09第九章 計算機病毒

第九章計算機病毒

§9.1計算機病毒概述★§9.2病毒的結(jié)構(gòu)與作用機理★§9.3計算機病毒的防范★§9.4幾種常見的計算機病毒§9.1計算機病毒概述9.1.1病毒的概念與特征9.1.2病毒的起源與分類

Return9.1.1病毒的概念與特征1、什么是計算機病毒計算機病毒與醫(yī)學上的“病毒〞不同：它不是天然存在的，是某些人根據(jù)計算機軟、硬件所固有的弱點，而編制出的具有特殊功能的程序。與生物醫(yī)學上的"病毒"在很多方面都很相似，由于這種程序具有傳染和破壞的特征，因此習慣上將這些“具有特殊功能的程序〞稱為"計算機病毒"。從廣義上講，凡能夠引起計算機故障，破壞計算機數(shù)據(jù)的程序統(tǒng)稱為計算機病毒。依據(jù)此定義，諸如邏輯炸彈，蠕蟲等均可稱為計算機病毒。在國內(nèi)，專家和研究者對計算機病毒也做過不盡相同的定義，但一直沒有公認的明確定義。與正常計算機程序的差異：病毒能使自身的代碼強行傳染到一切符合其傳染條件的未受到傳染的程序之上。未經(jīng)授權而執(zhí)行。一般正常的程序是由用戶調(diào)用，再由系統(tǒng)分配資源，完成用戶交給的任務。其目的對用戶是可見的。病毒隱藏在正常程序中，當用戶調(diào)用正常程序時竊取到系統(tǒng)的控制權，先于正常程序執(zhí)行，病毒的動作、目的對用戶是未知的，是未經(jīng)用戶允許的。1994年2月18日，我國正式公布實施了?中華人民共和國計算機信息系統(tǒng)平安保護條例?，在?條例?第二十八條中明確指出：“計算機病毒，是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用，并能自我復制的一組計算機指令或者程序代碼。〞此定義具有法律性和權威性。2、計算機病毒的根本特征1)傳染性。這是病毒的根本特征，是否具有傳染性是判別一個程序是否為計算機病毒的最重要條件。計算機病毒會通過各種渠道從已被感染的計算機擴散到未被感染的計算機(軟盤、光盤、計算機網(wǎng)絡等)。病毒程序代碼一旦進入計算機并得以執(zhí)行，它會搜尋其他符合其傳染條件的程序或存儲介質(zhì)，將自身代碼插入其中，到達自我繁殖的目的。2)隱蔽性。病毒為了保護自己，一般采用以下方法隱藏自己：短小精悍(病毒一般只有幾百或1k字節(jié))附在正常程序中或磁盤較隱蔽的地方(以隱含文件形式出現(xiàn))分散和多處隱藏(而當有病毒程序潛伏的程序體被合法調(diào)用時，病毒程序也合法進入，并可將分散的程序局部在所非法占用的存儲空間進行重新裝配，構(gòu)成一個完整的病毒體投入運行。)加密變體3)潛伏性。大局部的病毒感染系統(tǒng)之后一般不會馬上發(fā)作，它可長期隱藏在系統(tǒng)中，悄悄地繁殖和擴散而不被覺察，使得許多數(shù)據(jù)資源成為病毒的攜帶者而迅速向外傳播。只有在滿足其特定條件時才啟動其表現(xiàn)(破壞)模塊。潛伏的目的是為了贏得足夠的時間，充分擴散，最后造成盡可能大的破壞。4)破壞性(表現(xiàn)性)。任何病毒只要侵入系統(tǒng)，都會對系統(tǒng)及應用程序產(chǎn)生程度不同的影響。由此特性可將病毒分為良性病毒與惡性病毒。良性病毒可能只顯示些畫面或出點音樂、無聊的語句，或者根本沒有任何破壞動作，但會占用系統(tǒng)資源。這類病毒表現(xiàn)較為溫和。惡性病毒那么有明確的目的，或破壞數(shù)據(jù)、刪除文件或加密磁盤、格式化磁盤，有的對數(shù)據(jù)造成不可挽回的破壞。表現(xiàn)和破壞是病毒的最終目的。5)不可預見性。從對病毒的檢測方面來看，病毒有不可預見性。病毒的代碼千差萬別。傳染條件，傳染方式，傳染對象不同。破壞條件，破壞方式，破壞對象不同。以上情況處于變化之中。病毒的制作技術在不斷的提高，病毒對反病毒軟件永遠是超前的。某些正常程序使用了類似病毒的操作甚至借鑒了某些病毒的技術。6)觸發(fā)性。滿足傳染觸發(fā)條件時，病毒的傳染模塊會被激活，實施傳染操作。滿足表現(xiàn)觸發(fā)條件時，病毒的表現(xiàn)模塊會被激活，實施表現(xiàn)或破壞操作。7)針對性。有一定的環(huán)境要求，并不一定對任何系統(tǒng)都能感染。8)依附性。病毒依附在合法的可執(zhí)行程序上。Return9.1.2病毒的起源與分類1、計算機病毒的起源電腦病毒的歷史：磁蕊大戰(zhàn)早在1949年,電腦的先驅(qū)者JohnVonNeumann在他所提出的一篇論文[復雜自動裝置的理論及組織的進行]里,已把病毒程序的藍圖勾勒出來。直到十年之后,在美國電報公司(AT&T)的貝爾(Bell)實驗室中,這些概念在一種很奇怪的電子游戲中成形了,這種電子游戲叫做“磁蕊大戰(zhàn)〞(corewar)。磁蕊大戰(zhàn)是當時貝爾實驗室中三個二十多歲的年輕程序員在工余想出來的,他們中的一個是莫里斯。磁蕊大戰(zhàn)的玩法:雙方各寫一個程序,輸入到電腦中,這兩個程序在電腦的存儲系統(tǒng)內(nèi)互相追殺,有時它們會放下一些關卡,有時會停下來修復(重新寫)被對方破壞的幾行指令;當它被困時,也可以把自己復制一次,逃離險境。游戲直到一方的程序被另一方的程序“吃掉〞為止。計算機病毒賴以生存的根底：1)現(xiàn)代計算機具有相同的工作原理。2)操作系統(tǒng)的公開性與脆弱性。3)網(wǎng)絡協(xié)議中的平安漏洞。一些計算機專業(yè)人員出于開玩笑、炫耀技術水平和懲罰拷貝等原因，研制了一些病毒程序，從而使病毒程序不斷蔓延，所造成的后果是這些人事先無法估計到的。隨著計算機病毒的危害性日益被人們所認識以及病毒研制技術的不斷提高，計算機病毒已被越來越多地應用于特殊目的——破壞。實際的計算機病毒出現(xiàn)在20世紀80年代的初期，隨著個人計算機的飛速開展和普及，20世紀90年代計算機病毒開始大范圍流行。隨著Internet的迅猛開展，計算機病毒的危害才被人們真正認識。2、計算機病毒的分類1)

按破壞性可分為：良性病毒：僅是為了表現(xiàn)自己的存在，不直接破壞計算機的軟硬件，對系統(tǒng)危害較小，但會消耗系統(tǒng)的資源。惡性病毒：會對計算機的軟硬件進行惡意攻擊，如破壞數(shù)據(jù)、刪除文件、破壞主板導致死機或網(wǎng)絡癱瘓等。2)按傳染方式分為：引導型病毒：攻擊用于引導計算機的程序。一個引導記錄病毒可以感染軟引導記錄程序，活動分區(qū)引導記錄或主引導記錄的自舉程序。文件型病毒：一般只傳染磁盤上的可執(zhí)行文件(COM，EXE)?；旌闲筒《荆杭嬗幸陨蟽煞N病毒的特點，既染引導區(qū)又染文件。3)按連接方式分為：源碼型病毒：較為少見，亦難以編寫。因為它要攻擊高級語言編寫的源程序，在源程序編譯之前插入其中，并隨源程序一起編譯、連接成可執(zhí)行文件。此時剛剛生成的可執(zhí)行文件便已經(jīng)帶毒了。入侵型病毒：可用自身代替正常程序中的局部模塊或堆棧區(qū)。因此這類病毒只攻擊某些特定程序，針對性強。一般情況下也難以被發(fā)現(xiàn)，去除起來也較困難。操作系統(tǒng)型病毒：可用其自身局部參加或替代操作系統(tǒng)的局部功能。因其直接感染操作系統(tǒng)，這類病毒的危害性也較大。外殼型病毒：將自身附在正常程序的開頭或結(jié)尾，相當于給正常程序加了個外殼。Return§9.2病毒的結(jié)構(gòu)與作用機理

9.2.1計算機病毒的一般結(jié)構(gòu)9.2.2計算機病毒的作用機理

Return9.2.1計算機病毒的一般結(jié)構(gòu)計算機病毒有兩種狀態(tài)：靜態(tài)和動態(tài)。靜態(tài)病毒是指存儲介質(zhì)(如磁盤。磁帶等)上的計算機病毒，它沒有處于加載狀態(tài)，不能執(zhí)行病毒的傳染和破壞功能。動態(tài)病毒是指已進入內(nèi)存，正處于運行狀態(tài)，或通過某些中斷能立即獲得運行權的病毒，它時刻監(jiān)視系統(tǒng)的運行狀態(tài)，一旦條件滿足，即進行傳染和破壞。計算機病毒的結(jié)構(gòu)：三大功能模塊，即引導模塊，傳染模塊和破壞(表現(xiàn))模塊。1、引導模塊病毒程序運行時，首先運行的是病毒引導模塊。引導模塊首先對運行環(huán)境進行調(diào)查，然后向系統(tǒng)申請病毒運行所需的資源，接著將傳染模塊和破壞(表現(xiàn))模塊導入內(nèi)存運行。(導入、保護、設置運行條件)2、傳染模塊傳染模塊是病毒程序的核心，是判斷某個程序是否為病毒的首要條件。傳染模塊由兩局部組成：傳染條件判斷和傳染局部。傳染條件判斷：根據(jù)預定的傳染條件是否滿足，控制病毒的感染動作。傳染條件有多種，如日期、時間、特定程序、動作等，當然也可以是其他邏輯條件。傳染局部：它是使病毒代碼鏈接于宿主程序之上的局部，即使病毒進行傳染動作的局部。傳染局部首先尋找要傳染的文件(如可執(zhí)行文件)，接著檢查該文件是否已被感染(一般病毒都會在已感染過的程序中留下一些標志，防止重復感染)，假設設有被本病毒感染過．那么進行感染，將病毒放入宿主程序。3、破壞(表現(xiàn))模塊破壞(表現(xiàn))模塊也由兩局部構(gòu)成：病毒觸發(fā)條件判斷和病毒具體表現(xiàn)局部。表現(xiàn)分為良性表現(xiàn)和惡性表現(xiàn)。病毒觸發(fā)條件判斷與傳染模塊的傳染條件判斷類似，判斷是否破壞以及何時破壞。病毒的破壞或表現(xiàn)局部是病毒程序的主體，在一定程度上反映了病毒設計者的意圖。它負責實施病毒的破壞動作，其內(nèi)部是實施病毒預定動作的代碼。這些破壞活動可能是破壞文件、數(shù)據(jù)，格式化磁盤，破壞或強占計算機存儲空間、時間，降低系統(tǒng)效率，或使系統(tǒng)崩潰之類的動作。有的病毒不執(zhí)行破壞動作，只做特定的表現(xiàn)，如顯示特定的信息或畫面、發(fā)出特殊的聲音等，因此沒有破壞模塊，而只有表現(xiàn)模塊。Return9.2.2計算機病毒的作用機理1、計算機病毒的工作流程計算機病毒的工作流程如下圖。從圖中可以看出，病毒通過第一次非授權加載，引導模塊被執(zhí)行，病毒由靜態(tài)變?yōu)閯討B(tài)。2、病毒的引導計算機病毒只有處在動態(tài)方式下，才具有傳染和破壞的能力。病毒的引導模塊具有三個功能：把病毒程序代碼引入內(nèi)存。病毒一旦被激活．首先想方設法竊取局部內(nèi)存．使自身代碼藏匿于此。對內(nèi)存中的病毒代碼采取保護措施，使之不會被覆蓋。病毒將自身的程序代碼保存在內(nèi)存中的手段主要有兩種：通過程序駐留；將病毒代碼移到內(nèi)存高端，然后修改內(nèi)存大小指示單元。對內(nèi)存中的病毒代碼設定某種激活方式。修改中斷向量以便在特定的條件下取得執(zhí)行權。病毒的引導模塊既可與其它兩個模塊一起運行，也可與兩個模塊中的一個一起運行，甚至于獨立先運行。3、計算機病毒的傳染過程計算機病毒的傳染途徑主要有兩種：一種是利用存儲介質(zhì)等傳染載體進行傳染；另一種是以網(wǎng)絡作為傳染載體。網(wǎng)絡已漸漸成為病毒傳染的主要途徑。病毒通過引導模塊駐留到內(nèi)存中后，監(jiān)視系統(tǒng)的運行，選擇時機進行傳染。一旦傳染條件成立，傳染模塊被激活并會馬上對攻擊目標進行判斷，以確定是否傳染。當確定對某個文件進行傳染后，要通過適當?shù)姆绞桨巡《緦懭氪疟P，同時保證被感染對象仍可正常運行，即進行的是傳染而非破壞。4、計算機病毒的破壞機制病毒可在第一次加載時只把引導模塊引入內(nèi)存，以后受到某些中斷機制的觸發(fā)，如小球病毒的破壞模塊一般不會在啟動系統(tǒng)時就發(fā)作，它必須等整點或半點時，再由INT13H激活發(fā)作。結(jié)構(gòu)上，破壞模塊類似于傳染模塊，分為兩個局部，一局部判斷破壞的條件是否滿足，另一局部執(zhí)行破壞功能。執(zhí)行破壞所要求的條件一般會與時鐘和時間有關，因而病毒程序最常修改的中斷除了諸如病毒傳染利用的INT13H、INT21H外，還有諸如破壞模塊利用的INT71H(硬時鐘中斷)、INT1CH(軟時鐘中斷)及INT1AH(讀取/設立系統(tǒng)時間、日期中斷)，如黑色星期五(某月的13號正好是星期五)；當前時間是整點或半點；病毒進入內(nèi)存已半小時了等等。Return§9.3計算機病毒的防范9.3.1反病毒的一般方法9.3.2先進的反病毒技術9.3.3防病毒系統(tǒng)介紹Return9.3.1反病毒的一般方法對于病毒威脅最理想的解決方法是不允許病毒進入系統(tǒng)，如采用病毒防火墻。這個目標不易實現(xiàn)，一旦病毒侵入系統(tǒng)就要進行下面的工作：檢測：一旦發(fā)生了感染，確定它的發(fā)生并且定位病毒。識別：檢測完畢后，識別感染程序的特定病毒。去除：在標識了特定病毒后，從被感染的程序中去除病毒的所有痕跡，將程序恢復到原來的狀態(tài)。從所有被感染的系統(tǒng)中去除病毒使得病毒不能進一步傳播。如果檢測成功但標識或去除都是不可能的，那么選擇就是丟棄被感染的程序，重新裝載一個干凈的備份版本。病毒和反病毒技術的進步是攜手并進的。總體上講，反病毒軟件經(jīng)歷了如下開展階段：

第一代：簡單的掃描程序。

第二代：啟發(fā)式的掃描程序。

第三代：行為陷阱。

第四代：全方位的保護。第一代的掃描程序需要病毒特征來識別病毒。本質(zhì)上所有的副本具有相同的結(jié)構(gòu)和比特模式。這種與病毒標記(特征)有關的掃描程序只能檢測的病毒。有的掃描程序維護有程序長度的記錄，并根據(jù)程序長度的改變來查找病毒。第二代的掃描程序不依賴專門的標記。掃描程序使用啟發(fā)式的規(guī)那么來搜索可能的病毒感染。這種掃描程序的一個類別是查找經(jīng)常和病毒聯(lián)系在一起的代碼段。例如，掃描程序可能查找多形病毒中使用的加密循環(huán)的開始，并發(fā)現(xiàn)加密密鑰：一旦發(fā)現(xiàn)了密鑰，掃描程序可以解密病毒來識別它．然后刪除感染局部．恢復程序的原有功能。另一種方法是完整性檢查。可以為每個程序附加鑒別碼。如果病毒感染了程序，但沒有修改鑒別碼，那么一次完整性檢查將會抓住變化。為了對付可以在感染程序時修改鑒別碼的復雜病毒，可以使用加密的散列函數(shù)。加密密鑰和程序分開存放，使得病毒不能生成新的散列代碼并對其加密。通過使用散列函數(shù)而不是更簡單的檢驗和．可以防止病毒象以前一樣調(diào)整程序來產(chǎn)生同樣的散列代碼。第三代程序是一些存儲器駐留程序，它們通過病毒的動作而不是通過其在被感染程序中的結(jié)構(gòu)來識別病毒：這樣的程序的優(yōu)點在于它不必為數(shù)量巨大的病毒開發(fā)簽名和啟發(fā)式規(guī)那么。相反，只需要識別有限的指示了感染的正在進行的動作集合，然后進行干預。第四代產(chǎn)品是一些由不同的聯(lián)合使用的反病毒技術組成的軟件包。這些技術中包括了掃描和行為陷阱構(gòu)件。另外，這樣的軟件包還包括了訪問控制能力，通過限制病毒對系統(tǒng)進行滲透的能力，進而限制病毒在感染時對文件進行修改的能力。第四代軟件包使用了更加綜合的防衛(wèi)策略．將防衛(wèi)的范圍擴大到更加通用的計算機平安領域。Return9.3.2先進的反病毒技術兩種具有潛力的技術：1、GD技術GD(GenericDecryption)技術可使反病毒程序容易地檢測出甚至是最復雜的多形病毒。包含一個多形病毒的文件在執(zhí)行時，病毒必須解密自身來激活病毒模塊?？蓤?zhí)行文件通過GD掃描器來運行，掃描器包括下面一些構(gòu)件：CPU模擬器病毒簽名掃描器模擬控制模塊模擬器解釋目標代碼中的指令。代碼中的病毒解密例程會被解釋?？刂颇K定期中斷解釋工作來掃描目標代碼中的病毒簽名。在解釋過程中，目標代碼對實際的個人計算機環(huán)境不可能造成損害。2、數(shù)字免疫系統(tǒng)Internet技術的開展趨勢在兩個主要方面將對病毒繁殖的速度產(chǎn)生重要影響：綜合郵件系統(tǒng)：諸如LotusNotes和微軟的Outlook等系統(tǒng)使人們發(fā)送任何內(nèi)容的郵件變得非常簡單。移動程序系統(tǒng)：諸如Java和ActiveX的能力使程序?qū)⒆陨韽囊粋€系統(tǒng)移到另一個系統(tǒng)變得十分容易。作為對這些基于Internet能力提出的威脅的響應，IBM開發(fā)了一個原型數(shù)字免疫系統(tǒng)。這個系統(tǒng)對前面提到的程序模擬器進行了擴展，提供了一個通用的模擬和病毒檢測系統(tǒng)。這個系統(tǒng)的目標是使得病毒被引入時立刻被識別出來。當一個新病毒進入一個組織時，免疫系統(tǒng)會自動地抓住它、分析它、為它增加新的檢測手段和隔離物、刪除它并且將有關這個病毒的信息傳遞給運行著IBMAntiVirus的系統(tǒng)，使得病毒在其他地方運行之前能被檢測出來。以下圖演示了數(shù)字免疫系統(tǒng)操作的典型步驟：每個PC上的監(jiān)視程序使用不同的方法來推斷病毒的出現(xiàn)，監(jiān)視程序把被認為受到感染的程序轉(zhuǎn)發(fā)給管理機器；管理機器加密樣本，并發(fā)送給中心病毒分析機；分析機進行模擬分析，然后生成標識和刪除病毒的藥方；藥方被發(fā)送回管理機器；管理機器轉(zhuǎn)發(fā)藥方給受感染的客戶和該組織中的其他客戶；世界范圍內(nèi)的注冊者也將收到常規(guī)的幫助他們防治這個新病毒的反病毒更新。Return9.3.3防病毒系統(tǒng)介紹目前市場上銷售的防病毒系統(tǒng)種類繁多，各有特點。在企業(yè)級的產(chǎn)品中，NAI公司的McAFee系統(tǒng)具有一定的代表性，在全球市場上的占有率也較高。NAI公司的McAfeeActiveVirusDefense(AVD)套件包含了企業(yè)防病毒所需的各種組件模塊，主要由以下幾局部組成：桌面防病毒產(chǎn)品VirusScan。效勞器防病毒產(chǎn)品Netshield和GroupShield。網(wǎng)關防病毒產(chǎn)品Webshield。企業(yè)防病毒系統(tǒng)網(wǎng)絡管理中心EPO(ePolicyOrchestrator)。Internet上升級數(shù)據(jù)推送產(chǎn)品SecureCast和BackWeb。1、VirusScan桌面防病毒產(chǎn)品VirusScan基于Wintel平臺，主要用于單機病毒的防治，同時也是網(wǎng)絡防病毒體系中的一個部件。其主要功能如下：掃描所有子系統(tǒng)區(qū)域(包括軟盤、引導區(qū)、文件分配表和分區(qū)表、文件夾、文件和壓縮文件)。精確去除文件、系統(tǒng)引導區(qū)、分區(qū)表和內(nèi)存中的病毒。實時掃描技術可捕獲病毒。按需掃描可由用戶自主選擇，掃描位于文件、驅(qū)動器和軟盤內(nèi)的病毒。阻止黑客利用Java、ActiveX小程序攻擊、損壞和竊取用戶的系統(tǒng)或資源，防止多種Internet蠕蟲病毒。檢測和防止通過電子郵件附件發(fā)送給用戶的病毒，包括檢測Word和Excel中的宏病毒。根據(jù)用戶需求，拒絕某些特定Web站點的訪問。接受企業(yè)防病毒系統(tǒng)網(wǎng)絡管理中心EPO的管理。在單獨使用時，可自動升級病毒庫與病毒檢測引擎。2、Netshield和GroupShield提供基于效勞器的病毒保護是十分必須的。在網(wǎng)絡環(huán)境中，效勞器作為各種應用的主要承載者，與桌面系統(tǒng)保持著密切的聯(lián)系，假設效勞器感染了病毒，就會成為病毒感染的源頭，迅速從桌面開展到整個網(wǎng)絡的病毒爆發(fā)。Netshield支持NT、Netware、UNIX、LotusNotes、MicrosoftExchange等多種效勞器的保護，可以方便地從本地效勞器或工作站監(jiān)測、配置和執(zhí)行遠程效勞。Netshield能高效、實時的檢測發(fā)送給或來自于效勞器的病毒感染文件，以防止它在整個網(wǎng)絡中擴散。同時可以按需要選擇立刻或定時檢測，掃描貯留在文件效勞器中的病毒。GroupShield是基于MicrosoftExchange和LotusNotes群件效勞器的防病毒解決方案。3、WebshieldAVD可以實現(xiàn)在Internet網(wǎng)關上對病毒進入的檢測。通常這局部功能是配合防火墻來實現(xiàn)的。即防火墻將進入的郵件、文件或Web頁面送到病毒檢測點進行檢測，以去除可能的病毒，然后才可以進入內(nèi)部網(wǎng)。Webshield有兩種選擇：WebShieldSMTP：該產(chǎn)品掃描所有入站和出站的電子郵件?？梢詫λ蠩mail進行病毒過濾。除了強大的反病毒功能之外，WebShieldSMTP還提供了對內(nèi)容的過濾，可以制定一些規(guī)那么把包含一些不適合在企業(yè)內(nèi)流轉(zhuǎn)的Email過濾掉。WebShieldProxy：該產(chǎn)品為HTTP、FTP等多個Internet協(xié)議在內(nèi)的通信提供病毒保護，同時掃描有惡意的Java和ActiveX小程序。4、EPOEPO是企業(yè)級反病毒系統(tǒng)的管理控制中心。實現(xiàn)了單點管理；采用LDAP目錄結(jié)構(gòu)；支持多達十萬個用戶；能在網(wǎng)絡上遠程安裝、配置、管理、升級和刪除防病毒軟件；通過推拉(push/pull)技術集中升級網(wǎng)絡上的防病毒軟件；集中報警檢測到的病毒攻擊；能夠分組進行反病毒數(shù)據(jù)更新策略管理；提供企業(yè)決策用的分析報告系統(tǒng)；基于TCP/IP協(xié)議，可用于大型異構(gòu)網(wǎng)絡中；減少安裝和管理防病毒軟件的時間；維持整個企業(yè)防病毒軟件策略和安裝的一致性。EPO管理防病毒軟件時，維護一個軟件庫。EPO由以下組件組成：管理控制臺(ePolicyOrchestratorConsole)管理效勞器(ePolicyOrchestratorServer)管理代理(ePolicyOrchestratorAgent)5、SecureCast和BackWebSecureCast是NAI公司獨特的Internet上數(shù)據(jù)推送技術，它將最新的病毒特征樣本文件、病毒相關的消息和更新后的AVD軟件主動推送到企業(yè)的主機上，從而保證一旦有新的病毒發(fā)現(xiàn)或有新的病毒消息，企業(yè)的防病毒系統(tǒng)和NAI公司的最新病毒研究成果保持一致，使企業(yè)的防病毒系統(tǒng)保持最新的防病毒能力，保證病毒防護系統(tǒng)的動態(tài)抵御能力。SecureCast安裝在WindowsNT平臺。BackWeb是NAI公司另一個Internet/Intranet推送工具，可以把最新的病毒庫更新信息和新病毒警告等推送給PC用戶。BackWeb可以被安裝在Windows95/98/NT/2000平臺。Return§9.4幾種常見的計算機病毒

9.4.1CIH病毒9.4.2宏病毒

9.4.3蠕蟲病毒9.4.4多形病毒9.4.5Retro病毒9.4.6特洛伊木馬Return9.4.1CIH病毒CIH病毒是迄今為止發(fā)現(xiàn)的最陰險、危害量大的病毒之一。它發(fā)作時不僅破壞硬盤的引導扇區(qū)和分區(qū)表，而且破壞計算機系統(tǒng)FLASHBIOS芯片中的系統(tǒng)程序。1、CIH病毒作用機理CIH病毒本身的長度約為1KB左右，當一個感染了該病毒的程序運行時，病毒就可以進入內(nèi)存并駐留。CIH病毒感染文件的方法是：當它在內(nèi)存中發(fā)現(xiàn)有新的可執(zhí)行文件在運行時，就去檢查該文件中是否包含某一特定的字符串(感染標記)，如果沒有找到就開始感染。它感染時首先檢測文件的首部，當發(fā)現(xiàn)至少有184個字節(jié)的空間時，就將本身的引導信息寫入此空間，病毒中所含的其余代碼局部那么分別寫入文件內(nèi)部的空閑區(qū)域，CIH病毒修改文件首部的參數(shù)，并使其文件映象首先指向病毒的程序體。感染后的文件長度不會增加，這也是CIH病毒很難被發(fā)現(xiàn)的一個原因。2、CIH病毒發(fā)作時的表現(xiàn)CIH病毒發(fā)作時，將用凌亂的信息覆蓋硬盤主引導區(qū)和系統(tǒng)BOOT區(qū)，改寫硬盤數(shù)據(jù)，破壞FLASHBIOS，用隨機數(shù)填充FLASH內(nèi)存，導致機器無法運行。CIH病毒對FLASHBIOS的操作，僅在主板和芯片允許寫FLASH存儲器時才有可能。CIH病毒有多個變種，發(fā)作日期各不相同。CIH1.2版的發(fā)作日期是每年的4月26日；CIH1.3版的發(fā)作日期是每年的6月26日；CIH1.4版的發(fā)作日期那么是每月的26日！有些變種那么是在27日或28日發(fā)作。3、防治CIH病毒目前常用的殺毒軟件都可以發(fā)現(xiàn)和去除CIH病毒。但要注意：某些殺毒軟件有漏查現(xiàn)象，這非常危險。而有些殺毒軟件，只簡單地把文件中CIH病毒第一碎塊中的文件映像開始執(zhí)行指針參數(shù)恢復，或去掉病毒首部的少量字節(jié)，沒有把病毒隱藏在文件體中的各個碎塊清理掉。這樣簡單殺毒后，完整的或不完整的病毒體殘留在文件中，即留有病毒僵尸。由于有破壞的代碼存在，病毒有可能還會被執(zhí)行或殘缺執(zhí)行，危險仍然存在。另外CIH病毒的作者已開發(fā)出CIH病毒的疫苗。免疫程序安裝后，系統(tǒng)對CIH系列病毒自動具有免疫能力，除非重裝系統(tǒng)。Return9.4.2宏病毒宏病毒是最有影響的計算機病毒之一。導致這一情況的原因：宏病毒是平臺無關的。幾乎所有的宏病毒都感染微軟的Word文檔，任何硬件平臺和操作系統(tǒng)支持的Word文檔都可能被感染。宏病毒感染文檔。宏病毒容易傳播。宏病毒利用了在Word和Excel中的宏。宏是嵌入到字處理文檔或其他類型文件中的一段可執(zhí)行程序。用戶使用宏來自動完成重復性的工作，因而節(jié)省了擊鍵次數(shù)。宏語言通常是某種形式的Basic程序設計語言，用戶可能在宏中定義擊鍵序列，并且建立它使得當輸入功能鍵或特殊的短鍵組合時調(diào)用這些宏。使創(chuàng)立宏病毒成為可能的是自動執(zhí)行的宏，這是一種不需要外界用戶輸入，自動調(diào)用的宏。常見的自動執(zhí)行事件是翻開文件、關閉文件和啟動應用程序。一旦宏運行起來，宏病毒可以將自身復制到其他文檔或刪除文件并引起用戶系統(tǒng)的破壞。在微軟的Word中，存在三種類型的自動執(zhí)行宏：自動執(zhí)行：如果宏在“normal.dot〞模板或Word的啟動目錄中存儲的全局模板中命名為AutoExec，那么每當Word啟動時，它就會執(zhí)行。自動宏：當定義的事件發(fā)生時，如翻開或關閉文檔、創(chuàng)立新的文檔或退出Word，自動宏就會執(zhí)行。命令宏：在全局宏文件中的或者附加到文檔中的宏，如果具有現(xiàn)存的Word命令的名字，那么每當用戶調(diào)用該命令時就會執(zhí)行(例如FileSave)。宏病毒一般通過電子郵件或者磁盤傳遞。宏病毒DELTREE_CDELTREE_C是1999年初開始流行一種計算機宏病毒，它雖然屬于一種Word宏病毒,但它的破壞性極強，可以攔截中文字處理軟件Word的AutoOpen、AutoClose、AutoExec、AutoNews等四個宏,而且會復制宏代碼到常用模板(Normal.dot)文件中,并在C盤根目錄下生成含此宏病毒的Word自動加載文件AUTOEXEC.DOT。隨后翻開的所有文件都被染上此病毒。病癥：假設使用計算機翻開含此宏病毒的文件時,Word的工具菜單項中的“模版及加載(I)〞、“自定義(C)〞和“選項(O)〞等子項就會失效,用戶執(zhí)行的各項操作反響明顯變慢。發(fā)作的病癥是在屏幕上顯示一個對話框,提問:“當今的社會太黑暗,太不公正?〞,這時用戶必須選擇答復“非常正確〞,才可通過,否那么病毒程序即刻刪除C盤上的所有數(shù)據(jù)。發(fā)作時間是在每年的7月。Return9.4.3蠕蟲病毒蠕蟲是一種可以在網(wǎng)上不同主機間傳播，而不必修改目標主機上其他程序的一類程序。蠕蟲能夠透過計算機網(wǎng)絡，在主機之間傳遞。但它不一定會破壞任何軟件和硬件，蠕蟲不斷通過計算機網(wǎng)絡將自己傳送到各處，最后由于不斷的擴張使得系統(tǒng)不勝負荷。蠕蟲通常是秘密地在網(wǎng)絡內(nèi)傳輸，并且不斷地收集包含密碼或文件在內(nèi)的信息。蠕蟲嚴重地消耗系統(tǒng)資源和帶寬。最典型的蠕蟲是1988年，由RobertT．Morris釋放的Intenet蠕蟲了。在很短的時間內(nèi)，這個蠕蟲傳染了網(wǎng)絡內(nèi)數(shù)千臺主機。Happy99蠕蟲病毒Happy99.exe是一種蠕蟲病毒。它以電子郵件附件的形式進行傳播,還可以投遞到新聞組中,在Internet上擴散。Happy99病毒發(fā)作時你會在顯示器上看到一幅節(jié)日煙火的彩色畫面。Happy99把自己復制到計算機系統(tǒng)的system目錄下,并將WSOCK32.DLL改寫為WSOCK32.SKA,而后生成一個與原來WSOCK32.DLL文件大小一致的WSOCK32.DLL。當系統(tǒng)初始化時自動駐留到內(nèi)存中,其作用是管理網(wǎng)絡端口通信及數(shù)據(jù)傳輸,同時產(chǎn)生新的文件SKA.EXE和SKA.DLL,使自己與Internet聯(lián)系起來。當你接入網(wǎng)絡進行通信或發(fā)送郵件時,Happy99就會將你的信件內(nèi)容清空,并取而代之。處理：刪除SKA.EXE、SKA.DLL。然后重新啟動機器進入DOS環(huán)境,將原來干凈的WSOCK32.SKA拷回system目錄下,覆蓋感染的WSOCK32.DLL。再刪除系統(tǒng)注冊表中\(zhòng)KEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce下的SKA.EXE。美麗殺(莎)蠕蟲病毒1999年3月6日，一個名為“美麗殺〞的計算機病毒席卷歐、美各國的計算機網(wǎng)絡。這種病毒利用郵件系統(tǒng)大量復制、傳播，造成網(wǎng)絡阻塞，甚至癱瘓。并且，這種病毒在傳播過程中，還會造成泄密。在美國，白宮、微軟和Intel等政府部門和一些大公司，為了防止更大的損失，緊急關閉了網(wǎng)絡效勞器，檢查、去除“美麗殺〞病毒。由于“美麗殺〞病毒危害美國政府和大型企業(yè)的利益，美國聯(lián)邦調(diào)查局(FBI)迅速行動。經(jīng)過四、五天的技術偵查，將病毒制造者史密斯抓獲。但是“美麗殺〞病毒已致使300多家大型公司的效勞器癱瘓，這些公司的業(yè)務依賴于計算機網(wǎng)絡，效勞器癱瘓后造成公司正常業(yè)務停頓，損失巨大。隨后“美麗殺〞病毒的源代碼在互聯(lián)網(wǎng)上公布，功能類似于“美麗殺〞的其他病毒或蠕蟲接連出臺。如：PaPa，copycat等。當翻開染有該病毒的Word文檔時，它首先感染模版文件Normal.dot。此后，新創(chuàng)立的文檔和修改編輯的文檔都會感染此病毒。該病毒將把自身作為附件自動發(fā)給郵件地址列表中前五十個地址。“美麗殺〞病毒把自己偽裝成來自朋友或同事的標題為“重要信息〞的電子郵件，然后通過被感染的電腦再向外發(fā)出50封染毒的電子郵件。它在網(wǎng)上傳播以后，迅速造成全球多個電腦網(wǎng)絡運行出現(xiàn)異常。Nimda蠕蟲病毒Nimda是一種蠕蟲病毒，它無需人工干預即可進行傳播。Nimda病毒利用的軟件漏洞和多樣的感染體進行傳播，其繁殖和傳染的速度是驚人的。Nimda病毒也叫W32.Nimda.A@mm、I-Worm.Nimda和W32.Nimda.A等，發(fā)現(xiàn)于2001年9月18日。Nimda病毒有四種可能的傳播途徑：通過文件傳播通過電子郵件傳播(README.EXE附件)通過IIS漏洞傳播(使用CodeRedII病毒留下的后門來感染機器)通過局域網(wǎng)傳播(搜索本地網(wǎng)絡的文件共享)Nimda病毒的主要負面影響是限制帶寬。防治：殺毒軟件殺毒；對IIS進行升級。Return9.4.4多形病毒多態(tài)病毒包含一個不變的病毒程序。通常，病毒體是被加密的，以防止被反病毒程序檢測出來。一個已加密的病毒要想正確執(zhí)行，它必須解密自己已加密的局部。這種解密通常由病毒解密例程來完成。當一個被感染的程序啟動時，病毒解密例程就會控制計算機，并且解密病毒體的其余局部，這樣它就能正常執(zhí)行了。然后病毒解密例程將控制傳送給已解密的病毒體，以便病毒的傳播。當多態(tài)病毒感染一個新的可執(zhí)行文件時，他會產(chǎn)生一個不同于其他被感染文件的新的解密例程。這種病毒包含一種簡單的機器代碼生成器，通常稱為“變異引擎〞，它可以建立新的機器語言解密例程(功能相同，但代碼序列不同)。在感染過程中，在病毒把它的一份拷貝附加到新的目標文件中之前，病毒使用一個互補的加密例程來加密這份拷貝。在加密了病毒體之后，病毒就會把新產(chǎn)生的解密例程與加密的病毒體以及變異引擎附加到目標可執(zhí)行文件上。因此，不僅病毒體被加密，而且病毒的解密例程也會在每一個被感染的程序中使用不同的機器語言指令序列。多態(tài)解密例程采取多種不同的形式出現(xiàn)，因此，根據(jù)這種例程的出現(xiàn)識別病毒傳染是很困難的。經(jīng)過這種新的多態(tài)病毒感染的文件在不同的感染文件之間相似性極少，使得反病毒檢測成為一項艱難的任務。Return9.4.5Retro病毒就像生物學中的Retro病毒一樣，計算機Retro病毒的目標是攻擊他的攻擊者。PCRetro病毒尋找反病毒程序并刪除一些關鍵的文件，沒有這些文件反病毒程序既無法檢查病毒也不能正常工作。例如，許多反病毒程序會包括一個數(shù)據(jù)文件，在這個文件中存放有病毒的特征標記。Retro病毒就是要試圖刪除這個病毒定義文件，從而破壞掃描程序檢測病毒的能力。有些病毒使用更聰明的策略，他把不同的反病毒程序生成的數(shù)據(jù)庫作為攻擊目標。有些反病毒產(chǎn)品使用一種稱為完整性檢查的方法來保護文件。反病毒程序把完整性信息存放在數(shù)據(jù)庫中，標識每個未感染文件的關鍵特征。聰明的Retro病毒就會尋找這個數(shù)據(jù)庫并刪除它。Return9.4.6特洛伊木馬特洛伊木馬(簡稱木馬)，其名稱取自希臘神話的特洛伊木馬記，是一種基于遠程控制的黑客工具，具有隱蔽性和非授權性的特點。隱蔽性是指木馬的設計者為了防止木馬被發(fā)現(xiàn)，會采用多種手段隱藏木馬，這樣效勞端即使發(fā)現(xiàn)感染了木馬，也不能確定其準確的位置。非授權性是指一旦控制端與效勞端連接后，控制端將享有效勞端的大局部操作權限，這些權力并不是效勞端賦予的，而是通過木馬程序竊取的。木馬病毒由控制端程序和木馬程序構(gòu)成，控制端程序用來遠程控制效勞端的木馬程序，木馬程序是用來潛入效勞端內(nèi)部，獲取其操作權限的程序，兩者通過網(wǎng)