摘 要: 随着计算机工业的发展,计算机网络也越来越普及,而且在各行各业发挥着至关重要的作用。但是计算机病毒在形式上越来越狡猾,造成的危害也日益严重。这就要求网络防病毒产品在技术上更先进,在功能上更全面,并具有更高的查杀效率。因此,网络环境下病毒防治正成为计算机防毒领域的研究重点。本文首先分析了网络病毒的特点及其发展趋势,并在此基础上提出了目前常用的几种网络防病毒的重要技术及具体方法。
关键词:网络病毒;发展趋势; 防御技术
网络病毒指的是一些黑客巧妙地编制或在计算机程序中插入的破坏计算机功能或者破坏数据、影响计算机使用、并能自我复制在网络上“传染”的一组计算机指令或者程序代码是一种人为的带有恶意的非正常程序,在网络中传播,复制及破坏的病毒。它是计算机技术和网络普及的社会信息化进程发展到一定阶段的必然产物。严格地说,通过网络传播的病毒不是网络病毒。只有上面提到的蠕虫等一些威胁可以算作网络病毒。网络病毒专门使用网络协议(如TCP、FTP、UDP、HTTP 和电子邮件协议)来进行复制。它们通常不修改系统文件或硬盘的引导区。网络病毒感染客户计算机的内存,强制这些计算机向网络发送大量通信,因而可能导致网络速度下降甚至完全瘫痪。由于网络病毒保留在内存中,因此传统的基于磁盘的文件I/O 扫描方法通常无法检测到它们。具体来说网络病毒有以下几种:伴随性病毒:在不改变文本本身的前提下,根据算法产生EXE文件的伴随件,伴随文件具有原文件同样的名字和不同的扩展名,当DOS加载文件时,伴随文件优先执行;蠕虫型病毒:在不改变文本和信息资料的前提下,通过网络地址将自身的病毒发出,从一台机的内存传播到其他的内存,一般不站用资源;寄生型病毒:他们依附在系统的引导扇区或文件中,通过系统的功能传播。
1.网络病毒的特点及危害
1.1网络病毒的特点:
破坏性强:网络病毒破坏性极强。以Novel1网为例, 一旦文件服务器的硬盘被病毒感染就可能造成NetWare分区中的某些区域上内容的损坏,使网络服务器无法起动,导致整个网络瘫痪,造成不可估量的损失。
传播性强:网络病毒普遍具有较强的再生机制,一接触就可通过网络扩散与传染。一旦某个公用程序染了毒,那么病毒将很快在整个网络上传播,感染其它的程序。根据有关资料介绍,在网络上病毒传播的速度是单机的几十倍。例如,据记载在1989年10月16日上午,有人从法国将DECnet网病毒植入到lnternet网中,几小时内,就使该网的60多台计算机受到感染。约两个星期后,该病毒又攻击了SPAN网(SpAN网是美国国家航空航天管理局使用的空间物理分析网络),在其后的数小时内,又有300台VAX机受到感染。""
潜伏性和可激发性:网络病毒与单机病毒一样,具有潜伏性和可激发性。在一定的环境下受到外界因素刺激,便能活跃起来,这就是病毒的激活。激活的本质是一种条件控制,此条件是多样化的,可以是内部时钟、系统日期和用户名你,也可以是在网络中进行的一次通信。一个病毒程序可以按照病毒设计者的预定要求,在某个服务器或客户机上激活并向各网络用户发起攻击。
针对性强:网络病毒并非一定对网络上所有的计算机都进行感染与攻击, 而是具有某种针对性。例如,有的网络病毒只能感染IBM一PC工作地, 有的却只能感染Macin-tosh计算机,有的病毒则专门感染使用Unix操作系统的计算机。
扩散面广:由于网络病毒能通过网络进行传播, 所以其扩散面限大,一台PC机的病毒可以通过网络感染与之相连的众多机器。由网络病毒造成网络瘫痪的损失是难以估计的。一旦网络服务器被感染, 其解毒所需的时间将是单机的几十倍以上。
2.网络病毒的发展趋势:
网络病毒伴随着因特网的发展经历了三个时期:转型期,成长期,成熟期。从脚本语言病毒最早的充满错误,没有任何隐藏措施,发展到目前的嵌入式结合。病毒是越来越复杂,越来越隐蔽,破坏性也越来越大,造成的损失也是传统病毒所不能比的。总的来说近期网络病毒有以下五种趋势:
2.1. 网络病毒技术不断突破。
炫耀技术—直是病毒编写者的根本初衷,病毒制作者主要是为了通过病毒出名,和显示自己高于他人的技术,从而满足其虚荣心,赢得人们的尊重和“崇拜。但现在的病毒作者已和以前的不同了,他们不再以炫耀技术为目的,而是带有明确商业目的,网络上已经形成一条“灰色的产业链”将病毒制作引领为一种产业。正因如此,目前病毒制造者不断追求技术突破,使得木马、病毒的感染率呈爆炸式增长,现在的木马,病毒的绝大部份变化都是围绕此中心展开的。这些病毒直接以经济利益为驱动,对用户信息的安全威胁更大。
2.2. 网络上恶意程序传播方式趋于多样。
恶意程序泛指包括病毒、蠕虫、傀儡程序、木马、后门程序,以及可能导致计算机使者信息外泄的广告、间谍程序等等。随着网络的发展,信息交换和共享的渠道和方式更加多样、便捷,但随之也带来恶意代码传播的多样化。除了通过网上挂马、漏洞攻击、移动存储没备、网络共享、网络下载、即时通讯工具等方式传播以外,近期又出现了通过网络劫持方式进行传播的迹向,这种传播方式对于局域网用户影响尤为明显。过去,黑客通常采用网络劫持的方法进行网络攻击,近期,这种方法被恶意代码所采用,以最近的ARP欺骗为类,局域网中感染恶意代码的系统会向全网发送伪造的ARP欺骗广播,使自身伪装成网关,当局域网中的其他系统访问网页时,感染恶意代码的系统将会冒充网关收到HTTP请求,并根据HTTP访问请求下载网页,送给发出HTTP请求的系统,同时,在网页中植入恶意网址链接或者恶意代码。这样,发出HTTP请求的系统会被恶意代码感染,并且,局域网中的系统很快被恶意代码感染,受到黑客的远程控制。
2.3. 网银木马数量迅猛增长
在经济利益的驱使下网银木马增长迅速,病毒发展正在呈加速上升趋势、网络银行欺诈、盗窃手段可以用层出不穷来形容,而且往往是几种手段交错在一起使用,令网络银行用户防不胜防。目前计算机病毒和木马成为攻击破坏和进行网银盗窃活动的主要工具和手段,对网上银行和网上支付安全造成不良影晌。
2.4. 病毒变种出现快、更新快、自我保护能力强,病毒变种数量成为危害的新标准
由于越来越多的人使用杀毒软件,而且杀
毒软件升级越来越频繁,使得很多病毒诞生不久就可以被有效的清除。因此,病毒制造者利用各种加壳、加密工具为病毒制作变种,改头换面,使得杀毒软件对这些病毒失去了查杀能力。
2.5. 混合型病毒成为了今后病毒发展的主要趋势。
近期病毒功能越来越强大,不仅拥有蠕虫病毒传播速度和破坏能力,而且还具有木马的控制计算机和盗窃重要信息的功能,以“熊猫病毒”为例,在几个月之中感染了数以万计的电脑,进入电脑后疯狂的下载木马病毒,带来了巨大的损失。近期的几个病毒:仇英、艾妮等都是这样的类型。
3.网络防病毒技术和方法
技术的的先进性是网络防病毒产品品质的保证。对付形形色色、变幻莫测的网络病毒最好的办法就是不断发展反病毒技术。在网络防病毒产品中,目前采用的几种重要技术
3.1反黑与反病毒相结合。病毒与黑客在技术和破坏手段上结合得越来越紧密。将杀毒、防毒和反黑客有机地结合起来,已经成为一种趋势。专家认为,在网络防病毒产品中植入网络防火墙技术是完全可能的。有远见的防病毒厂商已经开始在网络防病毒产品中植入文件扫描过滤技术和软件防火墙技术,并将文件扫描过滤的职能选择和防火墙的“防火”职能选择交给用户,用户根据自己的实际需要进行选择,并由防毒系统中的网络防病毒模块完成病毒查杀工作,进而在源头上起到防范病毒的作用。
3.2.从入口拦截病毒。网络安全的威胁多数来自邮件和采用广播形式发送的信函。面对这些威胁,许多专家建议安装代理服务器过滤软件来防止不当信息。目前已有许多厂商正在开发相关软件,直接配置在网络网关上,弹性规范网站内容,过滤不良网站,限制内部浏览。这些技术还可提供内部使用者上网访问网站的情况,并产生图表报告。系统管理者也可以设定个人或部门下载文件的大小。此外,邮件管理技术能够防止邮件经由Internet网关进入内部网络,并可以过滤由内部寄出的内容不当的邮件,避免造成网络带宽的不当占用。从入口处拦截病毒成为未来网络防病毒产品发展的一个重要方向。
3.3.全面解决方案。未来的网络防病毒体系将会从单一设备或单一系统,发展成为一个整体的解决方案,并与网络安全系统有机地融合在一起。同时,用户会要求反病毒厂商能够提供更全面、更大范围的病毒防范,即用户网络中的每一点,无论是服务器、邮件服务器,还是客户端都应该得到保护。这就意味着防火墙、入侵检测等安全产品要与网络防病毒产品进一步整合。这种整合需要解决不同安全产品之间的兼容性问题。这种发展趋势要求厂商既要对查杀病毒技术驾轻就熟,又要掌握防病毒技术以外的其他安全技术。
3.4.客户化定制。客户化定制模式是指网络防病毒产品的最终定型是根据企业网络的特点而专门制订的。对于用户来讲,这种定制的网络防病毒产品带有专用性和针对性,既是一种个性化、跟踪性产品,又是一种服务产品。这种客户化定制体现了网络防病毒正从传统的产品模式向现代服务模式转化。并且大多数网络防病毒厂商不再将一次性卖出反病毒产品作为自己最主要的收入来源,而是通过向用户不断地提供定制服务获得持续利润。
3.5.区域化到国际化。Internet和Intranet快速发展为网络病毒的传播提供了便利条件,也使得以往仅仅限于局域网传播的本地病毒迅速传播到全球网络环境中。过去常常需要经过数周甚至数月才可能在国内流行起来的国外“病毒”,现在只需要一二天,甚至更短的时间,就能传遍全国。这就促使网络防病毒产品要从技术上由区域化向国际化转化。过去,国内有的病毒,国外不一定有;国外有的病毒,在国内也不一定能够流行起来。这种特殊的小环境,造就一批“具有中国特色”的杀病毒产品,如今病毒发作日益与国际同步,国内的网络防病毒技术也需要与国际同步。技术的国际化不仅是反映在网络防病毒产品的杀毒能力和反应速度方面,同时也意味着要吸取国外网络防病毒产品的服务模式。
4.结束语:
一旦在网络上发现病毒,应该尽快地加以清除,以免网络病毒扩散给系统带来更大的损失,具体方法为:立即用broadcast命令通知包括系统管理员在内的所有用户退网,关闭文件服务器。用干净的系统盘启动系统管理员工作站,并及时地清除本机工作站中含有的病毒;用干净的系统盘启动文件服务器,系统管理员登录后,使用Disable login禁止其他用户登录;用防病毒软件扫描服务器上所有卷的文件,恢复和删除被感染文件,重新安装被病毒感染而删除的文件;对在已感染病毒网络上存取过的软盘、移动硬盘等进行杀毒;在确信网络病毒被全部彻底清除后,重新启动网络各工作站。
参考文献:
[1] 张瑾 计算机网络病毒方法浅谈 信息技术 2008(28)
[2] 傅建明 彭国军,张焕国.计算机病毒分析与对抗 北京:清华大学出版社2004.