计算机信息安全的基础知识 病毒的演变

1、计算机病毒的演变

20 世纪80年代早期出现了第一批计算机病毒。这些早期的尝试大部分是试验性的，并且是相对简单的自行复制的文件，它们仅在执行时显示简单的恶作剧而已。

1986 年，报道了攻击 Microsoft? MS-DOS? 个人计算机的第一批病毒;人们普遍认为 Brain 病毒是这些计算机病毒中的第一种病毒。然而，1986 年出现的其他首批病毒还包括 Virdem(第一个文件病毒)和 PC-Write(第一个特洛伊木马病毒，此程序看上去有用或无害，但却包含了旨在利用或损坏运行该程序的系统的隐藏代码。)在 PC-Write 中，特洛伊木马程序伪装成一个同名的流行共享软件：字处理器应用程序。

随着更多的人开始研究病毒技术，病毒的数量、被攻击的平台数以及病毒的复杂性和多样性都开始显著提高。病毒在某一时期曾经着眼于感染启动扇区，然后又开始感染可执行文件。1988 年出现了第一个 Internet 蠕虫病毒(一种使用自行传播恶意代码的恶意软件，它可以通过网络连接，自动将其自身从一台计算机分发到另一台计算机)。Morris Worm 导致 Internet 的通信速度大大地降低。为了应对这种情况以及病毒爆发次数的不断增长，出现了 CERT Coordination Center(网址：http://www.cert.org/)，通过协调对病毒爆发和事件的响应来确保 Internet 的稳定性。

1990 年，网上出现了病毒交流布告栏，成为病毒编写者合作和共享知识的平台。此外，还出版了第一本关于病毒编写的书籍，并且开发出了第一个多态病毒(通常称为 Chameleon 或 Casper)。多态病毒是一种恶意软件，它使用不限数量的加密例程以防止被检测出来。多态病毒具有在每次复制时都可以更改其自身的能力，这使得用于"识别"病毒的基于签名的防病毒软件程序很难检测出这种病毒。此后不久，即出现了 Tequila 病毒，这是出现的第一个比较严重的多态病毒攻击。接着在 1992 年，出现了第一个多态病毒引擎和病毒编写工具包。

自那时起，病毒就变得越来越复杂：病毒开始访问电子邮件通讯簿，并将 其自身发送到联系人;宏病毒将其自身附加到各种办公类型的应用程序文件并攻击这些文件;此外还出现了专门利用操作系统和应用程序漏洞的病毒。电子邮件、对等 (P2P) 文件共享网络、网站、共享驱动器和产品漏洞都为病毒复制和攻击提供了平台。在已感染系统上创建的后门(由恶意软件引入的秘密或隐藏的网络入口点)使得病毒编写者(或黑客)可以返回和运行他们所选择的任何软件。

有些病毒附带其自身的嵌入式电子邮件引擎，可以使已感染的系统直接通过电子邮件传播病毒，而绕过此用户的电子邮件客户端或服务器中的任何设置。病毒编写者还开始认真地设计病毒攻击的结构并使用社会工程，来开发具有可信外观的电子邮件。这种方法旨在获取用户的信任，使其打开附加的病毒文件，来显著地增加大规模感染的可能性。
恶意软件演变的同时，防病毒软件也处在不断的发展之中。但是，当前大多数防病毒软件几乎完全依赖于病毒签名或恶意软件的识别特性来识别潜在有害的代码。从一个病毒的初始版本到此病毒的签名文件被防病毒供应商广泛分发之间，仍然存在存活机会。因此，现在发布的许多病毒在最初的数天内感染速度极快，之后一旦分发了应对病毒的签名文件，感染速度则迅速降低。

2、恶意软件

"恶意软件"作为一个集合名词，来指代故意在计算机系统上执行恶意任务的病毒、蠕虫和特洛伊木马。

对于笼统的防病毒讨论，可使用以下简单的恶意软件类别定义：

• 特洛伊木马：该程序看上去有用或无害，但却包含了旨在利用或损坏运行该程序的系统的隐藏代码。特洛伊木马程序通常通过没有正确说明此程序的用途和功能的电子邮件传递给用户。它也称为特洛伊代码。特洛伊木马通过在其运行时传递恶意负载或任务达到此目的。

• 蠕虫：蠕虫使用自行传播的恶意代码，它可以通过网络连接自动将其自身从一台计算机分发到另一台计算机上。蠕虫会执行有害操作，例如，消耗网络或本地系统资源，这样可能会导致拒绝服务攻击。某些蠕虫无须用户干预即可执行和传播，而其他蠕虫则需用户直接执行蠕虫代码才能传播。除了复制，蠕虫也可能传递负载。

• 病毒：病毒代码的明确意图就是自行复制。病毒尝试将其自身附加到宿主程序，以便在计算机之间进行传播。它可能会损害硬件、软件或数据。宿主程序执行时，病毒代码也随之运行，并会感染新的宿主，有时还会传递额外负载。

在提及特洛伊木马或特洛伊类型活动时，还有两个经常使用的术语，其识别方法和解释如下：

• 远程访问特洛伊：某些特洛伊木马程序使黑客或数据窃取者可以远程地控制系统。此类程序称为"远程访问特洛伊"(RAT) 或后门。RAT 的示例包括 Back Orifice、Cafeene 和 SubSeven。

• Rootkit：Rootkit 是软件程序集，黑客可用来获取计算机的未经授权的远程访问权限，并发动其他攻击。这些程序可能使用许多不同的技术，包括监视击键、更改系统日志文件或现有的系统应用程序、在系统中创建后门，以及对网络上的其他计算机发起攻击。Rootkit 通常被组织到一组工具中，这些工具被细化为专门针对特定的操作系统。第一批 Rootkit 是在 20 世纪 90 年代被识别出来的，当时 Sun 和 Linux 操作系统是它们的主要攻击对象。目前，Rootkit 可用于许多操作系统，其中包括 Microsoft Windows 平台。

3、恶意软件的特征

每类恶意软件可以表现出来的各种特征通常非常类似。例如，病毒和蠕虫可能都会使用网络作为传输机制。然而，病毒会寻找文件以进行感染，而蠕虫仅尝试复制其自身。以下部分说明了恶意软件的典型特征。

目标环境

恶意软件试图攻击宿主系统时，可能需要许多特定的组件，攻击才能成功。下面是一个典型示例，说明恶意软件在攻击宿主系统时所需的组件：

• 设备。某些恶意软件将一种设备类型作为专门的攻击目标，例如，个人计算机、Apple Macintosh 计算机甚至个人数字助理 (PDA)，但是请注意，PDA 恶意软件目前非常少见。

• 操作系统。恶意软件可能需要特殊的操作系统才会有效。

• 应用程序。恶意软件可能需要在目标计算机上安装特定的应用程序，才能传递负载或进行复制。

携带者对象

如果恶意软件是病毒，它会试图将携带者对象作为攻击对象(也称为宿主)并感染它。目标携带者对象的数量和类型随恶意软件的不同而大不相同，以下列表提供了最常用的目标携带者的示例：

• 可执行文件。这是通过将其自身附加到宿主程序进行复制的"典型"病毒类型的目标对象。除了使用 .exe 扩展名的典型可执行文件之外，具有以下扩展名的文件也可用作此用途：.com、.sys、.dll、.ovl、.ocx 和 .prg。

• 脚本。将脚本用作携带者目标文件的攻击，这些文件使用诸如 Microsoft Visual Basic? Script、JavaScript、AppleScript 或 Perl Script 之类的脚本语言。此类文件的扩展名包括：.vbs、.js、.wsh 和 .prl。

• 宏。这些携带者是支持特定应用程序(例如，字处理器、电子表格或数据库应用程序)的宏脚本语言的文件。例如，病毒可以在 Microsoft Word 和 Lotus Ami Pro 中使用宏语言来生成许多效果，从恶作剧效果(在文档四处改变单词或更改颜色)到恶意效果(格式化计算机的硬盘驱动器)。

• 启动扇区。计算机磁盘(硬盘和可启动的可移动媒体)上的特定区域(例如，主启动记录 (MBR) 或 DOS 启动记录)也可被认为是携带者，因为它们可以执行恶意代码。当某个磁盘被感染时，如果使用该磁盘来启动其他计算机系统，将会复制病毒。

注意：如果病毒同时将文件和启动扇区作为感染目标，可称其为"多部分"病毒。

传输机制

攻击可以使用一个或多个不同方法，在计算机系统之间尝试并复制。本部分提供了与恶意软件使用的几个比较常见的传输机制有关的信息。

• 可移动媒体。计算机病毒和其他恶意软件最初的、并且可能也是最多产的传送器(至少到当前为止)是文件传输。此机制开始于软盘，然后移动到网络，目前正在寻找新的媒体，例如，通用串行总线 (USB) 设备和火线。感染速度并不像基于网络的恶意软件那样快，但安全威胁却始终存在，而且难以完全消除，因为系统之间需要交换数据。

• 网络共享一旦为计算机提供了通过网络彼此直接连接的机制，就会为恶意软件编写者提供另一个传输机制，而此机制所具有的潜力可能会超出可移动媒体的能力，从而可以传播恶意代码。由于在网络共享上实现的安全性级别很低，因此会产生这样一种环境，其中恶意软件可以复制到大量与网络连接的计算机上。这在很大程度上替代了使用可移动媒体的手动方法。

• 网络扫描。恶意软件的编写者使用此机制来扫描网络，以查找容易入侵的计算机，或随意攻击 IP 地址。例如，此机制可以使用特定的网络端口将利用数据包发送到许多 IP 地址，以查找容易入侵的计算机进行攻击。

• 对等 (P2P) 网络。要实现 P2P 文件传输，用户必须先安装 P2P 应用程序的客户端组件，该应用程序将使用一个可以通过组织防火墙的网络端口，例如，端口 80。应用程序使用此端口通过防火墙，并直接将文件从一台计算机传输到另一台。这些应用程序很容易在 Internet 上获取，并且恶意软件编写者可以直接使用它们提供的传输机制，将受感染的文件传播到客户端硬盘上。

• 电子邮件。电子邮件已成为许多恶意软件攻击所选择的传输机制。电子邮件可以很容易地传送到几十万人，而恶意软件作恶者又无须留下自己的计算机，这使得电子邮件成为一种非常有效的传输方式。使用此方式哄骗用户打开电子邮件附件要相对容易一些(使用社会工程技术)。因而，许多最多产的恶意软件爆发已使用电子邮件作为它们的传输机制。有两种使用电子邮件作为传输机制的基本类型的恶意软件：

• 邮件程序。这种类型的恶意软件通过使用宿主上安装的邮件软件(例如，Microsoft Outlook? Express)，或使用其自身的内置简单邮件传输协议 (SMTP) 引擎，将其自身作为邮件发送到限定数量的电子邮件地址。

• 大量邮件程序。这种类型的恶意软件使用宿主上安装的邮件软件或其自身的内置 SMTP 引擎，在受感染的计算机上搜索电子邮件地址，然后将其自身作为邮件大量发送到这些地址。

• 远程利用。恶意软件可能会试图利用服务或应用程序中的特定安全漏洞来进行复制。此行为通常可以在蠕虫中见到;例如， Slammer 蠕虫利用 Microsoft SQL Server? 2000 中的漏洞。此蠕虫生成了一个缓冲区溢出，允许一部分系统内存被可在和 SQL Server 服务相同的安全上下文中运行的代码覆盖。缓冲区溢出这种情况的出现，是因为向缓冲区添加的信息多于其可以存储的信息量。攻击者可能会利用此漏洞来占用系统。Microsoft 在 Slammer 发布的数月之前即识别并修复了此漏洞，但是由于有少数系统未被更新，使得此蠕虫得以传播。

4、 其他恶意软件

有许多存在的威胁并不被认为是恶意软件，因为它们不是具有邪恶意图的计算机程序。但是，这些威胁对于一个用户而言仍然具有安全和经济上的影响。

玩笑软件

玩笑应用程序旨在生成一个微笑，或在最糟糕的情况下浪费某人的时间。这些应用程序自从人们开始使用计算机以来就一直存在。它们不是出于邪恶的目的而被开发的，而且很明白地标识为玩笑，

恶作剧

与其他形式的恶意软件一样，恶作剧也使用社会工程来试图欺骗计算机用户执行某些操作。但是，在恶作剧中并不执行任何代码;恶作剧者通常只尝试欺骗受害者。至今恶作剧已经采用了多种形式。但特别常见的一个示例为，某个电子邮件声称发现了一种新的病毒类型，并要您通过转发此邮件来通知您的朋友。这些恶作剧会浪费人们的时间，消耗电子邮件资源并占用网络带宽。

欺诈

实际上，违法者已经使用过各种通信形式(在这一次或那一次)，试图欺骗人们执行会给其带来某些经济利益的操作。Internet、网站和电子邮件都不例外。一个比较常见的示例是，违法者发送电子邮件，试图欺骗收件人透露个人信息(例如，银行帐户信息)，然后将这些信息用于非法用途。有一种特殊类型的欺诈称为"phishing"(发音同"fishing"，也称为"品牌欺骗"或"carding")。

phishing 的示例包括发件人伪装知名公司(例如，eBay)试图获取用户帐户信息这种情况。Phishing 欺诈通常使用一个模仿某公司官方网站外观的网站。电子邮件用于将用户指向虚假站点，并欺骗用户输入其用户帐户信息，而这些信息将被保存并用于非法用途。这些案例类型应认真处理，并要报告给本地的法律执行机构。

垃圾邮件

垃圾邮件是未经请求的电子邮件，用于为某些服务或产品做广告。它通常被认做是讨厌的东西，但是垃圾邮件不是恶意软件。但是，所发送的垃圾邮件数量的飞速增长已经成为 Internet 基础结构的一个问题，这可导致员工工作效率的降低，因为他们每天必须费力查看并删除此类邮件。

间谍软件

此类软件有时也称为"spybot"或"跟踪软件"。间谍软件使用其他形式的欺骗性软件和程序，它们在没有获取用户相应许可的情况下即在计算机上执行某些活动。这些活动可以包括收集个人信息，以及更改 Internet 浏览器配置设置。除了令人讨厌之外，间谍软件还会导致各种问题，从降低计算机的总体性能到侵犯个人隐私。

分发间谍软件的网站使用各种诡计，使用户下载并将其安装在他们的计算机上。这些诡计包括创建欺骗性的用户体验，以及隐蔽地将间谍软件和用户可能需要的其他软件(例如，免费的文件共享软件)捆绑在一起。

广告软件

广告软件通常与宿主应用程序组合在一起，只要用户同意接受广告软件即可免费提供宿主应用程序。因为广告软件应用程序通常在用户接受说明应用程序用途的许可协议之后进行安装，因而不会给用户带来任何不快。但是，弹出式广告会非常令人讨厌，并且在某些情况下会降低系统性能。此外，有些用户原来并没有完全意识到许可协议中的条款，这些应用程序收集的信息可能会导致他们担心隐私问题。

5、风险防护

加强自我防范意识是我们防御网络威胁的第一步，我们将从以下11个方面来介绍平时使用网络过程中需加强的防范意识。

1、预防第一

保持获取信息。通过相关途径获取最新爆发的病毒和威胁的信息和防范方式。

2、得到保护

安装防病毒程序。如果你是一个家庭或者个人用户，下载任何一个排名最佳的程序都相当容易，而且可以按照安装向导进行操作。如果你在一个网络中，首先咨询你的网络管理员。

3、定期扫描你的系统

如果你刚好是第一次启动防病毒软件，最好让它扫描一下你的整个系统。干净并且无病毒问题地启动你的电脑是很好的一件事情。通常，防病毒程都能够设置成在计算机每次启动时扫描系统或者在定期计划的基础上运行。一些程序还可以在你连接到互联网上时在后台扫描系统。定期扫描系统是否感染有病毒，最好成为你的习惯。

4、更新你的防病毒软件

既然你安装了病毒防护软件，就应该确保它是最新的。一些防病毒程序带有自动连接到互联网上，并且只要软件厂商发现了一种新的威胁就会添加新的病毒探测代码的功能。你还可以在此扫描系统查找最新的安全更新文件。

5、不要轻易执行附件中的EXE和COM等可执行程序

这些附件极有可能带有计算机病毒或是黑客程序，轻易运行，很可能带来不可预测的结果。对于认识的朋友和陌生人发过来的电子函件中的可执行程序附件都必须检查，确定无异后才可使用。

6、不要轻易打开附件中的文档文件

对方发送过来的电子函件及相关附件的文档，首先要用"另存为…"命令("Save As…")保存到本地硬盘，待用查杀计算机病毒软件检查无毒后才可以打开使用。如果用鼠标直接点击两下DOC、XLS等附件文档，会自动启用Word或Excel，如有附件中有计算机病毒则会立刻传染;如有"是否启用宏"的提示，那绝对不要轻易打开，否则极有可能传染上电子函件计算机病毒。

7、不要直接运行附件

对于文件扩展名很怪的附件，或者是带有脚本文件如*.VBS、*.SHS等的附件，千万不要直接打开，一般可以删除包含这些附件的电子函件，以保证计算机系统不受计算机病毒的侵害。

8、邮件设置

如果是使用Outlook作为收发电子邮件软件的话，应当进行一些必要的设置。选择"工具"菜单中的"选项"命令，在"安全"中设置"附件的安全性"为"高";在"其他"中按"高级选项"按钮，按"加载项管理器"按钮，不选中"服务器脚本运行"。最后按"确定"按钮保存设置。

9、慎用预览功能

如果是使用Outlook Express作为收发电子函件软件的话，也应当进行一些必要的设置。选择"工具"菜单中的"选项"命令，在"阅读"中不选中"在预览窗格中自动显示新闻邮件"和"自动显示新闻邮件中的图片附件"。这样可以防止有些电子函件计算机病毒利用Outlook Express的缺省设置自动运行，破坏系统。

10、卸载Scripting Host

对于使用Windows 98操作系统的计算机，在"控制面板"中的"添加/删除程序"中选择检查一下是否安装了Windows Scripting Host。如果已经安装，请卸载，并且检查Windows的安装目录下是否存在Wscript.exe文件，如果存在的话也要删除。因为有些电子函件计算机病毒就是利用Windows Scripting Host进行破坏的。

11、警惕发送出去的邮件

对于自己往外传送的附件，也一定要仔细检查，确定无毒后，才可发送。虽然电子函件计算机病毒相当可怕，只要防护得当，还是完全可以避免传染上计算机病毒的，仍可放心使用。

通过以上对蠕虫病毒的种种描述及其爆发的症状，相信大家已经对其有了较深的理解。由于蠕虫病毒是通过网络传播的，在如今网络高度发达的时期，蠕虫病毒是防不胜防的，我们只有筑好自己电脑上的防火墙和养成良好的上网习惯，才能把危害降到最低。

未经允许不得转载：DOIT » 计算机信息安全的基础知识 病毒的演变