计算机病毒分析与防范.doc

资源描述

计算机病毒的分析与防范 1. 计算机病毒的引入 1983 年 11 月 3 日，弗雷德·科恩 (Fred Cohen) 博士研制出一种在运行过程中可以复制自身的破坏性程序(该程序能够导致UNIX系统死机）伦·艾德勒曼 (Len Adleman) 将它命名为计算机病毒(computer viruses)，并在每周一次的计算机安全讨论会上正式提出。 2. 计算机病毒发展史 1987年世界各地的计算机用户几乎同时发现了形形色色的计算机病毒，如大麻、IBM圣诞树、黑色星期五等等。 1989年全世界的计算机病毒攻击十分猖獗，其中“米开朗基罗”病毒给许多计算机用户造成极大损失。 1991年在“海湾战争”中，美军第一次将计算机病毒用于实战。 1992年出现针对杀毒软件的“幽灵”病毒，如One-half。 1997年 1997年被公认为计算机反病毒界的“宏病毒”年。 1998年出现针对Windows95/98系统的病毒，如CIH（1998年被公认为计算机反病毒界的CIH病毒年）。 1999年 Happy99等完全通过Internet传播的病毒的出现标志着Internet病毒将成为病毒新的增长点。 2000年出现了拒绝服务（Denial of Service）和恋爱邮件（Love Letter）这次拒绝服务袭击规模巨大，致使雅虎，亚马逊书店等主要网站服务瘫痪。 2002年多变的混合式病毒求职信（Klez）及FunLove病毒席卷全球。 2003年，冲击波（Blaster）病毒于8月开始爆发。 2004年，MyDoom、网络天空（NetSky）及震荡波（Sasser）病毒出现。 3. 基础知识——计算机病毒的本质计算机病毒一词是从生物医学病毒概念中引申而来的。在生物界，病毒（Virus）是一种没有细胞结构、只有由蛋白质的外壳和被包裹着的一小段遗传物质两部分组成的比细菌还要小的病原体生物，如大肠杆菌、口蹄疫、狂犬病毒、天花病毒、肺结核病毒、禽流感病毒等。绝大多数的病毒只能在显微镜下才能看到，而且不能独立生存，必须寄生在其他生物的活细胞里才能生存。由于病毒利用寄主细胞的营养生长和繁殖后代，因此给寄主生物造成极大的危害。计算机病毒之所以被称为病毒，是因为它们与生物医学上的病毒也有着很多的相同点。例如，它们都具有寄生性、传染性和破坏性。《中华人民共和国计算机信息系统安全保护条例》第二十八条中将计算机病毒定义为：“指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用并能自我复制的一组计算机指令或者程序代码。” 病毒传播载体：网络、电磁性介质和光学介质。病毒传染的基本条件：计算机系统的运行、读写介质（磁盘）上的数据和程序。病毒的传播步骤：驻留内存、寻找传染的机会、进行传染。病毒传染方式：引导扇区（包括硬盘的主引导扇区）传染类、文件型病毒 4. 基础知识——计算机病毒的特点 1）传染性：自我复制。 2）破坏性：干扰系统、破坏数据、占用资源。 3）潜伏性：定期发作。 4）隐蔽性：计算机病毒式一种短小精悍的可执行程序，一般只有几百字节或几千字节，而且隐藏在不同的位置上。 5）寄生性 6）针对性 7）可触发性：控制条件，日期、时间、标识、计数器。 5. 基础知识——计算机病毒的分类 5.1按破坏性分类良性病毒：是指那些只是为了表现自己而并不破坏系统数据，只占用系统CPU资源或干扰系统工作的一类计算机病毒。恶性病毒：是指病毒制造者在主观上故意要对被感染的计算机实施破坏，这类病毒一旦发作就破坏系统的数据、删除文件、加密磁盘或格式化操作系统盘，使系统处于瘫痪状态。 5.2按照计算机病毒的寄生部位或传染对象分磁盘引导区传染的计算机病毒操作系统传染的计算机病毒可执行程序传染的计算机病毒 5.3按寄生方式分类系统引导型：系统引导时病毒装入内存，同时获得对系统的控制权，对外传播病毒，并且在一定条件下发作，实施破坏。文件型（外壳型）：将自身包围在系统可执行文件的周围、对原文件不作修改、运行可执行文件时，病毒程序首先被执行，进入到系统中，获得对系统的控制权。源码型：在源被编译之前，插入到源程序中，经编译之后，成为合法程序的一部分。入侵型：将自身入侵到现有程序之中，使其变成合法程序的一部分。 5.4按广义病毒概念分类蠕虫（worm）：监测IP地址，网络传播逻辑炸弹（logic bomb）：条件触发，定时器特洛伊木马（Trojan Horse）：隐含在应用程序上的一段程序，当它被执行时，会破坏用户的安全性。陷门：在某个系统或者某个文件中设置机关，使得当提供特定的输入数据时，允许违反安全策略。细菌（Germ）: 不断繁殖，直至添满整个网络的存储系统 5.5按照计算机病毒攻击的系统分类攻击DOS系统的病毒攻击Windows系统的病毒攻击UNIX/Linux系统的病毒攻击OS/2系统的病毒攻击Macintosh系统的病毒其他操作系统上的病毒 5.6按照计算机病毒的链接方式分类源码型病毒嵌入型病毒外壳型病毒操作系统型病毒 5.7按照计算机病毒激活的时间分类定时病毒随机病毒按照计算机病毒传播的媒介分类单机病毒网络病毒 5.8按照计算机病毒寄生方式和传染途径分类引导型病毒文件型病毒混合型病毒 5.9按照计算机病毒特有的算法分类伴随型病毒 “蠕虫”型病毒寄生型病毒练习型病毒诡秘型病毒变型病毒（又称幽灵病毒） 6. 基础知识——计算机病毒基本结构表现部分引导部分传播部分计算机病毒程序结构引导部分：把病毒程序加载到内存。功能：驻留内存、修改中断、修改高端内存、保存原中断向量。传染部分：把病毒代码复制到传染目标上。功能：条件判断、与主程序连接、设置标志。表现部分：运行、实施破坏。功能：条件判断、显示、文件读写 7. 基础知识——计算机病毒存储结构磁盘空间的总体划分：主引导记录区（只有硬盘有）、引导记录区、文件分配表（FAT）、目录区和数据区。软盘空间的总体划分：引导记录区、文件分配表1、文件分配表2、根目录区以及数据区硬盘空间的总体划分：主引导记录区：主引导程序、分区信息表多个系统分区。系统型病毒的磁盘存储结构：磁盘引导扇区（引导部分）、磁盘其他的扇区（传染、表现部分) 病毒程序定位文件型病毒的磁盘存储结构外壳病毒 8. 基础知识——计算机病毒破坏行为（1）攻击系统数据区（2）干扰系统运行，使运行速度下降。（3）攻击文件（4）抢占系统资源（5）干扰I/O设备，篡改预定设置以及扰乱运行（6）导致系统性能下降（7）攻击存储器（8）破坏CMOS中的数据（9）破坏网络系统，非法使用网络资源，破坏电子邮件，发送垃圾信息，占用网络带宽等。 9. 典型病毒举例 9.1蠕虫病毒——莫里斯 1988年冬天，正在康乃尔大学攻读的莫里斯，把一个被称为“蠕虫”的电脑病毒送进了美国最大的电脑网络——互联网。 1988年11月2日下午5点，互联网的管理人员首次发现网络有不明入侵者。当晚，从美国东海岸到西海岸，互联网用户陷入一片恐慌。冲击波病毒是一种利用系统RPC漏洞进行传播和破坏的蠕虫病毒。当感染了冲击波病毒的计算机中的冲击波病毒发作的时候，蠕虫病毒会给Windows2000、WindowsXP系统带来非常不稳定、重新启动、死机等后果。中了冲击波病毒，系统会出现一个提示框，指出由于远程过程调用（RPC）服务意外终止，Windows必须立即关闭。同时，消息框给出了一个倒计时，当倒计时完成时，计算机就将重新启动或者关闭蠕虫(Worm)病毒是一种通过网络传播的恶意病毒。它的出现相对于文件病毒、宏病毒等传统病毒较晚，但是无论是传播的速度、传播范围还是破坏程度上都要比以往传统的病毒严重的多。蠕虫病毒一般由两部分组成：一个主程序和一个引导程序。主程序的功能是搜索和扫描。它可以读取系统的公共配置文件，获得网络中的联网用户的信息，从而通过系统漏洞，将引导程序建立到远程计算机上。引导程序实际是蠕虫病毒主程序的一个副本，主程序和引导程序都具有自动重新定位的能力。 9.2蠕虫病毒的传播利用微软的系统漏洞攻击计算机网络利用电子邮件进行传播蠕虫程序的工作流程蠕虫程序扫描到有漏洞的计算机系统后，将蠕虫主体迁移到目标主机。蠕虫程序进入被感染的系统，对目标主机进行现场处理。现场处理部分的工作包括：隐藏、信息搜集等蠕虫程序生成多个副本，重复上述流程。 9.3蠕虫病毒的行为特征自我繁殖：蠕虫在本质上已经演变为黑客入侵的自动化工具，当蠕虫被释放（release）后，从搜索漏洞，到利用搜索结果攻击系统，到复制副本，整个流程全由蠕虫自身主动完成。就自主性而言，这一点有别于通常的病毒。利用软件漏洞：任何计算机系统都存在漏洞，这些就蠕虫利用系统的漏洞获得被攻击的计算机系统的相应权限，使之进行复制和传播过程成为可能。造成网络拥塞：在扫描漏洞主机的过程中，蠕虫需要：判断其它计算机是否存在；判断特定应用服务是否存在；判断漏洞是否存在等等，这不可避免的会产生附加的网络数据流量。消耗系统资源：蠕虫入侵到计算机系统之后，会在被感染的计算机上产生自己的多个副本，每个副本启动搜索程序寻找新的攻击目标。留下安全隐患：大部分蠕虫会搜集、扩散、暴露系统敏感信息（如用户信息等），并在系统中留下后门。 9.4DOS病毒 DOS病毒是指针对DOS操作系统开发的病毒，它们是最早出现、数量最多、变种也最多的计算机病毒。由于Windows系统的普及，DOS病毒几乎绝迹一部分DOS病毒可以在Win9x中进行传播和破坏，甚至在Windows的DOS窗口下运行。毛毛虫病毒发作时在DOS系统的界面上。有一只毛毛虫不停的走动。毛毛虫经过的区域，屏幕上原来正常显示的内容被遮住了，同时DOS系统无法进行正常工作。 9.5引导型病毒引导型病毒是指改写磁盘上的引导扇区信息的病毒。引导型病毒主要感染软盘和硬盘的引导扇区或者主引导区，在系统启动时，由于先行执行引导扇区上的引导程序，使得病毒加载到系统内存上。引导型病毒一般使用汇编语言编写，因此病毒程序很短，执行速度很快。例如Stone、Brain、Pingpang、Monkey等小球病毒在系统启动后进入系统内存，执行过程中在屏幕上一直有一个小球不停的跳动，呈近似正弦曲线状。 9.6文件病毒文件型病毒是指能够寄生在文件中的以文件为主要感染对象的病毒。这类病毒主要感染可执行文件或者数据文件。文件型病毒是数量最为庞大的一种病毒，它主要分为伴随型病毒、“蠕虫”型病毒和寄生型病毒几种。例如CIH病毒、红色代码、蓝色代码。 9.7CIH CIH病毒，又名“切尔诺贝利”，是一种可怕的电脑病毒。它是由台湾大学生陈盈豪编制的，九八年五月间，陈盈豪还在大同工学院就读时，完成以他的英文名字缩写“CIH”名的电脑病毒起初据称只是为了“想纪念一下1986的灾难”或“使反病毒软件公司难堪”。 CIH病毒很多人会闻之色变，因为CIH病毒是有史以来影响最大的病毒之一。从1998年6月，从台湾出现之后，CIH病毒引起了持续一年的恐慌，因为它本身具有巨大的破坏性，尤其它是第一个可以破坏某些电脑硬件的病毒。 CIH病毒只在每年的4月26日发作，其主要破坏硬盘上的数据,并且破坏部分类型主板上的Flash BIOS，是一种既破坏软件又破坏硬件的恶性病毒。当系统的时钟走到了4月26日这一天，中了CIH病毒的计算机将受到巨大的打击。病毒开始发作时，出现“蓝屏”现象，并且提示当前应用被终止，系统需要重新启动当计算机被重新启动后，用户会发现自己计算机硬盘上的数据被全部删除了，甚至某些计算机使用者主板上Flash ROM中的BIOS数据被清除。虽然CIH病毒感染的是Windows95、Windows98可执行文件的病毒，其威胁已经几乎退出了历史舞台，但是CIH病毒给当时计算机界带来的影响是巨大的，而且由于其首次实现了对硬件的破坏，对人们的心里造成的危害也是无法估量的。红色代码病毒是一种网络传播的文件型病毒。该病毒主要针对微软公司的Microsoft IIS和索引服务的Windows NT4.0以及Windows2000服务器中存在的技术漏洞进行对网站的攻击。服务器受到感染的网站将被修改。如果是在英文系统下，红色代码病毒会继续修改网页；如果是在中文系统下，红色代码病毒会继续进行传播。 9.8宏病毒宏是微软公司为其OFFICE软件包设计的一个特殊功能，软件设计者为了让人们在使用软件进行工作时，避免一再地重复相同的动作而设计出来的一种工具，它利用简单的语法，把常用的动作写成宏，当在工作时，就可以直接利用事先编好的宏自动运行，去完成某项特定的任务，而不必再重复相同的动作，目的是让用户文档中的一些任务自动化。可以把特定的宏命令代码附加在指定文件上，通过文件的打开或关闭来获取控制权，实现宏命令在不同文件之间的共享和传递，从而在未经使用者许可的情况下获取某种控制权，达到传染的目的。以Word为例，一旦病毒宏侵入WORD，它就会替代原有的正常宏，如FileOpen、FileSave、FileSaveAs和 FilePrint等等，并通过这些宏所关联的文件操作功能获取对文件交换的控制。宏病毒的表现现象尝试保存文档时，Word只允许保存为文档模板 Word文档图标的外形类似文档模板图标而不是文档图标在工具菜单上选择“宏”并单击“宏”后，程序没有反应宏列表中出现新宏打开Word文档或模板时显示异常消息如果打开一个文档后没有进行修改，立即就有存盘操作 9.9 Word文档杀手病毒 Word文档杀手病毒通过网络进行传播，大小为53248字节。该病毒运行后会搜索软盘、U盘等移动存储磁盘和网络映射驱动器上的Word文档，并试图用自身覆盖找到的Word文档，达到传播的目的。病毒将破坏原来文档的数据，而且会在计算机管理员修改用户密码时进行键盘记录，记录结果也会随病毒传播一起被发送。 Word文档杀手病毒运行后，将在用户计算机中创建图中所示的文件。当sys文件创建好后，Word文档杀手病毒将在注册表中添加下列启动项：[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run] “Explorer”=“%SystemDir%\sys.exe” 。这样，在Windows启动时，病毒就可以自动执行了。病毒运行后，当用户试图打开Word文档，则出现下图所示的消息框。 9.10 “武汉男生”俗称“熊猫烧香” 2007年李俊制作该病毒。它是一个感染型的蠕虫病毒，它能感染系统中exe，com，pif，src，html，asp等文件，它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件，该文件是一系统备份工具GHOST的备份文件，使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。 10. 病毒的防范 10.1 文件型病毒的防范对文件型病毒的防范，一般采用以下一些方法：安装最新版本、有实时监控文件系统功能的防病毒软件。及时更新病毒引擎，一般每月至少更新一次，最好每周更新一次，并在有病毒突发事件时立即更新。经常使用防毒软件对系统进行病毒检查。对关键文件，如系统文件、重要数据等，在无毒环境下经常备份。在不影响系统正常工作的情况下对系统文件设置最低的访问权限。引导型病毒的防范尽量避免使用软盘等移动设备保存和传递资料，如果需要使用，则应该先对软盘中的文件进行病毒的查杀。软盘用完后应该从软驱中取出。避免在软驱中存有软盘的情况下开机或者启动操作系统。 10.2 宏病毒的防范对宏病毒进行防范可以采取如下几项措施：提高宏的安全级别。目前的高版本的Word软件可以设置宏的安全级别，在不影响正常使用的情况下，应该选择较高的安全级别。删除不知来路的宏定义。将Normal.dot模板进行备份，当被病毒感染后，使用备份模板进行覆盖。如果怀疑外来文件含有宏病毒，可以使用写字板打开该文件，然后将文本粘贴到Word中，转换后的文档是不会含有宏的 10.3 蠕虫病毒的防范针对蠕虫病毒传播方式的特点，对其进行防范需要以下的一些措施：给计算机的账户设置比较复杂的密码，防止被蠕虫病毒破译。购买主流的网络安全产品，并随时更新。提高防杀病毒的意识，不要轻易点击陌生的站点。不要随意查看陌生邮件，尤其是带有附件的邮件。对于网络管理人员，尤其是邮件服务器的管理人员，需要经常检测网络流量，一旦发现流量猛增，有可能在网络中已经存在了蠕虫病毒。

展开阅读全文