计算机病毒揭秘与对抗
上QQ阅读APP看本书,新人免费读10天
设备和账号都新为新人
上一章目录下一章

1.1.3 计算机病毒的产生与发展

冯·诺伊曼是20世纪最杰出的数学家之一,在他的一篇论文《复杂自动装置的理论及组织的进行》中,早已勾勒出病毒程序的蓝图。不过,在当时大多数的计算机专家都无法想象会有这种能自我繁殖的程序。1975年,美国科普作家约翰·布鲁勒尔(John Brunner)写了一本名为《震荡波骑士》(Shock Wave Rider)的书,该书第一次描写了在信息社会中,计算机作为正义和邪恶双方斗争的工具的故事,成为当年最佳畅销书之一。1977 年,托马斯·捷·瑞安在其科幻小说《P-1的春天》(也是当年的美国的畅销书)中就描写了一种可以在计算机中互相传染的病毒,病毒最后控制了7000 台计算机,造成了一场灾难。而几乎在同一时间,美国著名的AT&T贝尔实验室中,3个年轻人在工作之余,很无聊地玩起了一种游戏:彼此编写出能够吃掉别人程序的程序来互相作战。这个叫做“磁芯大战”的游戏,进一步将计算机病毒的概念体现了出来。

1983年11月3日,弗雷德·科恩博士研制出一种在运行过程中可以复制自身的破坏性程序,伦·艾德勒曼(Len Adleman)将它命名为计算机病毒(computer viruses),并在每周一次的计算机安全讨论会上正式提出,8小时后专家们在 VAX11/750 计算机系统上运行了它,第一个病毒实验成功,一周后又获准进行5个实验的演示,从而在实验上验证了计算机病毒的存在。1986年初,在巴基斯坦的拉合尔(Lahore),巴锡特(Basit)和阿姆杰德(Amjad)两兄弟编写了Pakistan 病毒,即C-BRAIN,该病毒在一年内便流传到了世界各地。由于当地盗拷软件的风气非常盛行,因此他们的目的主要是为了防止他们的软件被任意盗拷。只要有人盗拷他们的软件,C-BRAIN就会发作,将盗拷者的硬盘剩余空间给吃掉。业界认为,这是真正具备完整特征的计算机病毒的始祖。

1988年3月2日,一种苹果机的病毒发作,这天受感染的苹果机停止了工作,显示器只显示“向所有苹果电脑的使用者宣布和平”的信息,以庆祝苹果机生日。1988年11月2日,美国6000多台计算机被病毒感染,导致Internet不能正常运行。这是一次非常典型的计算机病毒入侵计算机网络的事件,该事件迫使美国政府立即作出反应,国防部成立了计算机应急行动小组。这次事件中遭受攻击的涉及5个计算机中心和12个地区结点,连接着政府、大学、研究所和拥有政府合同的250000台计算机。在这次病毒事件中,计算机系统直接经济损失达9600万美元。这个病毒程序的设计者罗伯特·莫里斯(Robert T.Morris),当年23岁,是在康乃尔(Cornell)大学攻读学位的研究生,其设计的病毒程序便利用了系统存在的弱点。由于罗伯特·莫里斯是入侵ARPANET网的最大的电子入侵者,而获准参加康乃尔大学的毕业设计,并获得哈佛大学Aiken中心超级用户的特权,但他也因此被判3年缓刑,罚款1万美元,还被勒令进行400小时的社区服务。

计算机病毒并不是来源于突发或偶然的原因。一次突发的停电或偶然的错误,会在计算机磁盘和内存中产生一些乱码和随机指令,但这些代码是无序和混乱的。而计算机病毒是一种比较完美的,精巧严谨的代码。这些代码按照严格的秩序组织起来,与所在的系统网络环境相适应,病毒不会通过偶然形成,并且需要有一定的长度,这个基本的长度从概率上来讲是不可能通过随机代码产生的。因此实际上计算机病毒是人为的特制程序。现在流行的病毒都是为了达到一定目的而由人为故意编写的。多数病毒可以找到作者信息和产地信息。通过大量的资料统计分析来看,病毒作者主要目的一般是:一些天才的程序员为了表现自己和证明自己的能力,而特制的一些恶作剧程序,从中寻找整蛊的快感。而另一些则为了达到一定目的,如对上司的不满、为了好奇、为了报复,或者为了谋取非法利益而编写具有隐藏,偷窃等行为的病毒。当然也有因政治、军事、宗教、民族、专利等方面需求而专门编写的,其中也包括一些病毒研究机构和黑客的测试病毒。计算机病毒的产生是计算机技术和以计算机为核心的社会信息化进程发展到一定阶段的必然产物。其产生的过程为:程序设计、传播、潜伏、触发、运行、实行攻击。究其产生的原因不外乎以下几种。

(1)一些程序设计者出于好奇或兴趣,也有的是为了满足自己的表现欲或者一些搞计算机的人员和业余爱好者的恶作剧、寻开心故意编制出一些特殊的计算机程序。这些程序让别人的计算机出现一些动画,或播放声音,或别的恶作剧,以显示自己的才干。而这种程序流传出去就演变成了计算机病毒,此类病毒破坏性一般不大。例如,像圆点一类的良性病毒。

(2)软件公司及用户为保护自己的软件被非法复制而采取的报复性惩罚措施。因为他们发现对软件上锁,不如在其中藏有病毒对非法复制的打击大。于是就运用加密技术编写一些特殊程序附着在正版软件上,如遇到非法使用,则此类程序自动被激活,于是又会产生一些新病毒,如巴基斯坦病毒。这更加助长了各种病毒的传播。

(3)旨在攻击和摧毁计算机信息系统和计算机系统而制造的病毒——就是蓄意进行破坏。例如,1987年底出现在以色列耶路撒冷西伯莱大学的犹太人病毒,就是雇员在工作中受挫或被辞退时故意制造的。它针对性强,破坏性大,产生于内部,防不胜防。

(4)用于研究或有益目的而设计的程序,由于某种原因,失去控制或产生了意想不到的效果。

(5)产生于游戏。编程人员在无聊时互相编制一些程序输入计算机,让程序去销毁对方的程序,如最早的“磁芯大战”。这样,新的病毒又产生了。

(6)产生于个别人的报复心理,如台湾地区的学生陈盈豪,就是属于这种情况。他以前曾购买了一些杀毒软件,但是,拿回家使用时发现,并不像厂家所说的那么厉害,杀不了什么病毒,于是他就想亲自编写一个能避过各种杀毒软件的病毒,这样,CIH就诞生了。这种病毒对计算机用户曾造成一度的灾难。

(7)由于政治、商业和军事等特殊目的。一些组织或个人也会编制一些程序用于进攻对方系统,给对方造成灾难或直接性的经济损失。

计算机病毒发展是伴随着计算机硬件、软件技术,尤其操作系统的发展而发展的。笔者简要列举一下计算机病毒如下的主要发展过程。

  • 1977年由美国著名科普作家——雷恩,在一部科幻小说《P1的青春》中,首次提出了“计算机病毒”这一概念。
  • 1983年美国计算机安全专家——考因,首次通过实验证明了病毒的可实现性。
  • 1987年世界各地的计算机用户几乎同时发现了形形色色的计算机病毒,如大麻、IBM圣诞树、黑色星期五等,面对计算机病毒的突然袭击,众多计算机用户甚至专业人员都惊慌失措。
  • 1988年爆发了针对苹果机的计算机病毒,这是由美国康奈大学的研究生——罗特·莫里斯制作的蠕虫病毒导致网络上6000多台计算机受到感染。同年,我国也出现了能够感染硬盘和软盘引导区的Stoned病毒。
  • 1989年全世界的计算机病毒攻击十分猖獗,我国也未幸免。其中“米开朗基罗”病毒给许多计算机用户造成了极大损失。
  • 1991年在“海湾战争”中,美军第一次将计算机病毒用于实战,在空袭巴格达的战斗中,成功地破坏了对方的指挥系统,使之瘫痪,保证了战斗的顺利进行,直至最后胜利。
  • 1992年出现针对杀毒软件的“幽灵”病毒,如One-half。
  • 1996年首次出现针对微软公司Office的“宏病毒”。
  • 1997年该年被公认为是计算机反病毒界的“宏病毒”年,“宏病毒”主要感染Word、Excel等文件。如Word宏病毒,早期是用一种专门的Basic语言即WordBasic所编写的程序,后来使用Visual Basic语言。与其他计算机病毒一样,它能对用户系统中的可执行文件和数据文本类文件造成破坏。常见的如Twno.1(台湾一号)、Setmd、Consept、Mdma等。
  • 1998年出现针对Windows 95/98系统的病毒,如CIH(1998年被公认为是计算机反病毒界的CIH病毒年)。CIH病毒是继DOS病毒、Windows病毒、宏病毒后的第四类新型病毒。这种病毒与DOS下的传统病毒有很大不同,它使用面向Windows的VXD技术编制。1998年8月份从台湾地区传入内地,共有三个版本:1.2版/1.3版/1.4版,发作时间分别是4月26日/6月26日/每月26日。该病毒是第一个直接攻击、破坏硬件的计算机病毒,是迄今为止破坏最为严重的病毒。它主要感染Windows 95/98的可执行程序,病毒发作时,硬盘驱动器不停地旋转,硬盘上所有数据(包括分区表)被破坏,必须重新分区方有可能挽救硬盘;同时,对于部分厂家的主板(如技嘉和微星等),会将Flash BIOS中的系统程序破坏,造成开机后系统无反应。
  • 1999年Happy99等完全通过Internet传播的病毒的出现标志着Internet病毒将成为病毒新的增长点。其特点就是利用Internet的优势,快速进行大规模的传播,从而使病毒在极短的时间内遍布全球。梅莉莎为首种混合型的巨集病毒——它通过袭击MS Word作台阶,再利用MS Outlook及Outlook Express内的地址簿,将病毒往电子邮件广泛传播。同年四月,CIH 病毒爆发,全球超过6000万台电脑被破坏。
  • 2000年拒绝服务(Denial of Service)和恋爱邮件(Love Letters)“I Love You”拒绝服务袭击,威力很大,致使雅虎、亚马逊书店等主要网站服务瘫痪。同年,附着“I Love You”电邮传播的Visual Basic脚本病毒,更被广泛传播,终令不少计算机用户明白了小心处理可疑电邮的重要性。同年八月,也出现了首个只运行于Palm作业系统的木马(Trojan)程序——“自由破解(Liberty Crack)”。这个木马程序以破解Liberty (一个运行于Palm 作业系统的Game boy 模拟器)作为诱饵,致使用户在无意中把这病毒通过红外线资料交换或以电邮的形式在无线网中广泛传播。
  • 2001年9月18日“尼姆达”病毒在全球蔓延,侵袭了830万部电脑,造成近6亿美元的损失。对于个人用户的电脑,“尼姆达”可以通过邮件、网上即时通信工具和FTP程序同时进行传染;对于服务器,“尼姆达”则采用和“红色代码”病毒相似的途径,即攻击微软服务器程序的漏洞进行传播。由于该病毒在自身传染的过程中占用大量的网络带宽和计算机的内部资源,因此许多企业的网络受到了很大的影响,有的甚至瘫痪。
  • 2002年 强劲多变的混合式病毒:求职信(Klez)及FunLove爆发。“求职信”是典型的混合式病毒,它除了会像传统病毒般感染电脑文案外,同时亦拥有蠕虫(worm)及木马程序的特征。它利用微软邮件系统自动运行附件的安全漏洞,耗费大量的系统资源,造成电脑运行缓慢直至瘫痪。该病毒除了以电子邮件作传播途径外,也可通过网络传输和电脑硬碟共享把病毒散播。

自1999年以来,Funlove 病毒已为服务器及个人电脑带来了很大的烦恼,受害者中不乏著名企业。一旦被其感染,计算机便处于带毒运行状态,它会再创建一个背景工作线程,搜索所有本地驱动器和可写入的网络资源,继而在网络中完全共享的文件中迅速地传播。

  • 2003年冲击波(Blaster)and大无极(SOBIG)蔓延。“冲击波”病毒于当年8月开始爆发,它利用了微软操作系统Windows 2000 及Windows XP的安全、漏洞,取得完整的使用者权限,在目标计算机上执行任何的程序代码,并通过因特网,继续攻击网络上仍存有此漏洞的计算机。由于防毒软件也不能过滤这种病毒,病毒迅速蔓延至多个国家,造成大批电脑瘫痪和网络连接速度减慢。继“冲击波”病毒之后,又发生了第六代的“大无极”计算机病毒(SOBIG.F)肆虐,并通过电子邮件扩散。该“大无极”病毒不但会伪造寄件人身份,还会根据计算机通信录内的资料,发出大量以‘Thank you!’、‘Re: Approved’等为主旨的电邮,此外,它也可以驱使染毒的计算机自动下载某些网页,使编写病毒的作者有机会窃取计算机用户的个人及商业资料。
  • 2004年1月下旬出现悲惨命运(MyDoom),它利用电子邮件作传播媒介,以“Mail Transaction Failed”、“Mail Delivery System”、“Server Report”等字眼作电邮主旨,诱使用户开启带有病毒的附件文档。受感染的计算机除会自动转发病毒电邮外,还会令电脑系统开启一道后门,供黑客用作攻击网络的中介。它还会对一些著名网站(如SCO及微软)作分散式拒绝服务攻击(Distributed Denial of Service,DDoS),其变种更阻止染毒电脑访问一些著名的防毒软件厂商网站。由于它可在三十秒内发出多达一百封电子邮件,令许多大型企业的电子邮件服务被迫中断,在电脑病毒史上,其传播速度创下了新纪录。
  • 2005年的灰鸽子病毒是国内一款著名的后门,早在2001年便崭露头角。其丰富而强大的功能、灵活多变的操作、良好的隐藏性使其他后门都相形见绌。当在合法情况下使用时,灰鸽子是一款优秀的远程控制软件,但如果拿它做一些非法的事,灰鸽子就成为很强大的黑客工具。它以服务的形式启动使得难以调试分析,它通过拦截API调用隐藏自身文件及注册表项,并注入所有进程,造成查杀困难。
  • 2006年我国爆发了大规模的“熊猫烧香”病毒,它是一种蠕虫病毒的变种,而且是经过多次变种演化而来的。尼姆亚变种W(Worm.Nimaya.w)之所以被称为“熊猫烧香”病毒,是由于被它中毒电脑的可执行文件会出现“熊猫烧香”图案。用户电脑中毒后可能会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。同时,该病毒的某些变种还可以通过局域网进行传播,进而感染局域网内所有的计算机系统,最终导致企业局域网瘫痪,无法正常使用。它能感染系统中的exe、com、pif、src、html、asp等文件,被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。它还能中止大量的反病毒软件进程,并且会删除扩展名为gho的文件(该文件是一系统备份工具GHOST的备份文件),使用户的系统备份文件丢失。
  • 2007年出现的AV终结者(帕虫/U盘寄生虫)是一系列主动攻击杀毒软件的病毒,感染用户近十万。该病毒可感染移动存储设备并修改所有磁盘分区的打开方式,运行后会产生一个由数字和字母随机组成的8位名称的病毒进程,关闭多款杀毒软件、防火墙和安全工具进程,并利用IFEO劫持技术禁用多种安全工具、强行关闭带有“病毒”及各杀毒软件和安全工具名称字样的网页,破坏系统的安全模式,禁用系统自动更新和监控注册表防止被删,还会下载数百种木马病毒。
  • 2008年造成较大危害并广泛流传的有机器狗、磁碟机等病毒。机器狗是一个木马下载器,通过网页、第三方软件漏洞传播,感染后会自动从网络上下载木马、病毒,危及用户账号的安全。机器狗运行后会释放一个驱动文件,与原系统中还原软件驱动进行硬盘控制权的争夺,可穿透目前技术条件下的任何软件硬件还原,并通过替换userinit.exe等系统文件,实现开机启动,新变种还可利用IFEO劫持技术禁用杀毒软件并破坏杀毒软件的API hook。

“磁碟机”(磁盘精灵)是一个感染型下载者蠕虫,最早出现在2007年2月,起初威胁并不大,后来病毒作者参照其他病毒长处、不断改进,使得对该病毒的查杀越来越困难。该病毒可通过移动存储设备、网页、ARP欺骗传播,运行后首先会在C盘根目录下释放驱动以恢复SSDT,破坏杀毒软件的主动防御功能,然后释放并运行病毒文件,修改所有磁盘分区的打开方式,感染非系统分区的可执行程序及网页文件(包括压缩包内),挂全局钩子注入所有进程,破坏显示受系统保护文件,破坏安全模式,下载其他木马,并且在关机时会将自身写入启动项。与其他病毒不同的是,它通过向窗口发送大量垃圾消息的方式使多种杀毒软件、安全工具打开即崩溃,无法使用。

  • 2009年出现了Conficker,也被称为Downup、Downadup或Kido的蠕虫。该病毒是2008年11月20日被发现的,是一款以微软的Windows操作系统为攻击目标的计算机蠕虫病毒,迄今为止已出现了A、B、C、E四个版本,目前全球已有超过1500万台电脑受到感染。Conficker主要利用Windows操作系统MS08-067漏洞来传播,同时也能借助任何有USB接口的硬件设备来感染。2009年2月12日,微软公司悬赏25万美元,征集有关Conficker网络病毒制造者的信息。微软官方表示,之所以重金悬赏,是为了能够重奖之下出勇夫,但目前还没被发现Conficker的制造者,该病毒制造者把病毒程序发送到世界各地,只要有人试图破解它,它就会自动更新。面对这样一种病毒,网络安全专家都为此抓狂。美国ABC新闻网在广泛征求赛门铁克、美国司法部、全美白领犯罪中心(the National White Collar Crime Center)以及其他几家著名的科技咨询机构意见的基础上,在综合考虑Conficker蠕虫的影响范围、经济损失、影响力等因素。据统计Conficker蠕虫自2008年11月20日被发现以来,目前全球已有超过1500万台电脑受到感染。如果其制造者身份得以弄清楚,其制造者将跻身全球最著名5大黑客之列。
  • 2010年的极虎病毒是由是金山毒霸云安全实验室首家发现的,它是一款集磁碟机、AV终结者、中华吸血鬼、猫癣下载器为一体的混合病毒。由于该病毒可利用IE极光ODAY漏洞进行传播,又是虎年的第一个重大恶性病毒,因此得名“极虎”。它的危害超越熊猫烧香,对杀毒软件的破坏力相当于AV终结者、磁碟机,对系统的破坏力更是史无前例,会下载各种盗号木马、流氓软件,盗账号,弹广告,刷流量,可谓无恶不作。极虎病毒拥有以下传播方式:

① 网页挂马传播,会利用极光0day等系统漏洞传播;

② 局域网共享传播,通过弱口令在局域网内渗透;

③ 通过U盘、数码存储卡、手机卡、移动硬盘等移动设备传播;

④ 软件捆绑,欺骗下载,在盗版电影下载站、游戏外挂下载站捆绑下载;

⑤ 感染网页格式的文件进行二次传播,如果不幸某网页中招,就可能造成网站的来访者中毒;

⑥ 感染可执行exe文件(很多人计算机中毒,没办法就会用GHOST镜像恢复系统,或格盘重装,但一般不是全部格式化,这样重装后,肯定会再次中毒);

⑦ 感染rar压缩包内的可执行程序(这一招会令电脑运行变慢,进程中发现多个rar.exe在运行,并且无法结束,或结束后重新生成);

⑧ 部分变种在系统文件夹创建usp10.dll和lpk.dll(与猫癣病毒的传播手法一致)。

● 2010年还出现了一种利用微软Lnk漏洞(快捷方式漏洞)的病毒,它是影响范围最大的一次微软漏洞事件,可以让黑客实现“看一眼就中毒”的传播感染方式,是最需要紧急防御的安全漏洞。漏洞存在于“Windows Shell”组件中,当受影响系统用户点击或者Windows Shell试图加载经过精心构造的恶意快捷方式图标时,由于Windows Shell没有正确地验证指定的参数,可导致恶意代码在本地运行。

微软Lnk漏洞就是利用了系统解析的机制,攻击者恶意构造一个特殊的Lnk(快捷方式)文件,精心构造一串程序代码来骗过操作系统。当Shell32.dll解析到这串编码的时候,会认为这个“快捷方式”依赖一个系统控件(dll文件),于是将这个“系统控件”加载到内存中执行。如果这个“系统控件”是病毒,那么Windows在解析这个lnk(快捷方式)文件时,相当于把潜伏的病毒激活了。

到目前为止,网络上已有数以万计的计算机病毒,种类繁多,数量极大。如针对网络银行,在线游戏的盗号、盗窃装备的木马大量诞生,着实给计算机使用者带来严重的安全隐患。

每当一种新的计算机技术广泛应用的时候,总会有相应的病毒随之出现。例如,随着微软宏技术的应用,宏病毒成了简单而又容易制作的流行病毒之一;随着Internet网络的普及,各种蠕虫病毒如爱虫、SirCAM等疯狂传播。21世纪初甚至产生了集病毒和黑客攻击于一体的病毒,如“红色代码(CordRed)”病毒、Nimda病毒和“冲击波”病毒等。从某种意义上说,21世纪是计算机病毒与反病毒激烈角逐的时代。在网络技术飞速发展的今天,病毒的发展呈现出以下趋势。

1.病毒与黑客技术相结合

网络的普及与网速的提高,计算机之间的远程控制越来越方便,传输文件也变得非常快捷,正因如此,病毒与黑客技术结合以后的危害更为严重,病毒的发作往往在侵入了一台计算机后,又通过网络侵入其他网络上的机器。

2.蠕虫病毒更加泛滥

其表现形式是邮件病毒、网页病毒,利用系统存在漏洞的病毒会越来越多,这类病毒由受到感染的计算机自动向网络中的计算机发送带毒文件,然后执行病毒程序。

3.病毒破坏性更大

计算机病毒不再仅仅以侵占和破坏单机的资源为目的。木马病毒的传播使得病毒在发作的时候有可能自动联络病毒的创造者(如爱虫病毒),或者采取DoS(拒绝服务)的攻击(如最近的“红色代码”病毒)。一方面可能会导致本机机密资料的泄露,另一方面会导致一些网络服务的中止。而蠕虫病毒则会抢占有限的网络资源,造成网络堵塞(如最近的Nimda病毒),如有可能,还会破坏本地的资料(如针对911恐怖事件的Vote病毒)。

4.制作病毒的方法更简单

可以说能够写病毒的人都是技术水平很高的人,或者可以称为专家。然而这样的人并不多,所以写出的病毒数字也不可能很惊人。但是网络的普及,使得编写病毒的知识越来越容易获得。同时,各种功能强大而易学的编程工具使用户可以轻松编写一个具有极强杀伤力的病毒程序。并且当前已经诞生专用来生成具有各种功能病毒的病毒生成器,而且这类工具已经泛滥。正是由于这种工具的出现使得一般的计算机使用人员都可以利用它制造病毒,只需要通过简单的操作就可以生成具有破坏性的病毒。所以现在新病毒出现的频率超出以往的任何时候。

5.病毒传播速度更快,传播渠道更多

目前上网用户已不再局限于收发邮件和网站浏览,此时,文件传输成为病毒传播的另一个重要途径。随着网速的提高,在数据传输时间变短的同时,病毒的传送时间会变得更加微不足道。同时,其他的网络连接方式如ICQ、IRC也成为了传播病毒的途径。

6.病毒的检测与查杀更困难

病毒可能采用一些技术防止被查杀,如变形、对源程序加密、拦截API函数、甚至主动攻击杀毒软件等,使人们更难以检测与查杀病毒。

上一章目录下一章