|
听到“计算机病毒”时,也许不少人会漠然地说:不就是一些侵入个人电脑中干坏事的程序嘛!
最近像“蠕虫”和“特洛伊木马”之类的病毒术语几乎都成了普通电脑用户的口头禅了。下面就让我们从这些术语的含义开始了解一下计算机病毒。
“计算机病毒”的起源
“计算机病毒”这种说法起源于美国弗雷德里克·b·科恩(frederick b.cohen)博士于1984年9月在美国计算机安全学会上发表的一篇论文(当时他还是美国加利弗尼亚大学研究生院的一名学生)。在这篇论文中,科恩首次把“为了把自身的拷贝传播给其他程序而修改并感染目标程序的程序”定义为“计算机病毒”。这就是计算机病毒的原始含义。
在电视和杂志等报道中,绝大多数则把所有的非法程序统称为病毒。但是,计算机病毒专家至今仍尊重科恩博士当时的定义。因此笔者在本文将把寄生于其他程序中的程序称为病毒,而把人们一般所说的病毒称为“非法程序”。本文将对狭义上所讲的病毒以及非法程序的整个运行机制进行详细探讨。
自我繁殖的蠕虫
按照非法程序的行动来划分,大体上可以分为病毒、蠕虫和特洛伊木马这三大类。
蠕虫是指具有通过网络进行自我繁殖功能的程序。比如,随意利用邮件软件等应用程序向其他个人电脑发送含有自身拷贝的电子邮件。其代表是1999年年初首次出现、并在日本造成了巨大损失的“幸福99(happy99)”蠕虫。
最近有人说“病毒危害急剧增加的原因在于电子邮件的普及”,这句话只讲对了一半。从严格意义来讲应该说“其原因在于电子邮件的普及以及通过邮件繁殖的蠕虫的增加”。
伪装成正规软件的特洛伊木马
特洛伊木马是指伪装成游戏和应用程序等正规程序的非法程序。其性质与狭义上所讲的病毒存在本质区别。特洛伊木马是单独运行的非法程序,不像病毒那样感染其他程序。
另外,有的非法程序具有上述三类中的两类以上的性质。比如“兼具蠕虫功能的病毒”等。
病毒形态可分为4个阶段。不过,根据不同的病毒,有的可能不存在某个阶段,或者多个阶段同时并进
病毒形态可分为4个阶段
下面笔者即将开始向大家说明病毒(非法程序)的本来面目。在此之前,首先向大家介绍一下非法程序的运行机理。
典型的病毒运行机制可以分为(1)感染、(2)潜伏、(3)繁殖和(4)发作4个阶段。
(1)感染是指病毒自我复制并传播给其他程序;
(2)潜伏是指病毒等非法程序为了逃避用户和防病毒软件的监视而隐藏自身行踪的行为;
(3)繁殖是非法程序不断地由一部计算机向其他计算机进行传播的状态;
(4)发作是非法程序所实施的各种恶意行动。
pc病毒发病机理:感染-潜伏-繁殖-发作
第一阶段:感染
结果是寄生到其他程序中
在详细说明感染机理前,首先看一下感染途径。因为如果不了解病毒是如何进入到个人电脑的,就无法往下进行。
9成以上是通过电子邮件感染的
病毒主要通过(1)电子邮件、(2)外部介质、(3)下载这3种途径入侵个人电脑。
(1)电子邮件,是指把蠕虫和特洛伊木马本身以及受病毒感染的文件作为电子邮件附件等发送出去。有的是普通用户在不知道附件已经感染病毒的情况下发送了病毒邮件,有的是蠕虫本身自动地向外界发送邮件。而特洛伊木马则是由图谋不轨的第三者(即黑客)发送的。
而且受病毒感染的不仅仅限于附件。比如,windows附带的outlook express等常用电子邮件软件,大多都会利用web浏览器的功能,解释并显示邮件正文中所描述的html代码。而病毒脚本往往就隐藏在html邮件当中。
(2)外部介质,是指用户从别人那里借来带有病毒的软盘和光盘等介质后,病毒就会由这些介质入侵到自己的电脑中。尽管很多情况是由于从别人那里借来的软盘等介质中带有病毒而被感染,但也不完全如此,过去就曾发生过多起市售软件中含有病毒的情况。
另外,通过外部介质的感染并不仅限于通过软盘和硬盘上的文件进行感染。有些病毒会隐藏在软盘和硬盘的起动区域中,这种情况稍后会作详细介绍。如果利用这种带病毒的外部介质起动个人电脑,就会受到病毒感染。
(3)下载,是指用户从web站点和ftp服务器中下载感染了特洛伊木马和病毒的文件。公司内部lan上的文件服务器和不同电脑之间的文件共享都有可能成为感染病毒的原因。
另外,在第三种感染途径中还存在极少数特殊情况。比如,99年曾在业界引起轩然大波的“worm.explorezip”病毒,只要lan上的其他个人电脑把起动系统的分区设置为完全共享,该病毒就会随意地发送自身的拷贝并实施感染。也就是说,即便电脑用户不进行下载,电脑也会自动下载并运行病毒。
在这三种感染途径中,所占比例最大的是电子邮件。据受理日本国内病毒相关损失情况报告的日本信息处理振兴事业协会(ipa)表示,最近9成以上都是通过电子邮件感染的。就在数年前绝大多数还都是通过外部介质感染,由此可以看出电子邮件的普及对病毒感染造成了多么大的影响。也就是说病毒和电子邮件之间存在一种息息相关的关系。
感染目标有3个
不过,即便病毒通过上述三种途径进入了个人电脑,也不会直接产生什么问题。只有在用户无意中打开了电子邮件附件、执行了病毒程序那一刻起才会引发感染。这一点非常重要,请读者务必谨记。
用户一旦不慎起动病毒,感染即随之开始。根据病毒感染的不同目标,大体上可以把病毒分为如下3种:
·引导区感染型:
感染硬盘和软件中保存起动程序的区域
·可执行文件感染型:
感染扩展名为.com和.exe等程序(可执行文件)
·脚本感染型:
感染微软office产品(word等)的文档文件和html文件等
下面依次对这3种病毒加以介绍。
在个人电脑起动时同时开始运行
首先来看一下引导区感染型病毒(图4)。此类病毒感染软盘和硬盘的引导扇区(起动区域)。
引导扇区是指在个人电脑起动的初始状态下被访问的特殊区域,该区域保存了起动电脑所需的小程序。在硬盘中称为主引导记录(mbr)。引导区感染型病毒就感染这些小程序。病毒感染引导扇区后,在操作系统起动之前病毒就会被读入内存,并由cpu执行。在这种状态下只要在电脑中插入其他软盘等外部介质,就会一个不落地感染所使用的软盘。
随意更改可执行文件
接下来谈谈可执行文件感染型病毒。顾名思义,可执行文件感染型病毒只感染文件扩展名为.com和.exe等的可执行文件。下面以windows程序为倒,介绍一下可执行文件感染型病毒的感染机理。
感染机理其实非常简单。用户无意间运行了病毒程序后,病毒就开始查找保存在个人电脑中的其他程序文件,并实施感染。如果是可感染文件,病毒就会随意地更改此文件,并把自身的病毒代码复制到程序中。更改文件的方法包括(a)覆盖感染型、(b)追加感染型、(c)插空感染型三种方式。
用病毒代码进行更改
对于windows程序文件,基本上来讲描述整个文件尺寸和程序代码起始位置等信息的文件头位于文件的起始部位,在其之后为程序代码。
覆盖感染型病毒是指用自身的病毒代码覆盖文件的程序代码部分。由于只是单纯利用病毒代码进行覆盖,因此感染机理最为简单。
不过,感染这种病毒后,程序文件就被破坏,无法正常工作。也就是说用户受感染后,原来的程序将不能运行,而只能起动病毒程序。结果,即便用户不能马上明白是不是病毒,也会立刻注意到发生了异常情况。
感染后原程序仍然工作
比覆盖感染型更巧妙一些的是追加感染型病毒。
此类病毒并不更改感染对象的程序代码,而是把病毒代码添加到程序文件最后。另外,追加感染型病毒还会更改原程序文件的文件头部分。
具体来说就是把文件头中原来记述的“执行开始地址为xxx(原程序的开头)”等信息更改变成“执行开始地址为zzz(病毒程序的开头)”。这样一来,在原程序运行之前,病毒代码就会首先被执行。
另外,在病毒代码的最后会描述一段代码,以便重新回到执行原程序的开始地址。这样一来,受感染程序在执行了病毒代码之后,就会接着执行原程序。
结果,由于原程序会正常运行,用户很难察觉到已经感染了病毒。不过,程序受到追加感染型病毒的感染后,其文件尺寸会变得比原文件大。
最后来看一下插空感染型病毒。这种病毒可以说是由追加感染型病毒发展而来的。事实上,它并不是在程序文件中查找合适的部位,然后把程序代码等信息添加到文件中,而是查找没有实际意义的数据所在的位置。插空感染型病毒找到这些部分以后,就把自身的代码覆盖到这些部分中。结果,尽管原程序照常运行,且文件尺寸也没有任何变化,但是仍能产生感染病毒的文件。
不过,此类病毒进行感染的前提条件是感染对象文件必须具有足够的空间。所以,它无法感染没有足够空间的程序文件。
感染数据的宏病毒
病毒不仅感染可执行文件,还可感染数据文件。这就是宏病毒等“脚本型病毒”。脚本型病毒的感染机理如下。
用户打开带有病毒的数据文件后,该数据文件相关联的应用程序就会执行数据文件中描述的脚本。由此就会起动病毒,然后把自身的脚本添加(或覆盖)到其他数据文件中,进行感染。
由于这种脚本型病毒并不感染可执行文件,而感染数据文件,因此也许会让人感觉与可执行文件感染型病毒区别很大。但实际上并没有太大的区别。虽说感染的是数据文件,但该数据文件最终还是含有可由某些特定应用程序来执行的程序代码的文件。最关键的是,在病毒运行过程中总体上是作为程序来运行的,因此在这个意义上来讲,与可执行文件感染型病毒在本质并没有任何区别。
“宏病毒感染标准模板”就是一个能真实反映这种病毒特点的例子。比如感染word文档的宏病毒,不仅感染用户生成的数据文件,有时还会感染word起动时最先调用的标准模板这一特别文件。结果,每当word应用程序起动时,就会运行宏病毒,每当打开和保存word文档文件时,就会不断感染其他文档文件。也就是说,就好象病毒感染了word应用程序本身一样。
第二阶段:潜伏----实施掩盖和伪装
在第二阶段即潜伏过程中需要了解的内容是,病毒是如何为躲避用户和防病毒软件的侦察而进行隐藏的。通过与防病毒软件之间不断地“斗智斗勇”,有的病毒已经逐渐具备了非常高级的隐身法。最具代表性的潜伏方法是隐蔽和自我变异。
尺寸上作假,逃避监视
隐蔽法是指为病毒为了已经隐藏文件已感染病毒的事实,向用户和防病毒软件提供虚假文件尺寸。比如,用户运行受病毒感染的文件后,病毒不仅会感染其他文件,还常驻内存并开始监视用户操作。如果用户运行文件列表显示等命令查看文件尺寸时,病毒就会代替操作系统提供虚假信息。
如果在第一阶段中介绍的追加感染型病毒采用这种方法,用户就很难察觉已经受到病毒感染。也就是说以文件尺寸的变化为线索分析感染情况会变得相当困难。
通过伪装躲避追踪
另一个潜伏方法即自我变异是指病毒通过实际改变自身的形态,来主要逃避防病毒软件的检测。尽管在第二部分已经进行了详细说明,笔者在这里再解释一遍,防病毒软件为了检测病毒,首先会提取病毒特征代码,然后通过比较文件和病毒特征代码来查找病毒感染情况。
也就是说这种方法是指病毒通过采取某些措施,由于在每次感染时都会改变自身形态(病毒特征代码),因此即便与防病毒软件掌握的特征代码相对照,也不会被发现。另外,也有人把此类病毒称为变形病毒。
还有一种比自我变异更高级的方法即“加密法”,指每次感染时先对自身进行加密,然后把还原程序及加密密钥嵌入到感染的对象文件中。如果此类病毒准备了大量的加密密钥,那么由于每次感染时就会变成不同的数据,因此防病毒软件就很难发现。
为了防止被破解,加密过程越复杂、加密时就越要花费更多的时间。也就是说,加密法越复杂,不仅越容易被用户察觉,而且病毒自身的感染速度也变得越慢。不过最近的个人电脑性能已经很高,进行这种处理根本不算是什么负担。
第三阶段:繁殖----通过网络传播
就像在感染阶段那部分所提到的那样,最近病毒主要通过电子邮件入侵个人电脑。将电子邮件用作传播媒介的就是蠕虫。
实际上,最近发生的大规模病毒感染事件基本上都与蠕虫分不开。为了了解这些事件的真相,下面首先说明一下蠕虫繁殖的机理。
随意假借邮件软件实施传播
首先以最具代表性的windows蠕虫为例,说明一下蠕虫繁殖的过程(图8(点击放大))。比如99年春出现的、仅在数日内就有数万台甚至数十万部个人电脑被感染的梅莉莎蠕虫(也称为w97m.、melissa.a)。
梅莉莎蠕虫属于感染word文档文件的宏病毒,会作为电子邮件附件发送给用户。用户一旦打开(运行)该附件,在感染word的同时,也开始作为蠕虫进行繁殖。
具体来说,该蠕虫会随意使用word宏功能,起动电子邮件软件outlook,然后把包括自身拷贝的word文档文件添加到电子邮件中,并发送给outlook地址薄中登记的前50个邮件地址。
也就是说,即便用户并没有与别人交换软盘之类的存储媒介,该蠕虫也会为所欲为地把自身拷贝发送给其他用户并进行繁殖。
完全自动的unix蠕虫
最近出现的蠕虫基本上都像梅莉莎蠕虫一样通过电子邮件软件进行繁殖。但还有其他类型的蠕虫。这就是主要在unix系统中繁殖的蠕虫,此类蠕虫曾经是蠕虫的主流品种。
为数众多的unix蠕虫的最大特点是:完全自动地通过网络进行繁殖。像梅莉莎这样的使用电子邮件进行繁殖的蠕虫虽然能够向其他电脑发送自身拷贝,但此后就只能等着电脑用户去运行附件了。而unix蠕虫则不需用户进行任何操作即可进行繁殖。
之所以能如此,是因为unix机器基本上都是作为服务器来使用。也就是说由于运行了服务器软件,因此利用服务器软件的安全漏洞,由外部发送并运行蠕虫。
我们来具体地看一下其繁殖过程。unix蠕虫首先在合适的ip地址范围内,查找正在运行具有某种特定安全漏洞的服务器软件的unix机器。然后一旦找到符合条件的服务器,就会利用服务器软件的安全漏洞由外部执行命令,向服务器内部发送自身拷贝。紧接着再运行所发送的蠕虫。
第四阶段:发作----没有病毒不能做的事情
最后一个阶段是发作。对于发作,笔者最想强调的是“病毒在个人电脑中什么事都可以干得出来”。病毒既然是在个人电脑上运行的程序,就绝不存在“因为是病毒,所以可以干这个”和“蠕虫干不了这个”的说法。
破坏程度因人而异
下面就具体说明病毒发作后会产生什么情况,以及根据用户遭受的损失来介绍一下其典型症状。
如果把破坏程度分为3个等级,那么破坏程度最大的大概就算是“格式化硬盘”和“删除文件”等直接破坏行为了。尤其是“破坏电脑bios”的发作症状,由于电脑将不能起动,用户自行进行修复根本无从谈起,在经济上的损失非常大。
除这种直接破坏行为以外,“改写文件”、“大量发送邮件”、“显示信息”和“占用内存”等症状会因病毒不同而千差万别。也有不发作的病毒。
什么样的症状对应何种程度的危险,上述所说的只是一般的标准。
对于病毒的发作,还有另一个容易让人误解的地方。这就是指,“包括宏病毒在内的脚本病毒,由于它只在相应的应用程序等封闭的环境中运行,因此即使发作也不会产生影响到整个电脑的巨大损失”。
其实这是大错特错的。微软offic产品的宏语言等被病毒视为攻击对象的脚本语言大都能够超越应用程序的范围而进行操作。比如,删除系统文件也只需利用数行代码即可轻松完成。(完)
| 
