”病毒等。
2) 恶性病毒
恶性病毒在其代码中包含有破坏计算机系统的操作,在其传染或发作时会对系统产生直接的破坏作用。恶性病毒感染后一般没有异常表现,会将自己隐藏的很深,但是一旦发作,就会破坏计算机数据、删除文件,有的甚至会对硬盘进行格式化,造成整个计算机瘫痪,等人们察觉时,已经对计算机数据或硬件造成了破坏,损失将难以挽回。
这种病毒很多,如“黑色星期五”病毒,“CIH系统毁灭者”病毒等。
1.3.2 基于传染方式分类
按照传染方式不同,病毒可分为引导型病毒、文件型病毒和混合型病毒
三种。
1) 引导型病毒
引导型病毒是指开机启动时,病毒在DOS的引导过程中被载入内存,它先于操作系统运行,所依靠的环境是BIOS中断服务程序。引导区是磁盘的一部分,它在开机启动时控制计算机系统。引导型病毒正是利用了操作系统的引导区位置固定,且控制权的转交方式以物理地址为依据,而不是以引导区内容为依据这一特点,将真正的引导区内容进行转移或替换,待病毒程序被执行后,再将控制权交给真正的引导区内容,使得这个带病毒的系统看似正常运转,而病毒已隐藏在系统中等待传染和发作。
引导型病毒按其寄生对象的不同,又可分为主引导区病毒和引导区病毒。主引导区病毒又称分区病毒,此病毒寄生在硬盘分区主引导程序所占据的硬盘0磁头0柱面第1个扇区中。引导区病毒是将病毒寄生在硬盘逻辑0扇区或移动存储器的0扇区。
2) 文件型病毒
文件型病毒存放在可执行文件的头部或尾部。目前绝大多数的病毒都属于文件型病毒。
文件型病毒将病毒的代码加载到运行程序的文件中,只要运行该程序,病毒就会被激活,引入内存,并占领CPU得到控制权。病毒会在磁盘中寻找未被感染的可执行文件,将自身放入其首部或尾部,并修改文件的长度使病毒程序合法化,它还能修改该程序,使该文件执行前首先挂靠病毒程序,在病毒程序的出口处再跳向原程序开始处,这样就使该执行文件成为新的病毒源。已感染病毒的文件执行速度会减缓,甚至会完全无法执行,有些文件遭感染后,一执行就会被删除。
文件型病毒按照传染方式的不同,又分为非常驻型、常驻型和隐形3钟。
?非常驻型病毒:非常驻型病毒将自己寄生在.com、.exe或是.sys文件中,当执行感染病毒的程序时,该病毒就会传染给其他文件。
?常驻型病毒:常驻型病毒躲藏在内存中,会对计算机造成更大的伤害,一旦它进入内存中,只要文件被执行,就会迅速感染其他文件。
?隐形文件型病毒:把自己植入操作系统里,当程序向操作系统要求中断服务时,它就会感染这个程序,而且没有任何表现。
另外,需要注意的一点是,随着微软公司的Word字处理软件的广泛使用以及Internet的推广普及,又出现了一种新病毒,这就是宏病毒。宏病毒应该算是文件型病毒的一种。宏病毒已占目前全部病毒数量的80%以上,它是发展最快的病毒,而且宏病毒可以衍生出各种变种病毒。
3) 混合型病毒
混合型病毒通过技术手段把引导型病毒和文件型病毒组合成一体,使之具有引导型病毒和文件型病毒两种特征,以两者相互促进的方式进行传染。这种病毒既可以传染引导区又可以传染可执行文件,增加了病毒的传染性以及生存率,使其传播范围更广,更难于清除干净。
1.3.3 基于算法分类
按照病毒特有的算法,可以划分为伴随型病毒、蠕虫型病毒和寄生型病毒。
1)伴随型病毒
伴随型病毒并不改变文件本身,而是根据算法产生.exe文件的伴随体,与文件具有同样的名称和不同的扩展名。当DOS加载文件时,伴随体优先被执行,再由伴随体加载执行原来的.exe文件。
2) 蠕虫型病毒
蠕虫型病毒通过计算机网络进行传播,它不改变文件和资料信息,而是根据计算机的网络地址,将病毒通过网络发送,蠕虫病毒除了占用内存外一般不占用其他资源。
3) 寄生型病毒
除伴随型病毒和蠕虫型病毒之外的其他病毒均可称为寄生型病毒。它们依附在系统的引导区或文件中,通过系统的功能进行传播,按算法又可分为练习型病毒、诡秘型病毒和变型病毒。
?练习型病毒自身包含错误,不能很好的传播,例如一些处在调试阶段的病毒。
?诡秘型病毒一般不直接修改DOS中断和扇区数据,而是通过设备技术和文件缓冲区等进行DOS内部修改,由于该病毒使用比较高级的技术,所以不易清除。
?变型病毒又称幽灵病毒,这种病毒使用较复杂的算法,使自己每传播一份都具有不同的内容和长度。它们通过由一段混有无关指令的解码算法和变化过的病毒体组成。
1.3.4 基于链接方式分类
按照病毒的链接方式,可以分为源码型病毒、入侵型病毒、外壳型病毒和操作系统型病毒。
1)源码型病毒
源码型病毒攻击的目标是源程序。在源程序编译之前,将病毒代码插入源程序,编译后,病毒变成合法程序的一部分,成为以合法身份存在的非法程序。源码型病毒比较少见,在编写时要求源码病毒所用语言必须与被攻击源码程序语言相同。
2) 入侵型病毒
入侵型病毒可用自身代替宿主程序中的部分模块或堆栈区,因此这类病毒只攻击某些特定程序,针对性强,而且该病毒一旦入侵程序体后很难消除。
3) 外壳型病毒
外壳型病毒将其自身附在宿主程序的头部或尾部,相当于给宿主程序增加了一个外壳,但对宿主程序不做修改。这种病毒最为常见,易于编写,也易于被发现,通过测试文件的大小即可发现。大部分的文件型病毒都属于这一类。
4) 操作系统型病毒
操作系统型病毒用它自己的程序加入或取代部分操作系统进行工作,具有很强的破坏力,可以导致整个系统瘫痪。圆点病毒和大麻病毒就是典型的操作系统型病毒。这种病毒运行时,用自己的逻辑部分取代操作系统的合法程序模块,对操作系统进行破坏。
1.3.5 基于传播的媒介分类
按照病毒传播的媒介,可以分为网络病毒和单机病毒两种。
?网络病毒通过计算机网络传播感染网络中的可执行文件。这种病毒的传染能力强、破坏力大。
?单机型病毒的载体是磁盘,常见的是病毒从移动存储介质传入硬盘,感染系统,然后再传染其他接入本机的移动存储介质,再由移动存储介质传染给其他系统。
1.3.6 基于攻击的系统分类
按照计算机病毒攻击的系统,可以分为攻击DOS系统的病毒、攻击Windows系统的病毒、攻击UNIX系统的病毒和攻击OS/2系统的病毒。
?攻击DOS系统的病毒,这类病毒出现最早、数量最大、变种也最多,以前计算机病毒基本上都是这类病毒。
?攻击Windows系统的病毒,Windows因其图形用户界面和多任务操作系统而深受用户的欢迎,Windows逐渐取代DOS,从而成为病毒攻击的主要对象。
?攻击UNIX系统的病毒,UNIX系统应用非常广泛,尤其许多大型的操作系统均采用UNIX作为主要
的操作系统,所以UNIX病毒的出现,对信息处理也是一个严重的威胁。
?攻击OS/2系统的病毒,世界上已经有了攻击OS/2系统的病毒。
1.3.7 基于激活的时间分类
按照病毒激活的时间,可分为定时病毒和随机病毒。
定时病毒仅在某一特定时间才发作;随机病毒一般不是由时钟来激活的。
1.4 计算机网络病毒的概念
1.4.1 计算机网络病毒的概念
传统的网络病毒是指利用网络进行传播的一类病毒的总称。然而严格的说,网络病毒是以网络为平台,能在网络中传播、复制及破坏的计算机病毒,例如像网络蠕虫病毒这些威胁到计算机,及计算机网络正常运行和安全的病毒才可以算作计算机网络病毒。计算机网络病毒专门使用网络协议(如TCP/IP、FTP、UDP、HTTP、SMTP和POP3等)来进行传播,它们通常不修改系统文件或硬盘的引导区,而是感染客户计算机的内存,强制这些计算机向网络发送大量信息,导致网络速度下降甚至完全瘫痪。
1.4.2 计算机网络病毒的传播方式
Internet技术的进步同样给许多恶毒的网络攻击者提供了一条便捷的攻击路径,他们利用网络来传播病毒,其破坏性和隐蔽性更强。
一般来说,计算机网络的基本构成包括网络服务器和网络节点(包括有盘工作站、无盘工作站和远程工作站)。病毒在网络环境下的传播,实际上是按“工作站——服务器——工作站”的方式循环传播。具体说,其传播方式有以下几种。
?病毒直接从有盘工作站复制到服务器中。
?病毒先感染工作站,在工作站内存驻留,等运行网络盘内程序时再感染服务器。
?病毒先感染工作站,在工作站内存驻留,当病毒运行时通过映像路径感染到服务器。
?如果远程工作站被病毒侵入,病毒也可以通过通信中数据的交换进入网络服务器。
计算机网络病毒的传播和攻击主要通过两个途径,用户邮件和系统漏洞。所以,一方面网络用户要加强自身的网络意识,对陌生的电子邮件和网络提高警惕;另一方面操作系统要及时进行系统升级,以加强病毒的防范能力。
1.5 计算机网络病毒的特点
从计算机网络病毒的传播方式可以看出,计算机网络病毒除具有一般病毒的特点外,还有以下新的特点。
1.5.1 传染方式多
病毒入侵网络系统的主要途径是通过工作站传播到服务器硬盘,再由服务器的共享目录传播到其他工作站。但病毒传染方式比较复杂,通常有以下几种:
?引导型病毒对工作站或服务器的硬盘分区表或DOS引导区进行传染。
?通过在有盘工作站上执行带毒程序,而传染服务器映射盘上的文件。
?病毒通过工作站的复制操作进入服务器,进而在网上传播。
?利用多任务可加载模块进行传染。
?若Novell服务器的DOS分区程序Server.exe已被病毒感染,则文件服务器系统有可能被感染。
1.5.2 传播速度快
网络病毒可以通过网络通信机制,借助于高速电缆迅速扩散。
1.5.3 清除难度大
再顽固的单机病毒也可以通过删除带毒文件、格式化硬盘等措施将病毒清除,而网络中只要有一台工作站未消毒干净,就可使整个网络重新被病毒感染,即使刚刚完成杀毒工作的一台工作站也有可能被网上另一台工作站的带毒程序所传染。因此,仅对工作站进行杀毒并不能彻底解决网络病毒问题。
1.5.4 扩散面广
网络病毒不但能迅速感染局域网内所有计算机,还能通过远程工作站将病毒在瞬间传播到千里之外。
1.5.5 破坏性大
网络病毒轻则降低网络速度,影响工作效率,重则造成网络瘫痪,破坏服务器系统资源,使众多工作毁于一旦。
1.6 计算机网络病毒的分类
计算机网络病毒的发展相当迅速,目前主要的网络病毒有以下几种。
1.6.1 网络木马病毒(Trojan)
网络木马病毒会把自己伪装成正常程序,当用户触发时,会将收集到的信息通过网络泄露出去。
1.6.2 蠕虫病毒(Worm)
蠕虫病毒是指利用网络缺陷进行繁殖的病毒程序,如“莫里斯”病毒、“求职信”病毒等。目前常说的网络病毒一般指的就是蠕虫病毒。