計算機病毒檢視原始碼討論檢視歷史
| 計算機病毒 |
電腦病毒(Computer Virus)是編制者在計算機程序中插入的破壞計算機功能或者數據的代碼,能影響計算機使用,能自我複製的一組計算機指令或者程序代碼。
電腦病毒具有傳播性、隱蔽性、感染性等特點。其生命周期:開發期→傳染期→潛伏期→發作期→發現期→消化期→消亡期。
聲明
作為一名醫學工作者再次聲明 「病毒」與計算機病毒不是同義詞,「計算機病毒」只是用生物「病毒」作比喻,請在百科中完善病毒詞條的相關內容分布,並讓使用者在搜索時能獲得全面信息。
計算機病毒(Computer Virus)在《中華人民共和國計算機信息系統安全保護條例》中被明確定義,病毒指「編制者在計算機程序中插入的破壞計算機功能或者破壞數據,影響計算機使用並且能夠自我複製的一組計算機指令或者程序代碼」。與醫學上的「病毒」不同,計算機病毒不是天然存在的,是某些人利用計算機軟件和硬件所固有的脆弱性編制的一組指令集或程序代碼。它能通過某種途徑潛伏在計算機的存儲介質(或程序)里,當達到某種條件時即被激活,通過修改其他程序的方法將自己的精確拷貝或者可能演化的形式放入其他程序中。從而感染其他程序,對計算機資源進行破壞,所謂的病毒就是人為造成的,對其他用戶的危害性很大。
法律定義
行政法規及規章對病毒的定義能否適用於刑法
國務院頒布的《中華人民共和國計算機信息系統安全保護條例》,以及公安部出台的《計算機病毒防治管理辦法》將計算機病毒均定義如下:計算機病毒,是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數據,影響計算機使用,並能自我複製的一組計算機指令或者程序代碼。這是官方最權威的關於計算機病毒的定義,此定義也被通行的《計算機病毒防治產品評級準則》的國家標準所採納。
定義
計算機病毒(Computer Virus)在《中華人民共和國計算機信息系統安全保護條例》中被明確定義,病毒指「編制者在計算機程序中插入的破壞計算機功能或者破壞數據,影響計算機使用並且能夠自 我複製的一組計算機指令或者程序代碼」。而在一般教科書及通用資料中被定義為:利用計算機軟件與硬件的缺陷或操作系統漏洞,由被感染機內部發出的破壞計算機數據並影響計算機正常工作的一組指令集或程序代碼 。
計算機病毒最早出現在70年代 David Gerrold 科幻小說 When H.A.R.L.I.E. was One.最早科學定義出現在 1983:在Fred Cohen (南加大) 的博士論文 「計算機病毒實驗」「一種能把自己(或經演變)注入其它程序的計算機程序」啟動區病毒,宏(macro)病毒,腳本(script)病毒也是相同概念傳播機制同生物病毒類似.生物病毒是把自己注入細胞之中。
預防
病毒往往會利用計算機操作系統的弱點進行傳播,提高系統的安全性是防病毒的一個重要方面,但完美的系統是不存在的,過於強調提高系統的安全性將使系統多數時間用於病毒檢查,系統失去了可用性、實用性和易用性,另一方面,信息保密的要求讓人們在泄密和抓住病毒之間無法選擇。病毒與反病毒將作為一種技術對抗長期存在,兩種技術都將隨計算機技術的發展而得到長期的發展。
產生
病毒不是來源於突發或偶然的原因。病毒來自於一次偶然的事件,那時的研究人員為了計算出當時互聯網的在線人數,然而它卻自己「繁殖」了起來導致了整個服務器的崩潰和堵塞,有時一次突發的停電和偶然的錯誤,會在計算機的磁盤和內存中產生一些亂碼和隨機指令,但這些代碼是無序和混亂的,病毒則是一種比較完美的,精巧嚴謹的代碼,按照嚴格的秩序組織起來,與所在的系統網絡環境相適應和配合起來,病毒不會通過偶然形成,並且需要有一定的長度,這個基本的長度從概率上來講是不可能通過隨機代碼產生的。現在流行的病毒是由人為故意編寫的,多數病毒可以找到作者和產地信息,從大量的統計分析來看,病毒作者主要情況和目的是:一些天才的程序員為了表現自己和證明自己的能力,出於對上司的不滿,為了好奇,為了報復,為了祝賀和求愛,為了得到控制口令,為了軟件拿不到報酬預留的陷阱等.當然也有因政治,軍事,宗教,民族.專利等方面的需求而專門編寫的,其中也包括一些病毒研究機構和黑客的測試病毒.
出現
計算機病毒的產生是計算機技術和以計算機為核心的社會信息化進程發展到一定階段的必然產物。它產生的背景是:
(1)計算機病毒是計算機犯罪的一種新的衍化形式
計算機病毒是高技術犯罪, 具有瞬時性、動態性和隨機性。不易取證, 風險小破壞大, 從而刺激了犯罪意識和犯罪活動。是某些人惡作劇和報復心態在計算機應用領域的表現;
(2)計算機軟硬件產品的脆弱性是根本的技術原因
計算機是電子產品。數據從輸入、存儲、處理、輸出等環節, 易誤入、篡改、丟失、作假和破壞;程序易被刪除、改寫;計算機軟件設計的手工方式, 效率低下且生產周期長;人們至今沒有辦法事先了解一個程序有沒有錯誤, 只能在運行中發現、修改錯誤, 並不知道還有多少錯誤和缺陷隱藏在其中。這些脆弱性就為病毒的侵入提供了方便。
特點
計算機病毒具有以下幾個特點:
寄生性
計算機病毒寄生在其他程序之中,當執行這個程序時,病毒就起破壞作用,而在未啟動這個程序之前,它是不易被人發覺的。
傳染性
計算機病毒不但本身具有破壞性,更有害的是具有傳染性,一旦病毒被複製或產生變種,其速度之快令人難以預防。傳染性是病毒的基本特徵。在生物界,病毒通過傳染從一個生物體擴散到另一個生物體。在適當的條件下,它可得到大量繁殖,並使被感染的生物體表現出病症甚至死亡。同樣,計算機病毒也會通過各種渠道從已被感染的計算機擴散到未被感染的計算機,在某些情況下造成被感染的計算機工作失常甚至癱瘓。與生物病毒不同的是,計算機病毒是一段人為編制的計算機程序代碼,這段程序代碼一旦進入計算機並得以執行,它就會搜尋其他符合其傳染條件的程序或存儲介質,確定目標後再將自身代碼插入其中,達到自我繁殖的目的。只要一台計算機染毒,如不及時處理,那麼病毒會在這台電腦上迅速擴散,計算機病毒可通過各種可能的渠道,如軟盤、計算機網絡去傳染其他的計算機。當您在一台機器上發現了病毒時,往往曾在這台計算機上用過的軟盤已感染上了病毒,而與這台機器相聯網的其他計算機也許也被該病毒染上了。是否具有傳染性是判別一個程序是否為計算機病毒的最重要條件。
潛伏性
有些病毒像定時炸彈一樣,讓它什麼時間發作是預先設計好的。比如黑色星期五病毒,不到預定時間一點都覺察不出來,等到條件具備的時候一下子就爆炸開來,對系統進行破壞。一個編制精巧的計算機病毒程序,進入系統之後一般不會馬上發作,因此病毒可以靜靜地躲在磁盤或磁帶里呆上幾天,甚至幾年,一旦時機成熟,得到運行機會,就又要四處繁殖、擴散,繼續為害。潛伏性的第二種表現是指,計算機病毒的內部往往有一種觸發機制,不滿足觸發條件時,計算機病毒除了傳染外不做什麼破壞。觸發條件一旦得到滿足,有的在屏幕上顯示信息、圖形或特殊標識,有的則執行破壞系統的操作,如格式化磁盤、刪除磁盤文件、對數據文件做加密、封鎖鍵盤以及使系統死鎖等。
隱蔽性
計算機病毒具有很強的隱蔽性,有的可以通過病毒軟件檢查出來,有的根本就查不出來,有的時隱時現、變化無常,這類病毒處理起來通常很困難。
破壞性
計算機中毒後,可能會導致正常的程序無法運行,把計算機內的文件刪除或受到不同程度的損壞 。通常表現為:增、刪、改、移。
可觸發性
病毒因某個事件或數值的出現,誘使病毒實施感染或進行攻擊的特性稱為可觸發性。為了隱蔽自己,病毒必須潛伏,少做動作。如果完全不動,一直潛伏的話,病毒既不能感染也不能進行破壞,便失去了殺傷力。病毒既要隱蔽又要維持殺傷力,它必須具有可觸發性。病毒的觸發機制就是用來控制感染和破壞動作的頻率的。病毒具有預定的觸發條件,這些條件可能是時間、日期、文件類型或某些特定數據等。病毒運行時,觸發機制檢查預定條件是否滿足,如果滿足,啟動感染或破壞動作,使病毒進行感染或攻擊;如果不滿足,使病毒繼續潛伏。
分類
前言
根據多年對計算機病毒的研究,按照科學的、系統的、嚴密的方法,計算機病毒可分類如下:按照計算機病毒屬性的方法進行分類,計算機病毒可以根據下面的屬性進行分類:
存在的媒體
根據病毒存在的媒體,病毒可以劃分為網絡病毒,文件病毒,引導型病毒。網絡病毒通過計算機網絡傳播感染網絡中的可執行文件,文件病毒感染計算機中的文件(如:COM,EXE,DOC等),引導型病毒感染啟動扇區(Boot)和硬盤的系統引導扇區(MBR),還有這三種情況的混合型,例如:多型病毒(文件和引導型)感染文件和引導扇區兩種目標,這樣的病毒通常都具有複雜的算法,它們使用非常規的辦法侵入系統,同時使用了加密和變形算法。
傳染的方法
根據病毒傳染的方法可分為駐留型病毒和非駐留型病毒,駐留型病毒感染計算機後,把自身的內存駐留部分放在內存(RAM)中,這一部分程序掛接系統調用併合併到操作系統中去,他處於激活狀態,一直到關機或重新啟動.非駐留型病毒在得到機會激活時並不感染計算機內存,一些病毒在內存中留有小部分,但是並不通過這一部分進行傳染,這類病毒也被劃分為非駐留型病毒。
破壞的能力
無害型:除了傳染時減少磁盤的可用空間外,對系統沒有其它影響。
無危險型:這類病毒僅僅是減少內存、顯示圖像、發出聲音及同類音響。
危險型:這類病毒在計算機系統操作中造成嚴重的錯誤。
非常危險型:這類病毒刪除程序、破壞數據、清除系統內存區和操作系統中重要的信息。這些病毒對系統造成的危害,並不是本身的算法中存在危險的調用,而是當它們傳染時會引起無法預料的和災難性的破壞。由病毒引起其它的程序產生的錯誤也會破壞文件和扇區,這些病毒也按照他們引起的破壞能力劃分。一些現在的無害型病毒也可能會對新版的DOS、Windows和其它操作系統造成破壞。例如:在早期的病毒中,有一個「Denzuk」病毒在360K磁盤上很好的工作,不會造成任何破壞,但是在後來的高密度軟盤上卻能引起大量的數據丟失。
病毒的算法
伴隨型病毒,這一類病毒並不改變文件本身,它們根據算法產生EXE文件的伴隨體,具有同樣的名字和不同的擴展名(COM),例如:XCOPY.EXE的伴隨體是XCOPY-COM。病毒把自身寫入COM文件並不改變EXE文件,當DOS加載文件時,伴隨體優先被執行到,再由伴隨體加載執行原來的EXE文件。
「蠕蟲」型病毒,通過計算機網絡傳播,不改變文件和資料信息,利用網絡從一台機器的內存傳播到其它機器的內存,計算網絡地址,將自身的病毒通過網絡發送。有時它們在系統存在,一般除了內存不占用其它資源。
寄生型病毒除了伴隨和「蠕蟲」型,其它病毒均可稱為寄生型病毒,它們依附在系統的引導扇區或文件中,通過系統的功能進行傳播,按其算法不同可分為:練習型病毒,病毒自身包含錯誤,不能進行很好的傳播,例如一些病毒在調試階段。
詭秘型病毒它們一般不直接修改DOS中斷和扇區數據,而是通過設備技術和文件緩衝區等DOS內部修改,不易看到資源,使用比較高級的技術。利用DOS空閒的數據區進行工作。
變型病毒(又稱幽靈病毒)這一類病毒使用一個複雜的算法,使自己每傳播一份都具有不同的內容和長度。它們一般的作法是一段混有無關指令的解碼算法和被變化過的病毒體組成。
發展
在病毒的發展史上,病毒的出現是有規律的,一般情況下一種新的病毒技術出現後,病毒迅速發展,接着反病毒技術的發展會抑制其流傳。操作系統升級後,病毒也會調整為新的方式,產生新的病毒技術。它可劃分為:
引導階段
1987年,計算機病毒主要是引導型病毒,具有代表性的是「小球」和「石頭」病毒。當時的計算機硬件較少,功能簡單,一般需要通過軟盤啟動後使用.引導型病毒利用軟盤的啟動原理工作,它們修改系統啟動扇區,在計算機啟動時首先取得控制權,減少系統內存,修改磁盤讀寫中斷,影響系統工作效率,在系統存取磁盤時進行傳播;
1989年,引導型病毒發展為可以感染硬盤,典型的代表有「石頭2」;
可執行階段
1989年,可執行文件型病毒出現,它們利用DOS系統加載執行文件的機制工作,代表為「耶路撒冷」,「星期天」病毒,病毒代碼在系統執行文件時取得控制權,修改DOS中斷,在系統調用時進行傳染,並將自己附加在可執行文件中,使文件長度增加。
1990年,發展為複合型病毒,可感染COM和EXE文件。
批次型階段
1992年,伴隨型病毒出現,它們利用DOS加載文件的優先順序進行工作,具有代表性的是「金蟬」病毒,它感染EXE文件時生成一個和EXE同名但擴展名為COM的伴隨體;它感染文件時,改原來的COM文件為同名的EXE文件,再產生一個原名的伴隨體,文件擴展名為COM,這樣,在DOS加載文件時,病毒就取得控制權.這類病毒的特點是不改變原來的文件內容,日期及屬性,解除病毒時只要將其伴隨體刪除即可。在非DOS操作系統中,一些伴隨型病毒利用操作系統的描述語言進行工作,具有典型代表的是「海盜旗」病毒,它在得到執行時,詢問用戶名稱和口令,然後返回一個出錯信息,將自身刪除。批次型病毒是工作在DOS下的和「海盜旗」病毒類似的一類病毒。
多形階段
1994年,隨着匯編語言的發展,實現同一功能可以用不同的方式進行完成,這些方式的組合使一段看似隨機的代碼產生相同的運算結果。幽靈病毒就是利用這個特點,每感染一次就產生不同的代碼。例如「一半」病毒就是產生一段有上億種可能的解碼運算程序,病毒體被隱藏在解碼前的數據中,查解這類病毒就必須能對這段數據進行解碼,加大了查毒的難度。多形型病毒是一種綜合性病毒,它既能感染引導區又能感染程序區,多數具有解碼算法,一種病毒往往要兩段以上的子程序方能解除。
變體機階段
1995年,在匯編語言中,一些數據的運算放在不同的通用寄存器中,可運算出同樣的結果,隨機的插入一些空操作和無關指令,也不影響運算的結果,這樣,一段解碼算法就可以由生成器生成,當生成器的生成結果為病毒時,就產生了這種複雜的「病毒生成器」 ,而變體機就是增加解碼複雜程度的指令生成機制。這一階段的典型代表是「病毒製造機」 VCL,它可以在瞬間製造出成千上萬種不同的病毒,查解時就不能使用傳統的特徵識別法,需要在宏觀上分析指令,解碼後查解病毒。
網絡蠕蟲階段
1995年,隨着網絡的普及,病毒開始利用網絡進行傳播,它們只是以上幾代病毒的改進.在非DOS操作系統中,「蠕蟲」是典型的代表,它不占用除內存以外的任何資源,不修改磁盤文件,利用網絡功能搜索網絡地址,將自身向下一地址進行傳播,有時也在網絡服務器和啟動文件中存在。
視窗階段
1996年,隨着Windows和Windows95的日益普及,利用Windows進行工作的病毒開始發展,它們修改(NE,PE)文件,典型的代表是DS.3873,這類病毒的機制更為複雜,它們利用保護模式和API調用接口工作,解除方法也比較複雜。
宏病毒階段
1996年,隨着Windows Word功能的增強,使用Word宏語言也可以編制病毒,這種病毒使用類Basic語言、編寫容易、感染Word文檔等文件,在Excel和AmiPro出現的相同工作機制的病毒也歸為此類,由於Word文檔格式沒有公開,這類病毒查解比較困難。
互聯網階段
1997年,隨着因特網的發展,各種病毒也開始利用因特網進行傳播,一些攜帶病毒的數據包和郵件越來越多,如果不小心打開了這些郵件,機器就有可能中毒;
郵件炸彈階段
1997年,隨着萬維網(Wold Wide Web)上Java的普及,利用Java語言進行傳播和資料獲取的病毒開始出現,典型的代表是JavaSnake病毒,還有一些利用郵件服務器進行傳播和破壞的病毒,例如Mail-Bomb病毒,它會嚴重影響因特網的效率。
行為
計算機病毒的破壞行為體現了病毒的殺傷能力。病毒破壞行為的激烈程度取決於病毒作者的主觀願望和他所具有的技術能量。數以萬計不斷發展擴張的病毒,其破壞行為千奇百怪,不可能窮舉其破壞行為,而且難以做全面的描述,根據現有的病毒資料可以把病毒的破壞目標和攻擊部位歸納如下: 攻擊系統數據區,攻擊部位包括:硬盤主引尋扇區、Boot扇區、FAT表、文件目錄等。迫使計算機空轉,計算機速度明顯下降。攻擊磁盤,攻擊磁盤數據、不寫盤、寫操作變讀操作、寫盤時丟字節等。 擾亂屏幕顯示,病毒擾亂屏幕顯示的方式很多,可列舉如下:字符跌落、環繞、倒置、顯示前一屏、光標下跌、滾屏、抖動、亂寫、吃字符等。
鍵盤病毒,干擾鍵盤操作,已發現有下述方式:響鈴、封鎖鍵盤、換字、抹掉緩存區字符、重複、輸入紊亂等。 喇叭病毒,許多病毒運行時,會使計算機的喇叭發出響聲。有的病毒作者通過喇叭發出種種聲音,有的病毒作者讓病毒演奏旋律優美的世界名曲,在高雅的曲調中去殺戮人們的信息財富,已發現的喇叭發聲有以下方式:演奏曲子、警笛聲、炸彈噪聲、鳴叫、咔咔聲、嘀嗒聲等。 攻擊CMOS , 在機器的CMOS區中,保存着系統的重要數據,例如系統時鐘、磁盤類型、內存容量等,並具有校驗和。有的病毒激活時,能夠對CMOS區進行寫入動作,破壞系統CMOS中的數據。 干擾打印機,典型現象為:假報警、間斷性打印、更換字符等。
危害
計算機資源的損失和破壞,不但會造成資源和財富的巨大浪費,而且有可能造成社會性的災難,隨着信息化社會的發展,計算機病毒的威脅日益嚴重,反病毒的任務也更加艱巨了。1988年11月2日下午5時1分59秒,美國康奈爾大學的計算機科學系研究生,23歲的莫里斯(Morris)將其編寫的蠕蟲程序輸入計算機網絡,致使這個擁有數萬台計算機的網絡被堵塞。這件事就像是計算機界的一次大地震,引起了巨大反響,震驚全世界,引起了人們對計算機病毒的恐慌,也使更多的計算機專家重視和致力於計算機病毒研究。1988年下半年,中國在統計局系統首次發現了「小球」病毒,它對統計系統影響極大,此後由計算機病毒發作而引起的「病毒事件」接連不斷,前一段時間發現的CIH、美麗莎等病毒更是給社會造成了很大損失。
症狀
1.計算機系統運行速度減慢。
2.計算機系統經常無故發生死機。
3.計算機系統中的文件長度發生變化。
4.計算機存儲的容量異常減少。
5.系統引導速度減慢。
6.丟失文件或文件損壞。
7.計算機屏幕上出現異常顯示。
8.計算機系統的蜂鳴器出現異常聲響。
9.磁盤卷標發生變化。
10.系統不識別硬盤。
11.對存儲系統異常訪問。
12.鍵盤輸入異常。
13.文件的日期、時間、屬性等發生變化。
14.文件無法正確讀取、複製或打開。
15.命令執行出現錯誤。
16.虛假報警。
17.換當前盤。有些病毒會將當前盤切換到C盤。
18.時鐘倒轉。有些病毒會命名系統時間倒轉,逆向計時。
19.WINDOWS操作系統無故頻繁出現錯誤。
20.系統異常重新啟動。
21.一些外部設備工作異常。
22.異常要求用戶輸入密碼。
23.WORD或EXCEL提示執行「宏」。
24.使不應駐留內存的程序駐留內存。
檢查
如何檢查筆記本是否中了病毒?以下就是?檢查步驟:
一、進程
首先排查的就是進程了,方法簡單,開機後,什麼都不要啟動!
第一步:直接打開任務管理器,查看有沒有可疑的進程,不認識的進程可以Google或者百度一下。
第二步:打開冰刃等軟件,先查看有沒有隱藏進程(冰刃中以紅色標出),然後查看系統進程的路徑是否正確。
第三步:如果進程全部正常,則利用Wsyscheck等工具,查看是否有可疑的線程注入到正常進程中。
二、自啟動項目
進程排查完畢,如果沒有發現異常,則開始排查啟動項。
第一步:用msconfig察看是否有可疑的服務,開始,運行,輸入「msconfig」,確定,切換到服務選項卡,勾選「隱藏所有Microsoft服務」複選框,然後逐一確認剩下的服務是否正常(可以憑經驗識別,也可以利用搜索引擎)。
第二步:用msconfig察看是否有可疑的自啟動項,切換到「啟動」選項卡,逐一排查就可以了。
第三步,用Autoruns等,查看更詳細的啟動項信息(包括服務、驅動和自啟動項、IEBHO等信息)。
三、網絡連接
ADSL用戶,在這個時候可以進行虛擬撥號,連接到Internet了。
然後直接用冰刃的網絡連接查看,是否有可疑的連接,對於IP地址
如果發現異常,不要着急,關掉系統中可能使用網絡的程序(如迅雷等下載軟件、殺毒軟件的自動更新程序、IE瀏覽器等),再次查看網絡連接信息。
四、安全模式
重啟,直接進入安全模式,如果無法進入,並且出現藍屏等現象,則應該引起警惕,可能是病毒入侵的後遺症,也可能病毒還沒有清除!
五、映像劫持
打開註冊表編輯器,定位到HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows NT Current Version Image File Execution Opti,查看有沒有可疑的映像劫持項目,如果發現可疑項,很可能已經中毒。
六、CPU時間
如果開機以後,系統運行緩慢,還可以用CPU時間做參考,找到可疑進程,方法如下:
打開任務管理器,切換到進程選項卡,在菜單中點「查看」,「選擇列」,勾選「CPU時間」,然後確定,單擊CPU時間的標題,進行排序,尋找除了System Idle Process和SYSTEM以外,CPU時間較大的進程,這個進程需要引起一定的警惕。
這些辦法足以應付常見的病毒和木馬了。
方式
很多時候大家已經用殺毒軟件查出了自己的機子中了例如Backdoor.Rmt Bomb.12 、Trojan.Win32.Send IP.15 等等這些一串英文還帶數字的病毒名,這時有些人就蒙了,那麼長一串的名字,我怎麼知道是什麼病毒啊?
其實只要我們掌握一些病毒的命名規則,我們就能通過殺毒軟件的報告中出現的病毒名來判斷該病毒的一些共有的特性了:一般格式為:<病毒前綴>.<病毒名>.<病毒後綴>
病毒前綴是指一個病毒的種類,他是用來區別病毒的種族分類的。不同的種類的病毒,其前綴也是不同的。比如我們常見的木馬病毒的前綴 Trojan ,蠕蟲病毒的前綴是 Worm 等等還有其他的。
病毒名是指一個病毒的家族特徵,是用來區別和標識病毒家族的,如以前著名的CIH病毒的家族名都是統一的「 CIH 」,振盪波蠕蟲病毒的家族名是「 Sasser 」。
病毒後綴是指一個病毒的變種特徵,是用來區別具體某個家族病毒的某個變種的。一般都採用英文中的26個字母來表示,如 Worm.Sasser.b 就是指 振盪波蠕蟲病毒的變種B,因此一般稱為 「振
盪波B變種」或者「振盪波變種B」。如果該病毒變種非常多,可以採用數字與字母混合表示變種標識。
主名稱
病毒的主名稱是由分析員根據病毒體的特徵字符串、特定行為或者所使用的編譯平台來定的,如果無法確定則可以用字符串」Agent」來代替主名稱,小於10k大小的文件可以命名為「Samll」。
版本信息
版本信息只允許為數字,對於版本信息不明確的不加版本信息。
主名稱變種號
如果病毒的主行為類型、行為類型、宿主文件類型、主名稱均相同,則認為是同一家族的病毒,這時需要變種號來區分不同的病毒記錄。如果一位版本號不夠用則最多可以擴展3位,並且都均為小寫字母a—z,如:aa、ab、aaa、aab以此類推。由系統自動計算,不需要人工輸入或選擇。
附屬名稱
病毒所使用的有輔助功能的可運行的文件,通常也作為病毒添加到病毒庫中,這種類型的病毒記錄需要附屬名稱來與病毒主體的病毒記錄進行區分。附屬名稱有以下幾種:
Client 說明:後門程序的控制端
KEY_HOOK 說明:用於掛接鍵盤的模塊
API_HOOK 說明:用於掛接API的模塊
Install 說明:用於安裝病毒的模塊
Dll 說明:文件為動態庫,並且包含多種功能
(空) 說明:沒有附屬名稱,這條記錄是病毒主體記錄
附屬名稱變種號
如果病毒的主行為類型、行為類型、宿主文件類型、主名稱、主名稱變種號、附屬名稱均相同,則認為是同一家族的病毒,這時需要變種號來區分不同的病毒記錄。變種號為不寫字母a—z,如果一位版本號不夠用則最多可以擴展3位,如:aa、ab、aaa、aab以此類推。由系統自動計算,不需要人工輸入或選擇。
病毒長度
病毒長度字段只用於主行為類型為感染型(Virus)的病毒,字段的值為數字。字段值為0,表示病毒長度可變。
途徑
計算機病毒之所以稱之為病毒是因為其具有傳染性的本質。傳統渠道通常有以下幾種:
(1)通過軟盤
通過使用外界被感染的軟盤, 例如, 不同渠道來的系統盤、來歷不明的軟件、遊戲盤等是最普遍的傳染途徑。由於使用帶有病毒的軟盤, 使機器感染病毒發病, 並傳染給未被感染的「乾淨」的軟盤。大量的軟盤交換, 合法或非法的程序拷貝, 不加控制地隨便在機器上使用各種軟件造成了病毒感染、泛濫蔓延的溫床。
(2)通過硬盤
通過硬盤傳染也是重要的渠道, 由於帶有病毒機器移到其它地方使用、維修等, 將乾淨的軟盤傳染並再擴散。
(3)通過光盤
因為光盤容量大,存儲了海量的可執行文件,大量的病毒就有可能藏身於光盤,對只讀式光盤,不能進行寫操作,因此光盤上的病毒不能清除。以謀利為目的非法盜版軟件的製作過程中,不可能為病毒防護擔負專門責任,也決不會有真正可靠可行的技術保障避免病毒的傳入、傳染、流行和擴散。當前,盜版光盤的泛濫給病毒的傳播帶來了很大的便利。
(4)通過網絡
這種傳染擴散極快, 能在很短時間內傳遍網絡上的機器。
隨着Internet的風靡,給病毒的傳播又增加了新的途徑,它的發展使病毒可能成為災難,病毒的傳播更迅速,反病毒的任務更加艱巨。Internet帶來兩種不同的安全威脅,一種威脅來自文件下載,這些被瀏覽的或是被下載的文件可能存在病毒。另一種威脅來自電子郵件。大多數Internet郵件系統提供了在網絡間傳送附帶格式化文檔郵件的功能,因此,遭受病毒的文檔或文件就可能通過網關和郵件服務器湧入企業網絡。網絡使用的簡易性和開放性使得這種威脅越來越嚴重。
傳染
計算機病毒的傳染分兩種。一種是在一定條件下方可進行傳染, 即條件傳染。另一種是對一種傳染對象的反覆傳染即無條件傳染。
從蔓延傳播病毒來看所謂條件傳染, 是指一些病毒在傳染過程中, 在被傳染的系統中的特定位置上打上自己特有的示志。這一病毒在再次攻擊這一系統時, 發現有自己的標誌則不再進行傳染, 如果是一個新的系統或軟件, 首先讀特定位置的值, 並進行判斷, 如果發現讀出的值與自己標識不一致, 則對這一系統或應用程序, 或數據盤進行傳染, 這是一種情況;另一種情況, 有的病毒通過對文件的類型來判斷是否進行傳染, 如黑色星期五病毒只感染.COM或.EXE文件等等;還有一種情況有的病毒是以計算機系統的某些設備為判斷條件來決定是否感染。例如大麻病毒可以感染硬盤, 又可以感染軟盤, 但對B驅動器的軟盤進行讀寫操作時不傳染。但我們也發現有的病毒對傳染對象反覆傳染。例如黑色星期五病毒只要發現.EXE文件就進行一次傳染, 再運行再進行傳染反覆進行下去。
可見有條件時病毒能傳染, 無條件時病毒也可以進行傳染。
過程
在系統運行時, 病毒通過病毒載體即系統的外存儲器進入系統的內存儲器, 常駐內存。該病毒在系統內存中監視系統的運行, 當它發現有攻擊的目標存在並滿足條件時, 便從內存中將自身存入被攻擊的目標, 從而將病毒進行傳播。而病毒利用系統INT 13H讀寫磁盤的中斷又將其寫入系統的外存儲器軟盤或硬盤中, 再感染其他系統。
可執行文件感染病毒後又怎樣感染新的可執行文件?
可執行文件.COM或.EXE感染上了病毒, 例如黑色星期五病毒, 它駐入內存的條件是在執行被傳染的文件時進入內存的。一旦進入內存, 便開始監視系統的運行。當它發現被傳染的目標時, 進行如下操作:
(1)首先對運行的可執行文件特定地址的標識位信息進行判斷是否已感染了病毒;
(2)當條件滿足, 利用INT 13H將病毒鏈接到可執行文件的首部或尾部或中間, 並存大磁盤中;
(3)完成傳染後, 繼續監視系統的運行, 試圖尋找新的攻擊目標。
操作系統型病毒是怎樣進行傳染的?
正常的PC DOS啟動過程是:
(1)加電開機後進入系統的檢測程序並執行該程序對系統的基本設備進行檢測;
(2)檢測正常後從系統盤0面0道1扇區即邏輯0扇區讀入Boot引導程序到內存的0000: 7C00處;
(3)轉入Boot執行;
(4)Boot判斷是否為系統盤, 如果不是系統盤則提示;
non-system disk or disk error
Replace and strike any key when ready
否則, 讀入IBM BIO-COM和IBM DOS-COM兩個隱含文件;
(5)執行IBM BIOCOM和IBM DOS-COM兩個隱含文件, 將COMMAND-COM裝入內存;
(6)系統正常運行, DOS啟動成功。
如果系統盤已感染了病毒, PC DOS的啟動將是另一番景象, 其過程為:
(1)將Boot區中病毒代碼首先讀入內存的0000: 7C00處;
(2)病毒將自身全部代碼讀入內存的某一安全地區、常駐內存, 監視系統的運行;
(3)修改INT 13H中斷服務處理程序的入口地址, 使之指向病毒控制模塊並執行之。因為任何一種病毒要感染軟盤或者硬盤, 都離不開對磁盤的讀寫操作, 修改INT 13H中斷服務程序的入口地址是一項少不了的操作;
(4)病毒程序全部被讀入內存後才讀入正常的Boot內容到內存的0000: 7C00處, 進行正常的啟動過程;
(5)病毒程序伺機等待隨時準備感染新的系統盤或非系統盤。
如果發現有可攻擊的對象, 病毒要進行下列的工作:
(1)將目標盤的引導扇區讀入內存, 對該盤進行判別是否傳染了病毒;
(2)當滿足傳染條件時, 則將病毒的全部或者一部分寫入Boot區, 把正常的磁盤的引導區程序寫入磁盤特寫位置;
(3)返回正常的INT 13H中斷服務處理程序, 完成了對目標盤的傳染。
操作系統型病毒對非系統盤感染病毒後最簡單的處理方法是什麼?
因為操作系統型病毒只有在系統引導時才進入內存, 開始活動, 對非系統盤感染病毒後, 不從它上面引導系統, 則病毒不會進入內存。這時對已感染的非系統盤消毒最簡單的方法是將盤上有用的文件拷貝出來, 然後將帶毒盤重新格式化即可。
種類
系統病毒的前綴為:Win32、PE、Win95、W32、W95等。這些病毒的一般共有的特性是可以感染windows操作系統的 *.exe 和 *.dll 文件,並通過這些文件進行傳播。如CIH病毒。
蠕蟲病毒
蠕蟲病毒的前綴是:Worm。這種病毒的共有特性是通過網絡或者系統漏洞進行傳播,很大部分的蠕蟲病毒都有向外發送帶毒郵件,阻塞網絡的特性。比如衝擊波(阻塞網絡),小郵差(髮帶毒郵件) 等。
黑客病毒
木馬病毒其前綴是:Trojan,黑客病毒前綴名一般為 Hack 。木馬病毒的共有特性是通過網絡或者系統漏洞進入用戶的系統並隱藏,然後向外界泄露用戶的信息,而黑客病毒則有一個可視的界面,能對用戶的電腦進行遠程控制。木馬、黑客病毒往往是成對出現的,即木馬病毒負責侵入用戶的電腦,而黑客病毒則會通過該木馬病毒來進行控制。現在這兩種類型都越來越趨向於整合了。一般的木馬如QQ消息尾巴木馬 Trojan.QQ3344 ,還有大家可能遇見比較多的針對網絡遊戲的木馬病毒如 Trojan.LMir.PSW.60 。這裡補充一點,病毒名中有PSW或者什麼PWD之類的一般都表示這個病毒有盜取密碼的功能(這些字母一般都為「密碼」的英文「password」的縮寫)一些黑客程序如:網絡梟雄(Hack.Nether.Client)等。
腳本病毒
腳本病毒的前綴是:Script。腳本病毒的共有特性是使用腳本語言編寫,通過網頁進行的傳播的病毒,如紅色代碼(Script.Redlof)。腳本病毒還會有如下前綴:VBS、JS(表明是何種腳本編寫的),如歡樂時光(VBS.Happytime)、十四日(Js.Fortnight.c.s)等。
宏病毒
其實宏病毒是也是腳本病毒的一種,由於它的特殊性,因此在這裡單獨算成一類。宏病毒的前綴是:Macro,第二前綴是:Word、Word97、Excel、Excel97(也許還有別的)其中之一。凡是只感染WORD97及以前版本WORD文檔的病毒採用Word97作為第二前綴,格式是:Macro.Word97;凡是只感染WORD97以後版本WORD文檔的病毒採用Word做為第二前綴,格式是:Macro.Word;凡是只感染EXCEL97及以前版本EXCEL文檔的病毒採用Excel97做為第二前綴,格式是:Macro.Excel97;凡是只感染EXCEL97以後版本EXCEL文檔的病毒採用Excel做為第二前綴,格式是:Macro.Excel,以此類推。該類病毒的共有特性是能感染OFFICE系列文檔,然後通過OFFICE通用模板進行傳播,如:著名的美麗莎(Macro.Melissa)。
後門病毒
後門病毒的前綴是:Backdoor。該類病毒的共有特性是通過網絡傳播,給系統開後門,給用戶電腦帶來安全隱患。
種植程序病毒
這類病毒的共有特性是運行時會從體內釋放出一個或幾個新的病毒到系統目錄下,由釋放出來的新病毒產生破壞。如:冰河播種者(Dropper.BingHe2.2C)、MSN射手(Dropper.Worm.Smibag)等。
破壞性程序病毒
破壞性程序病毒的前綴是:Harm。這類病毒的共有特性是本身具有好看的圖標來誘惑用戶點擊,當用戶點擊這類病毒時,病毒便會直接對用戶計算機產生破壞。如:格式化C盤(Harm.formatC.f)、殺手命令(Harm.Command.Killer)等。
玩笑病毒
玩笑病毒的前綴是:Joke。也稱惡作劇病毒。這類病毒的共有特性是本身具有好看的圖標來誘惑用戶點擊,當用戶點擊這類病毒時,病毒會做出各種破壞操作來嚇唬用戶,其實病毒並沒有對用戶電腦進行任何破壞。如:女鬼(Joke.Girl ghost)病毒。
捆綁機病毒
捆綁機病毒的前綴是:Binder。這類病毒的共有特性是病毒作者會使用特定的捆綁程序將病毒與一些應用程序如QQ、IE捆綁起來,表面上看是一個正常的文件,當用戶運行這些捆綁病毒時,會表面上運行這些應用程序,然後隱藏運行捆綁在一起的病毒,從而給用戶造成危害。如:捆綁QQ(Binder.QQPass.QQBin)、系統殺手(Binder.killsys)等。
以上為比較常見的病毒前綴,有時候我們還會看到一些其他的,但比較少見,這裡簡單提一下:
DoS:會針對某台主機或者服務器進行DoS攻擊;
Exploit:會自動通過溢出對方或者自己的系統漏洞來傳播自身,或者他本身就是一個用於Hacking的溢出工具;
HackTool:黑客工具,也許本身並不破壞你的機子,但是會被別人加以利用來用你做替身去破壞別人。
你可以在查出某個病毒以後通過以上所說的方法來初步判斷所中病毒的基本情況,達到知己知彼的效果。在殺毒無法自動查殺,打算採用手工方式的時候這些信息會給你很大的幫助
相關
Backdoor,危害級別:1,
說明: 中文名稱—「後門」, 是指在用戶不知道也不允許的情況下,在被感染的系統上以隱蔽的方式運行可以對被感染的系統進行遠程控制,而且用戶無法通過正常的方法禁止其運行。「後門」其實是木馬的一種特例,它們之間的區別在於「後門」可以對被感染的系統進行遠程控制(如:文件管理、進程控制等)。
Worm,危害級別:2,
說明: 中文名稱—「蠕蟲」,是指利用系統的漏洞、外發郵件、共享目錄、可傳輸文件的軟件(如:MSN、OICQ、IRC等)、可移動存儲介質(如:U盤、軟盤),這些方式傳播自己的病毒。這種類型的病毒其子型行為類型用於表示病毒所使用的傳播方式。
Mail,危害級別:1說明:通過郵件傳播
IM,危害級別:2,說明:通過某個不明確的載體或多個明確的載體傳播自己
MSN,危害級別:3,說明:通過MSN傳播
QQ,危害級別:4,說明:通過OICQ傳播
ICQ危害級別:5,說明:通過ICQ傳播
P2P,危害級別:6,說明:通過P2P軟件傳播
IRC,危害級別:7,說明:通過IRC傳播
其他,說明:不依賴其他軟件進行傳播的傳播方式,如:利用系統漏洞、共享目錄、可移動存儲介質。
Trojan,危害級別:3,說明: 中文名稱—「木馬」,是指在用戶不知道也不允許的情況下,在被感染的系統上以隱蔽的方式運行,而且用戶無法通過正常的方法禁止其運行。這種病毒通常都有利益目的,它的利益目的也就是這種病毒的子行為。
Spy,危害級別:1,說明:竊取用戶信息(如文件等)
PSW,危害級別:2,說明:具有竊取密碼的行為
DL,危害級別:3,說明:下載病毒並運行,判定條款:沒有可調出的任何界面,邏輯功能為:從某網站上下載文件加載或運行.
邏輯條件引發的事件:
事件1、.不能正常下載或下載的文件不能判定為病毒 ,操作準則:該文件不能符合正常軟件功能組件標識條款的,確定為:Trojan.DL
事件2.下載的文件是病毒,操作準則: 下載的文件是病毒,確定為: Trojan.DL
IMMSG,危害級別:4,說明:通過某個不明確的載體或多個明確的載體傳播即時消息(這一行為與蠕蟲的傳播行為不同,蠕蟲是傳播病毒自己,木馬僅僅是傳播消息)
MSNMSG,危害級別:5,說明:通過MSN傳播即時消息
QQMSG,危害級別:6,說明:通過OICQ傳播即時消息
ICQMSG,危害級別:7,說明:通過ICQ傳播即時消息
UCMSG,危害級別:8,說明:通過UC傳播即時消息
Proxy,危害級別:9,說明:將被感染的計算機作為代理服務器
Clicker,危害級別:10,說明:點擊指定的網頁 ,判定條款:沒有可調出的任何界面,邏輯功能為:點擊某網頁。
操作準則:該文件不符合正常軟件功能組件標識條款的,確定為:Trojan.Clicker。
(該文件符合正常軟件功能組件標識條款,就參考流氓軟件判定規則進行流氓軟件判定)
Dialer,危害級別:12,說明:通過撥號來騙取Money的程序 ,注意:無法描述其利益目的但又符合木馬病毒的基本特徵,則不用具體的子行為進行描述
AOL、Notifier,按照原來病毒名命名保留。
Virus,危害級別:4,說明:中文名稱—「感染型病毒」,是指將病毒代碼附加到被感染的宿主文件(如:PE文件、DOS下的COM文件、VBS文件、具有可運行宏的文件)中,使病毒代碼在被感染宿主文件運行時取得運行權的病毒。
Harm,危害級別:5,說明:中文名稱—「破壞性程序」,是指那些不會傳播也不感染,運行後直接破壞本地計算機(如:格式化硬盤、大量刪除文件等)導致本地計算機無法正常使用的程序。
Dropper,危害級別:6,說明:中文名稱—「釋放病毒的程序」,是指不屬於正常的安裝或自解壓程序,並且運行後釋放病毒並將它們運行。
判定條款:沒有可調出的任何界面,邏輯功能為:自釋放文件加載或運行。
邏輯條件引發的事件:
事件1:.釋放的文件不是病毒。 操作準則: 釋放的文件和釋放者本身沒邏輯關係並該文件不符合正常軟件功能組件標識條款的,確定為:Droper
事件2:釋放的文件是病毒。 操作準則: 釋放的文件是病毒,確定該文件為:Droper
Hack,危害級別:無 ,說明:中文名稱—「黑客工具」,是指可以在本地計算機通過網絡攻擊其他計算機的工具。
Exploit,漏洞探測攻擊工具
DDoser,拒絕服務攻擊工具
Flooder,洪水攻擊工具 ,注意:不能明確攻擊方式並與黑客相關的軟件,則不用具體的子行為進行描述
Spam,垃圾郵件
Nuker、Sniffer、Spoofer、Anti,說明:免殺的黑客工具
Binder,危害級別:無 ,說明:捆綁病毒的工具
正常軟件功能組件標識條款:被檢查的文件體內有以下信息能標識出該文件是正常軟件的功能組件:文件版本信息,軟件信息(註冊表鍵值、安裝目錄)等。
宿主文件
宿主文件是指病毒所使用的文件類型,有是否顯示的屬性。宿主文件有以下幾種。
JS說明:JavaScript腳本文件
VBS說明:VBScript腳本文件
HTML說明:HTML文件
Java說明:Java的Class文件
COM說明:Dos下的Com文件
EXE說明:Dos下的Exe文件
Boot說明:硬盤或軟盤引導區
Word說明:MS公司的Word文件
Excel說明:MS公司的Excel文件
PE說明:PE文件
WinREG說明:註冊表文件
Ruby說明:一種腳本
Python說明:一種腳本
BAT說明:BAT腳本文件
IRC說明:IRC腳本
事件
1.Elk Cloner(1982年)
它被看作攻擊個人計算機的第一款全球病毒,也是所有令人頭痛的安全問題先驅者。它通過蘋果Apple II軟盤進行傳播。這個病毒被放在一個遊戲磁盤上,可以被使用49次。在第50次使用的時候,它並不運行遊戲,取而代之的是打開一個空白屏幕,並顯示一首短詩。
2.Brain(1986年)
Brain是第一款攻擊運行微軟的受歡迎的操作系統DOS的病毒,可以感染360K軟盤的病毒,該病毒會填充滿軟盤上未用的空間,而導致它不能再被使用。
3.Morris(1988年)
Morris該病毒程序利用了系統存在的弱點進行入侵,Morris設計的最初的目的並不是搞破壞,而是用來測量網絡的大小。但是,由於程序的循環沒有處理好,計算機會不停地執行、複製Morris,最終導致死機。
4.CIH(1998年)
CIH病毒是迄今為止破壞性最嚴重的病毒,也是世界上首例破壞硬件的病毒。它發作時不僅破壞硬盤的引導區和分區表,而且破壞計算機系統BIOS,導致主板損壞。 此病毒是由台灣大學生陳盈豪研製的,據說他研製此病毒的目的是紀念1986年的災難或是讓反病毒軟件難堪。
5.Melissa(1999年)
Melissa是最早通過電子郵件傳播的病毒之一,當用戶打開一封電子郵件的附件,病毒會自動發送到用戶通訊簿中的前50個地址,因此這個病毒在數小時之內傳遍全球。
6.Love bug(2000年)
Love bug也通過電子郵件附近傳播,它利用了人類的本性,把自己偽裝成一封求愛信來欺騙收件人打開。這個病毒以其傳播速度和範圍讓安全專家吃驚。在數小時之內,這個小小的計算機程序征服了全世界範圍之內的計算機系統。
7.「紅色代碼」(2001年)
被認為是史上最昂貴的計算機病毒之一,這個自我複製的惡意代碼「紅色代碼」利用了微軟IIS服務器中的一個漏洞。該蠕蟲病毒具有一個更惡毒的版本,被稱作紅色代碼II。這兩個病毒都除了可以對網站進行修改外,被感染的系統性能還會嚴重下降。
8.「Nimda」(2001年)
尼姆達(Nimda)是歷史上傳播速度最快的病毒之一,在上線之後的22分鐘之後就成為傳播最廣的病毒。
9.「衝擊波」(2003年)
衝擊波病毒的英文名稱是Blaster,還被叫做Lovsan或Lovesan,它利用了微軟軟件中的一個缺陷,對系統端口進行瘋狂攻擊,可以導致系統崩潰。
10.「震盪波」(2004年)
震盪波是又一個利用Windows缺陷的蠕蟲病毒,震盪波可以導致計算機崩潰並不斷重啟。
11.「熊貓燒香」(2007年)
熊貓燒香會使所有程序圖標變成熊貓燒香,並使它們不能應用。
12.「掃蕩波」(2008年)
同衝擊波和震盪波一樣,也是個利用漏洞從網絡入侵的程序。而且正好在黑屏事件,大批用戶關閉自動更新以後,這更加劇了這個病毒的蔓延。這個病毒可以導致被攻擊者的機器被完全控制。
13.「Conficker」(2008年)
Conficker.C病毒原來要在2009年3月進行大量傳播,然後在4月1日實施全球性攻擊,引起全球性災難。不過,這種病毒實際上沒有造成什麼破壞。
14.「木馬下載器」(2009年)
本年度的新病毒,中毒後會產生1000~2000不等的木馬病毒,導致系統崩潰,短短3天變成360安全衛士首殺榜前3名(現在位居榜首)
15.「鬼影病毒」(2010年)
該病毒成功運行後,在進程中、系統啟動加載項里找不到任何異常,同時即使格式化重裝系統,也無法將徹底清除該病毒。猶如「鬼影」一般「陰魂不散」,所以稱為「鬼影」病毒。
16 .「極虎病毒」(2010年)
該病毒類似qvod播放器的圖標。感染極虎之後可能會遭遇的情況:計算機進程中莫名其妙的有ping.exe
和rar.exe進程,並且cpu占用很高,風扇轉的很響很頻繁(手提電腦),並且這兩個進程無法結束。某些文件會出現usp10.dll、lpk.dll文件,殺毒軟件和安全類軟件會被自動關閉,如瑞星、360安全衛士等如果沒有及時升級到最新版本都有可能被停掉。破壞殺毒軟件,系統文件,感染系統文件,讓殺毒軟件無從下手。極虎病毒最大的危害是造成系統文件被篡改,無法使用殺毒軟件進行清理,一旦清理,系統將無法打開和正常運行,同時基於計算機和網絡的帳戶信息可能會被盜,如網絡遊戲帳戶、銀行帳戶、支付帳戶以及重要的電子郵件帳戶等。
17. 磁碟機病毒
又名Dummycom,磁碟機病毒主要通過U盤和局域網ARP攻擊傳播,如果當你無法訪問各個安全軟件站點,或者從安全站點的官網上下載的安裝程序有問題的話,極有可能是已經中了磁碟機病毒「磁碟機」(又名「千足蟲」),病毒感染系統可執行文件,能夠利用多種手段終止殺毒軟件運行,並可導致被感染計算機系統出現藍屏、死機等現象,嚴重危害被感染計算機的系統和數據安全。與其它關閉殺毒軟件的病毒不同的是,該病毒利用了多達六種強制關閉殺毒軟件和干擾用戶查殺的反攻手段,許多自身保護能力不夠強壯的殺毒軟件在病毒面前紛紛被折。病毒在每個磁盤下生成pagefile.exe和Autorun.inf文件,並每隔幾秒檢測文件是否存在,修改註冊表鍵值,破壞「顯示系統文件」功能。每隔一段時間會檢測自己破壞過的顯示文件、安全模式、Ifeo、病毒文件等項,如被修改則重新破壞。病毒執行後,會刪除病毒主體文件。病毒會監控lsass.exe、smss.exe、dnsq.dll文件,如果假設不存在的話則重新生成。當拷貝失敗後,病毒會調用rd /s /q命令刪除原來的文件,再重新寫入。病毒會連接惡意網址下載大量木馬病毒。
該病毒運行後會在系統目錄中COM目錄(默認為c:\windows\system32\com)下生成名為lsass.exe及smss.exe文件。該病毒會感染除windows及program files目錄下所有的EXE格式可執行文件,會造成用戶計算機運算速度緩慢,甚至造成系統藍屏、死機。由於該病毒編寫存在一些問題,可能會造成用戶安裝的軟件被損壞,無法使用。
起源
核心大戰(core war)
早在1949年, 距離第一部商用電腦的出現還有好幾年時, 電腦先驅者德國科學家馮·諾伊曼(John Von Neumann) 在他所提出的一篇論文《複雜自動裝置的理論及組織的進行》中, 就已把病毒程式的藍圖勾勒出來了, 當時絕大部份的電腦專家都無法想像這種會自我繁殖的程式是可能的。只有少數幾個科學家默默地研究馮·諾伊曼所提出的概念。直到十年後, 在美國電話電報公司(AT&T) 的貝爾(Bell)實驗室中,三個年輕的程序員道格拉斯·麥基爾羅伊(H, Douglas McIlroy)、 維克多·維索特斯克(Victor Vysottsky)以及羅伯特.莫里斯(Robert T. Morris),當時三人年紀都只有二十多歲,常在工作後留在實驗室里玩起他們自己創造的電子遊戲,這種電子遊戲叫做「核心大戰(core war)「。
附註: Robert T. Morris就是後來寫了一個Worm病毒把Internet搞的天翻地覆的那個Robert T.Morris Jr.的爸爸,當時大Morris剛好是負責Arpanet網路安全。
核心大戰的玩法如下:雙方各編一組再生程序,輸入同一部電腦中,這兩套程序在電腦的記憶系統內互相追殺,有時它們會設下一些關卡,有時會停下來修理(重新寫)被對方破壞的幾行指令,當它被困時,也可以把自己複製一次,逃離險境。
這個遊戲的特點,在於雙方的程序進入計算機內存後,玩遊戲的人只能看著屏幕上顯示的戰況,而不能做任何更改,一直到某一方的程序被另一方的程序完全「吃掉」為止。
核心大戰是個籠統的名稱,事實上還可細分成好幾種,麥基爾羅伊所寫的叫「達爾文」這包含了「[物競天擇,適者生存」的意思。它的遊戲規則跟以上所描述的最接近,雙方以匯編語言(Assembly Language)各編一組再生程序,叫有機體(organism),這兩個「有機體」在電腦里爭鬥不休,直到一方把另一方殺掉而取代之,便算分出勝負。在比賽時 Morris經常擊敗對手。
另外有個叫爬行者的程序(Creeper),每一次把它讀出時,它便自己複製一個副本。此外,它也會從一部電腦「爬」到另一部與其連網的電腦。很快地電腦中原有資料便被這些爬行者擠掉了。爬行者的唯一生存目地是繁殖。
為了對付「爬行者」,有人便寫出了「收割者(Reaper)」。它的唯一生存目的便是找到爬行者,把它們毀滅掉。當所有爬行者都被收割掉之後,收割者便執行程序中最後一項指令:毀滅自己,從電腦中消失。
「侏儒(Dwarf)」並沒有「達爾文」等程序那樣聰明,卻是個極端危險的傢伙,它在內存系統中邁進,每到第五個地址(address)便把那裡所儲存的東西變為零,使得原來的正常程序停止。
最奇特的就是一個叫「印普(Imp)」的戰爭程式了,它只有一行指令,那就是MOV 01.MOV代表「MOVE」即移動的意思。它把身處的地址中所載的「0」寫(移)到下一個地址中,當印普展開行動之後,電腦中原有的每一行指令都被改為「MOV 01」。換句話說,屏光幕上留下一大堆「MOV 01」。
「雙子星(Germini)」也是個有趣的傢伙,它的作用只有一個:把自己複製,送到下一百個地址後,便拋棄掉「正本」。
從雙子星衍生出一系列的程序「犧牲者(Juggeraut)」把自己複製後送到下十個地址之後,而「大雪人(Bigfoot)」則把正本和複製品之間的地址定為某一個大質數,想抓到大雪人可是非常困難的。此外,還有全錄(Xerox)柏路阿圖研究中心的約翰.索殊(John F.Shoch)所寫的[蠕蟲](Worm),它的目的是要控制侵入的電腦。
1975年,美國科普作家約翰·布魯勒爾(John Brunner)寫了一本名為《震盪波騎士》(Shock Wave Rider)的書,該書第一次描寫了在信息社會中,計算機作為正義和邪惡雙方鬥爭的工具的故事,成為當年最佳暢銷書之一。
1977年夏天,托馬斯·捷·瑞安(Thomas.J.Ryan)的科幻小說《P-1的春天》(The Adolescence of P-1)成為美國的暢銷書,作者在這本書中描寫了一種可以在計算機中互相傳染的病毒,病毒最後控制了7,000台計算機,造成了一場災難。
1983年11月3日,弗雷德·科恩(Fred Cohen)博士研製出一種在運行過程中可以複製自身的破壞性程序,倫·艾德勒曼(Len Adleman)將它命名為計算機病毒(computer viruses),並在每周一次的計算機安全討論會上正式提出,8小時後專家們在VAX11/750計算機系統上運行,第一個病毒實驗成功,一周後又獲准進行5個實驗的演示,從而在實驗上驗證了計算機病毒的存在。
在那些日子裡,由於電腦都沒有聯網,因此並不會出現小莫里斯所引起的病毒瘟疫。如果有某部電腦受到「感染」失去控制,工作人員只需把它關掉便可。但是當電腦網絡逐漸成為社會結構的一部份後,一個自我複製的病毒程序便很可能帶來無窮的禍害了。因此長久以來,懂的玩「核心大戰」遊戲的電腦工作者都嚴守一項不成文的規定:不對大眾公開這些程序的內容。
1983年,這項規定被打破了。科恩.湯普遜(Ken Thompson)是當年一項傑出電腦獎得獎人,在頒獎典禮上,他作了一個演講,不但公開地證實了電腦病毒的存在,而且還告訴所有聽眾怎樣去寫自己的病毒程序。
1984年,《科學美國人》月刊(Scientific American)的專欄作家杜特尼(A. K. Dewdney)在五月號寫了第一篇討論「核心大戰」的文章,並且只要寄上兩塊美金,任何讀者都可以收到他所寫的有關寫程序的綱要,在自己家中的電腦中開闢戰場。
在1985年三月份的《科學美國人》里,杜特尼再次討論「核心大戰」和病毒。在文章的開頭他便說:「當去年五月有關『核心大戰』的文章印出來時,我並沒有想過我所談論的是那麼嚴重的題目」。文中並第一次提到「病毒」這個名稱。他說,意大利的羅勃吐.些魯帝(Roberto Cerruti)和馬高.麼魯顧帝(Marco Morocutti)發明了一種破壞軟件的方法,他們想用病毒而不是蠕蟲,來使得蘋果二號電腦受感染。
Cerruti寫了一封信給杜特尼,信內說:「Marco想寫一個像病毒一樣的程序,可以從一部蘋果電腦傳染到另一部蘋果電腦,可是我們沒法這樣做。這病毒要先使磁盤受到感染,而電腦只是媒介,這樣病毒就可以從一張磁盤傳染到另一張磁盤了。」
1986年初,在巴基斯坦的拉合爾(Lahore),巴錫特(Basit)和阿姆傑德(Amjad)兩兄弟經營着一家IBM-PC機及其兼容機的小商店。他們編寫了Pakistan病毒,即Brain。在一年內流傳到了世界各地。
1988年3月2日,一種蘋果機的病毒發作,這天受感染的蘋果機停止工作,只顯示"向所有蘋果電腦的使用者宣布和平的信息"。以慶祝蘋果機生日。
1988年11月2日,美國六千多台計算機被病毒感染,造成Internet不能正常運行。這是一次非常典型的計算機病毒入侵計算機網絡的事件,迫使美國**立即作出反應,國防部成立了計算機應急行動小組。這次事件中遭受攻擊的包括5個計算機中心和12個地區結點,連接着**、大學、研究所和擁有**合同的250,000台計算機。這次病毒事件,計算機系統直接經濟損失達9600萬美元。這個病毒程序設計者是羅伯特·莫里斯(Robert T.Morris),當年23歲,是在康乃爾大學攻讀學位的研究生。
羅伯特·莫里斯設計的病毒程序利用了系統存在的弱點。正由於羅伯特·莫里斯成了入侵ARPANET網的最大的電子入侵者,而獲准參加康乃爾大學的畢業設計,並獲得哈佛大學Aiken中心超級用戶的特權。但他也因此被判3年緩刑,罰款1萬美元,他還被命令進行400小時的新區服務。
1988年底,在中國的國家統計部門發現的小球病毒是中國的第一次病毒經歷。
網易電子雜誌《網絡時代》關於電腦病毒的出現作如下總結(已略作改動):
第一個計算機病毒發現於1981年,是一個蘋果機病毒,但它不破壞數據。3年後,第一個與IBM PC兼容的DOS病毒出現。它會在硬盤的引導扇區和文件分配表寫入大量垃圾,從而也就破壞了保存於硬盤中的數據。在它之後,更多的病毒便湧現了出來。
直到1987-1988年,病毒仍是一個稀有事物,但這種情形被3個著名的病毒的出現改變了,它們是耶路撒冷,米開朗基羅和醉酒(stoned)。通過媒體的炒作,人們的心理充滿了恐懼,開始到處尋求幫助。在這種氣氛下,開發反病毒軟件的公司如雨後春筍般紛紛冒出,病毒真正成為了計算機領域令人關注的問題。
索非亞成為世界病毒的中心(1989-1992)
在「鐵幕」落下後,歐洲前社會主義國家成為了病毒雲集的地方,其中尤以保加利亞為最。索非亞成為了製造新病毒的肥沃土壤。連製造病毒更有效的工具也出自這裡。
今天(梅麗莎,CIH,EVIL,.....)
新的製造病毒的技術被不斷開發出來,而隨着互聯網及電子郵件的廣泛使用,被病毒感染事件的數目呈直線上升態勢。像美麗莎,CIH等病毒都通過電子郵件附件傳播,如果你雙擊這些附件,它們便立即開始活動。像CIH在爆發時會覆蓋你的BIOS,造成你計算機完全癱瘓。
注意
1. 建立良好的安全習慣
例如:對一些來歷不明的郵件及附件不要打開,不要上一些不太了解的網站、不要執行從 Internet 下載後未經殺毒處理的軟件等,這些必要的習慣會使您的計算機更安全。
2. 關閉或刪除系統中不需要的服務
默認情況下,許多操作系統會安裝一些輔助服務,如 FTP 客戶端、Telnet 和 Web 服務器。這些服務為攻擊者提供了方便,而又對用戶沒有太大用處,如果刪除它們,就能大大減少被攻擊的可能性。
3. 經常升級安全補丁
據統計,有80%的網絡病毒是通過系統安全漏洞進行傳播的,象蠕蟲王、衝擊波、震盪波等,所以我們應該定期到微軟網站去下載最新的安全補丁,以防範未然。
4. 使用複雜的密碼
有許多網絡病毒就是通過猜測簡單密碼的方式攻擊系統的,因此使用複雜的密碼,將會大大提高計算機的安全係數。
5. 迅速隔離受感染的計算機
當您的計算機發現病毒或異常時應立刻斷網,以防止計算機受到更多的感染,或者成為傳播源,再次感染其它計算機。
6. 了解一些病毒知識
這樣就可以及時發現新病毒並採取相應措施,在關鍵時刻使自己的計算機免受病毒破壞。如果能了解一些註冊表知識,就可以定期看一看註冊表的自啟動項是否有可疑鍵值;如果了解一些內存知識,就可以經常看看內存中是否有可疑程序。
7. 最好安裝專業的殺毒軟件進行全面監控
在病毒日益增多的今天,使用殺毒軟件進行防毒,是越來越經濟的選擇,不過用戶在安裝了反病毒軟件之後,應該經常進行升級、將一些主要監控經常打開(如郵件監控)、內存監控等、遇到問題要上報, 這樣才能真正保障計算機的安全。
8. 用戶還應該安裝個人防火牆軟件進行防黑
由於網絡的發展,用戶電腦面臨的黑客攻擊問題也越來越嚴重,許多網絡病毒都採用了黑客的方法來攻擊用戶電腦,因此,用戶還應該安裝個人防火牆軟件,將安全級別設為中、高,這樣才能有效地防止網絡上的黑客攻擊。
處理
一般大範圍傳播的病毒都會讓用戶在重新啟動電腦的時候能夠自動運行病毒,來達到長時間感染計算機並擴大病毒的感染能力。
通常病毒感染計算機第一件事情就是殺掉他們的天敵--安全軟件, 比如卡巴斯基,360安全衛士,NOD32 等等。這樣我們就不能通過使用殺毒軟件的方法來處理已經感染病毒的電腦。那麼我說一下手動殺毒方法。
我們要解決病毒可以首先解決在計算機重啟以後自我啟動。
通常病毒會這樣進行自我啟動
直接自啟動,1.引導扇區 2.驅動 3.服務4.註冊表 。
間接自啟動:印象劫持,autorun.inf文件,HOOK,感染文件。放置一個誘惑圖標讓用戶點擊……
知道上面病毒的啟動原理,不難得出清理方式:首先刪掉註冊表文件中病毒的啟動項。最最常見啟動位置在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] ,刪除所有該子項內的字符串等,只留下cftmon.exe 。 立即按機箱上的重啟鍵,不讓病毒回寫註冊表(正常關機可能會激活病毒回寫進啟動項目,比如「磁碟機」)。如果病毒仍然啟動,就要懷疑有服務,或者驅動。那麼這個時候就需要有一定計算機能力的人,用批處理或者其他的程序同時找到並關閉病毒的服務和刪除註冊表,然後快速關機。驅動一般在系統下很難刪除,所以可以用上面介紹的Xdelete 或者icesword,wsyscheck或者進入DOS,WPE等其他系統進行刪除。
上面我說了通過不讓病毒在重啟電腦以後啟動的 方法刪除病毒,下面我來說一下通過直接刪除病毒文件方法。
在病毒正在運行的系統里,直接刪除病毒文件會很難的。如果在網上找到該病毒機理,進入DOS ,找到所有病毒文件路徑,可以很輕鬆的刪除病毒文件(除了感染型病毒)。我推薦最好用PE(不懂PE的上百科看),用有一個可以啟動電腦的裝PE 的U盤,或者光盤啟動電腦,進入可以進入完全無毒的系統,然後使用綠色版的殺毒軟件(網上有,我試過綠色卡巴和nod32,很好,可以在PE 運行)全盤查殺。殺毒完以後,我們先不要重新啟動電腦,看看到底刪除了什麼,如果有被感染的系統文件刪掉了,注意從相同系統拷貝一個,否則可能不能開機。然後重啟,進系統用其他安全軟件修復系統。
真正我們電腦感染上棘手的病毒,最簡單有效的方法就是重裝系統。如果C盤(系統盤)有重要資料先備份。不能開機,可以進入PE備份。
問: 為什麼我重裝了幾次還是有病毒,是不是這個病毒很厲害?
答: 首先我要說明幾點,一、重裝以後的系統是乾淨的。二、遇到引導性病毒,感染BIOS病毒可能非常小,就像中彩票。
這種情況是由於其他盤仍然有病毒殘留,比如有如果有autorun.inf 類型的病毒,雙擊打開DEF等盤的時候就會啟動病毒,或者病毒感染了其他盤上的文件,你重裝系統以後,運行這個文件的時候,就又啟動病毒。 正確的方法是,找一個高手,或者不要打開除C:(系統盤)以外的任何盤,然後上網或者U盤下載一個殺毒軟件,升級更新以後,全盤殺毒。
【預防】
1.殺毒軟件經常更新,以快速檢測到可能入侵計算機的新病毒或者變種。
2.使用安全監視軟件(和殺毒軟件不同比如360安全衛士,瑞星卡卡)主要防止瀏覽器被異常修改,插入鈎子,安裝不安全惡意的插件。
3.使用防火牆或者殺毒軟件自帶防火牆。
4,關閉電腦自動播放(網上有)並對電腦和移動儲存工具進行常見病毒免疫。
5.定時全盤病毒木馬掃描。
6. 注意網址正確性,避免進入山寨網站。
7.不隨意接受、打開陌生人發來的電子郵件或通過QQ傳遞的文件或網址。
8.使用正版軟件。
9.使用移動存儲器前,最好要先查殺病毒,然後再使用。
下面推薦幾款軟件:
推薦:殺毒軟件,卡巴斯基,NOD32,avast5.0 ,360殺毒
推薦:U盤病毒專殺:AutoGuarder2
推薦:安全軟件:360安全衛士(可以查殺木馬)
推薦:單獨防火牆:天網,comodo,或者殺毒軟件自帶防火牆。
推薦:內網用戶使用antiARP,防範內網ARP欺騙病毒(比如:磁碟機,機械狗)
推薦: 使用超級巡警免疫工具。
推薦:高手使用 SSM(system safety monitor)
介紹
Windows病毒的九大藏身地點
1.點擊 開始-- 程序-- 啟動,看一看裡面有沒有壞傢伙
打開註冊表(開始-- 運行 輸入:regedit,回車),按以下路徑展開註冊表左邊樹狀表
2.HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows\load,觀察一下有沒有可疑程序安家
3.HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit,找找有沒有病毒在這裡申請運行
4.HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
5.HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
6.HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
7.HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup
8.HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
在XP中還有HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEX
9.HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
p.s 這是微軟的漏洞還是微軟故意留下的,不得而知。
打開系統配置實用程序(開始-- 運行 輸入:msconfig,回車)還能檢查System.ini與Win.ini
總之病毒入侵防不勝防,大家還是花點人民幣買殺毒軟件吧
計算機病毒
根據眾多高手的見解,總結如下:
計算機病毒類似於生物病毒,它能把自身依附着在文件上或寄生在存儲媒體裡,能對計算機系統進行各種破壞;同時有獨特的複製能力,能夠自我複製;具有傳染性可以很快地傳播蔓延,當文件被複製或在網絡中從一個用戶傳送到另一個用戶時,它們就隨同文件一起蔓延開來,但又常常難以根除。與生物病毒不同的是幾乎所有的計算機病毒都是人為地製造出來的,是一段可執行代碼,一個程序。一般定義為:計算機病毒是能夠通過某種途徑潛伏在計算機存儲介質(或程序)里, 當達到某種條件時即被激活的具有對計算機資源進行破壞作用的一組程序或指令集合。
解決
使用電腦win7系統瀏覽網頁、下載軟件是經常做也是簡單的事情,這些細節往往最容易導致電腦系統抵禦不住木馬的入侵或者遭遇黑客的攻擊,此時電腦系統中毒我們可以做什麼呢?
第一步,準備一張DOS啟動盤(乾淨的)和DOS下面正常運行的殺軟,然後關機進行冷啟動。第一點DOS啟動盤必須是乾淨的,第二點殺軟中毒後也可能會出現異常情況,因此我們也還需要準備一個能在DOS正常使用的殺軟來操作,或者與原來的殺軟交叉清理。
第二步、中毒後以最快速度備份或者轉移重要文件,防止被木馬持續損壞,建議將它們轉移備份到別的可移動硬盤或者磁盤上,還有一點不要輕易直接關閉計算,因為一旦損壞嚴重極可能再次進入計算機比較麻煩。無論文件是否已經中毒應該先備份,最好標記上,清理完所有病毒再來處理也不晚。
第三步、GHOST的備份文件有時候很有用,可以嘗試恢復一下系統,當然也是很保險的方法,但是必須先保證這個備份的安全性。
第四步、上網如果還在繼續要立刻斷網,尤其注意IE是否經常詢問你進行一些操作,包括運行某些不可知的ActiveX控件等等,千萬不要亂動,最好直接關閉。
兩種上網被入侵特徵:[1]
1,瀏覽惡意代碼的網頁被惡意篡改,或者格式化磁盤重複某些windows指令,甚至最後導致計算機直接癱瘓。
2,潛在木馬或者蠕蟲病毒引誘你進行操作,最後直接將電腦系統中毒的病毒逐步擴散。
應對辦法:斷網是必須的,先避免多重被侵占的可能性,然後先不關閉計算機,繼續進行下一步操作。
第五步、重新恢復win7系統後,一定要修改所有的賬戶密碼,尤其是重要的賬戶密碼,防止被二次侵占丟失重要信息。