|
病毒都具有一定的基本特性,这些基本特性主要指的是病毒的传染性、繁殖性、破坏性、恶作剧等其它表现,这是普通病毒所应具备的基本特性。 过去,一些教科书里对病毒的基本定义简单的说是“具有传染性质的一组代码,可称为‘病毒’”。即病毒从一个文件传染到另一个文件上,许多文件会染毒。引导区病毒从一个磁盘传染到另一个磁盘上。 而在互联网时代,网络会在互联网上通过一台机器自动传播到另一台机器上,一台机器中只有一个蠕虫病毒,当然,也有的蠕虫可以在当前机器中感染大量文件。 现在应发展一下对病毒的基本定义。即对病毒的基本定义简单的说是“具有传播性质的一组代码,可称为‘病毒’”。 病毒的这些基本特性不能用来决定病毒是属于第几代的。能用变化自身代码和形状来对抗反病毒手段的变形病毒才是下一代病毒首要的基本特征。我们通过多年的反病毒研究,对变形病毒做了以下定义: 变形病毒特征主要是,病毒传播到目标后,病毒自身代码和结构在空间上、时间上具有不同的变化。我们以下简要划分的变形病毒种类分为四类。 第一类变形病毒的特性是:具备普通病毒所具有的基本特性,然而,病毒每传播到一个目标后,其自身代码与前一目标中的病毒代码几乎没有三个连续的字节是相同的,但这些代码其相对空间的排列位置是不变动的, 这里称为:一维变形病毒。 在一维变形病毒中, 个别的病毒感染系统后,遇到检测时能够进行自我加密或脱密,或自我消失。有的列目录时能消失增加的字节数,或加载跟踪时,病毒能破坏跟踪或者逃之夭夭。 第二类变形病毒的特性是:除了具备一维变形病毒的特性外,并且那些变化的代码相互间的排列距离(相对空间位置),也是变化的,这里称为:二维变形病毒。 在二维变形病毒中, 有如前面提到的MADE-SP病毒等,能用某种不动声色特殊的方式或混载于正常的系统命令中去修改系统关键内核,并与之溶为一体,或干脆另创建一些新的中断调用功能。有的感染文件的字节数不定,或与文件溶为一体。 第三类变形病毒的特性是:具备二维变形病毒的特性,并且能分裂后分别潜藏在几处,当病毒引擎被激发后都能自我恢复成一个完整的病毒。病毒在附着体上的空间位置是变化的,即潜藏的位置不定。比如:可能一部分藏在第一台机器硬盘的主引导区,另外几部分也可能潜藏在几个文件中,也可能潜藏在覆盖文件中,也可能潜藏在系统引导区、也可能另开垦一块区域潜藏...等等。而在下一台被感染的机器内,病毒又改变了其潜藏的位置。这里称为:三维变形病毒。 第四类变形病毒的特性是:具备三维变形病毒的特性,并且,这些特性随时间动态变化。比如,在染毒的机器中,刚开机时病毒在内存里变化为一个样子,一段时间后又变成了另一个样子,再次开机后病毒在内存里又是一个不同的样子。还有的是这样一类病毒,其本身就是具有传播性质的“病毒生产机”病毒,它们会在计算机内或通过网络传播时,将自己重新组合代码生成于前一个有些代码不同的变种新病毒,这里称为:四维变形病毒。 四维变形病毒大部分具备网络自动传播功能,在网络的不同角落里到处隐藏。 还有一些这类高级病毒不再持有以往绝大多数病毒那种“恶作剧”的目的,它可能主要是,人类在信息社会投入巨资研究出的、可扰乱破坏社会的信息、政治、经济制序等、或是主宰战争目的的一种“信息战略武器”病毒。它们有可能接受机外遥控信息,也可以向外发出信息。比如在多媒体机上可通过视频、音频、无线电或互联网收发信息。也可以通过计算机的辐射波,向外发出信息。也可以潜藏在联接Internet网的计算机中,收集密码和重要信息,再悄悄的随着主人通信时,将重要信息发出去(I-WORM/MAGISTR(马吉思)病毒就有此功能),这些变形病毒的智能化程度相当高。 以上,我们把变形病毒划分定义为一维变形病毒、二维变形病毒、三维变形病毒、四维变形病毒。这样,可使我们站在一定的高度上对变形病毒有一个较清楚的认识,以便今后针对其采取强而有效的措施进行诊治。 以上的四类变形病毒可以说是病毒发展的趋向,也就是说:病毒主要朝着能对抗反病毒手段和有目的方向发展。目前,已发展到了一维、二维、三维变形病毒。互联网的发展,使病毒、黑客、后门、漏洞、有害代码等相互结合起来,对信息社会造成极大的威胁。 国际上最早最有名的Backdoor.BO1.2、BO2K和国产的“冰河”的客户端程序是一个可潜伏在用户机中的后门程序,它可将用户上网后的计算机大开后门,任意进出。可以记录各种口令信息,获取系统信息,限制系统功能:包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制;还可远程文件操作:包括创建、上传、下载、复制、修改、删除文件或目录、文件压缩、快速浏览文件、远程打开文件等多项文件操作功能;还可对注册表操作:包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能。这在当时,影响极大。 国产类似上述的后门程序有“冰河”一系列版本,被散发的面积很大,有相当多的用户在不知不觉中使机器中“毒”。 这是一个基于TCP/IP协议和WINDOWS操作系统的网络工具,可用于监控远程计算机和配置服务器程序。但是,其被监控端后台监控程序在被执行时,没有明显的告诫警示不明用户的安装界面和安装路径及其屏幕右下角没有最小化托盘图标,而是悄悄的就安装在用户机中了,为用户带来潜在的危害。所以,被所有反病毒公司的反病毒软件做为“后门有害程序”而杀掉。 类似这类的国内外程序还有,YAI、PICTURE、NETSPY、NETBUS、DAODAN、BO.PROC、CAFCINI.09、BADBOY、INTERNA 、QAZ、SPING、THETHING、MATRIM、SUBx等等。主要的特络依木马有SURFSPY、EXEBIND、SCANDRIV、NCALRPC、WAY20、OICQ.KEY、CAINABEL151、ZERG、BO.1EANPB、COCKHORSE、ZSPYIIS、NETHISF等等。 其中OICQ.KEY、NETHISF一种可将IP地址、系统密码等发出去的特络依木马,被不轨人悄声捆绑在某OICQ在线聊天程序中,结果被人下载了几十万多次,真不知有多少人受到伤害。 还有那些直接就破坏的恶性程序,如shanghai.TCBOMB(上海TC炸弹),放在网上供人下载。不知情的用户一执行后,瞬间硬盘就不能用了,数据就取不出来了,这会使受害者茹痛不生。还有HARM/DEL-C,这个程序被人用了一个响亮的名字,一执行后,C盘下的文件全被删除了。这类恶意程序还有FUNJOKE、SIJI、HA-HA、MAILTOSPAM、SYSCRASH、CLICKME、QUAKE、WAY20、TDS.SE、STRETCH、NUKER等等。 还有那些不破坏的恶作剧,出现一幅吓人的画面,或死机,或屏幕抖动等等。这类程序有JOKE/GHOS(女鬼)、TBLUEBOMB、FLUKE、JOKEWOW等等。 攻击类的黑客程序,它是行为人(黑客)使用的工具,一般的反病毒软件不去查它,留给“网络防火墙”来处理。 网络的广泛使用和漫无边际的交流,为破坏者提供了场所。一些恶性破坏程序和恶作剧等各种各样的有害代码被人在网上传播和供人下栽,或以美丽猎奇的标题诱人上当。这些有害代码也成了反病毒软件的任务。 目前,国内外的后门、漏洞、有害代码等成了反病毒软件要对付的主攻方向,已有了2000多种,仅次于7500多种宏病毒。有害代码程序会越来越多,而查毒软件对其没有任何先知的智能化的查找方法,最多也只能在其行为上(破坏时)进行“实时监测”。目前,病毒到底有多少ⅶ 各反病毒公司说法不一。笔者于2000年12月参加了在日本东京举行的“亚洲计算机反病毒大会”,几乎世界各国的反病毒专家和著名的反病毒厂家也参加了会议。大会对2000年11月以前的病毒种类和数量作出了初步的报告。如下: DOS病毒: 40000 种 WIN32病毒: 15 种 WIN9x病毒: 600 种 WINNT/WIN2000病毒: 200 种 WORD宏病毒: 7500 种 EXCEL宏病毒: 1500 种 PowerPoint病毒: 100 种 Script脚本病毒: 500 种 Macintos苹果机病毒: 50 种 Linux病毒: 5 种 手机病毒: 2 种 合计: 55000 种 国际上有名的病毒编写组织有: 29A Linezero MetaPhase 随着计算机的不断发展,和历史原因,以及软件、硬件上技术的垄断与操作系统、办公集成系统在习惯上根深蒂固的垄断及延续,造成了计算机所固有的脆弱性。 比如,因芯片或硬盘(或光盘)或软件在技术上的被垄断, 垄断部门有可能把“病毒”设计进芯片或硬盘(或光盘)或软件的非正常区域。或在硬件、软件中留有“后门”,非常时期时再通过某种方式将“病毒”激活, 或将“后门”打开,施行毁灭性的打击,真是神不知鬼不觉。 比如说:CPU等芯片,它的功能和构造比我们身上带的BP机要强大和复杂的多,谁能说它里面没有“后门”或“病毒”呢!它是否能象BP机一样通过主板上的导线接收外来的无线信息这不是太容易了吗ⅶ 一但接收到了外来信息,它是否会放出“病毒”或开启“后门”或发出破坏指令呢,或令“死机”!哪后果可想而知... 我们已发现某一广泛使用的操作系统中的一处“缺陷”!这是“缺陷”ⅶ 还是“后门”? 我们还发现某操作系统中隐藏有一处非常危险的逻辑错误,是“错误”ⅶ还是隐藏的“炸弹”ⅶ 为什么至今连续几年的新版本都不改掉!为什么另一家相同功能的操作系统中就没有这一“错误”!这一“错误”(后门)如果在信息战中被利用,计算机将彻底瘫痪!这一现状,必应引起我们的高度重视,小规模的信息化战争和对抗已不断出现。比如说,94年4月,南非的黑人领袖在竞选总统时获得较大优势,但是,最后在统计选票的关键时刻,出现了计算机病毒的严重事件,机器被病毒搞瘫痪了,迫使选票结果推迟了几天,险些使大选结果遭到毁灭性破坏。这一事件的产生过程,直到现在还是个谜。中美黑客对抗和攻击引发我们深思...。 大规模的信息战争也将一触即发。所以,我们必须加强反病毒手段的研究和全方位信息安全的研究。 国际互联网Internet的广泛发展,虽然加速了病毒的传播速度和广度,但是,各国的老病毒由于其本身的局限性还不会在全球广泛传播。只有本地化和地域性的新型病毒随着国与国信息的频繁往来交流,将上升为全球性病毒。新病毒对各国来说都是新的,这就要看谁具备了快速的反病毒手段,谁具备了快速为用户能解除病毒的条件。 另外,在网络上抗病毒(防火墙)和对网络性能要求成反比,所以,总会有漏网的病毒,目前,各国都在研究各种各样的防火墙(防病毒是防火墙内的功能之一),但在网络上还没有完美无缺的抗病毒方法和产品。据实验,最好的防病毒产品,对新病毒的漏网率为20%,那么,10个新病毒就可能有2个漏网,100个新病毒就可能有20个病毒漏网,这多可怕!而往往有时用户的机器中也就染上了那么一两种病毒,而就这一两种病毒就使机器不能正常工作了,而也就在这时,这一两种病毒使那些能杀1千种、1万种、5万种的杀毒软件的威风不知道哪去了。也就为了杀除这一两种病毒,用户到处寻求有效的反病毒解决方案!在反病毒的长期过程中,我们必须用科学的观点正视如下现实: 1) 目前的防病毒软硬件不可能自动防今后一切病毒! 2) 目前的查解病毒软硬件不可能自动查解今后一切病毒而又能正确自动恢复被这些新病毒感染的文件! 有些惑人的广告词,如“自动查解今后一切未知病毒”、“可解除所有病毒”、“百分之百查杀世界流行病毒”等等,太夸大其词了。如果,这些广告词的创造者,真正亲自研究解除过一百种以上病毒,那他就不会使用“一切”、“所有”的词了,因为那些病毒的创造者们头脑十分发达灵巧,魔法无穷,怪招百出。谁也不能预计今后一切病毒会发展到什么样子,很难能开发出具有先知先觉功能的“一切”、“所有”的自动反病毒软硬件和工具。 3) 目前的防、查、解病毒软件和硬件, 如果其对付的病毒种类越多,越会有误查误报现象,也不排除有误解或解坏现象。杀毒编程太费事、太累、还要冒风险,后来国外有的软件干脆只杀除其已知病毒的70%,复杂病毒只查不杀了。所以,杀病毒时,用户应遵循一查找、二备份、三解除的原则。 4) 目前的防、查、解病毒软件和硬件是易耗品, 必须经常更新、升级或自我升级。 病毒穷出不尽,有时明明知道机内染有一种新病毒,那么在别的机器内和磁盘中还有此病毒吗? 这需要靠经验和时间去费力的判断,用户苦于手头没有主动式快速诊治新病毒的手段。 目前,计算机病毒之所以到处不断的泛滥,其一个方面的原因就是查解病毒的手段老是跟在一些新病毒的后面发展,所以病毒就到处传染。并且,现代信息传递有多么快、多么广,病毒就传染有多么快、多么广。病毒产生在先、诊治手段在后,让病毒牵着鼻子走的状态,怕是长久问题。 那么,有没有能紧紧跟上病毒的传播,而对其采取有效的查解手段呢? 最起码在新病毒刚露头时,就应有能立即快速将其查找出来的手段,这样可针对其采取相应的措施,将新病毒消灭在初发阶段。 目前,要想有效诊治病毒的手段之一,就是最起码应该使懂电脑基本操作的和略知病毒常识的用户,有一种能不必编程序而可方便有效的主动去快速查出新病毒的手段。查出新病毒后,可根据情况采取相应对策,这样做会及早的限制住新病毒的流行。 这种方法之一就是,用户应有一种能根据病毒特征码和开放式加载查毒模块来查出普通病毒和变形病毒的专门的程序,其新病毒的特征码和解密模块可通过专业报刊杂志和Internet网及有关渠道获得,需要有反病毒部门经常提供新病毒特征码和反毒程序模块。 那么,有这种可以随时增加查病毒能力的程序吗?那些变形病毒容易查出吗ⅶ变形病毒的出现,使抗病毒的难度加大了。在这里我们说,病毒在发展,但反病毒理论和技术也在发展!一种杀病毒软件性能优劣的一个关键方面就是看,用什么样的理论来指导技术上的快速跟进。 比如说:目前,国际上已有数万种病毒,但是变种占了一半多。把变种相似的分类,分几个、几十个、几百个一组找出它们共有的特殊代码,我们称为广谱病毒特征码,这不就是可用几组、几十组简单的广谱特征码就可查出几百个、几千个老病毒和新病毒了吗? 难道这不好吗? 再如磁盘引导区有512个字节,感染这地方的病毒有千百种,可我们只用不到十个字节的广谱病毒特征码,就可以查出几十个、几百个引导区病毒,这也不可取吗ⅶ再如WORD宏病毒大潮,来势凶凶,铺天盖地。当我们研究了一大部分宏病毒后,发现了宏病毒的广谱特性,因此,来多少杀多少! 话再说回来,狡诈的变形加密病毒,象乱线团一个,几乎让人解不开。用具有特殊技术的查毒方法,使上述病毒在静态环境中是很容易被发现。所谓静态环境就是指重新加电,用干净软盘引导系统。这样,就可在内存无病毒的状态下,用具有特殊扫描方法的软件去主动搜索病毒。即我们可用广谱过滤法、以毒攻毒法、跟踪法、逻辑法、逆转显影法、内存反转法、虚拟机法、启发式分析法、指纹分析法、神经网络敏感系统...等等,目前,还没有解不了的变形病毒。 对用户需要来说,抗病毒最有效的方法是:一备份!二备份!三备份! 对用户需要来说,抗病毒最有效的手段是:病毒库升级要快!快!快! 对用户需要来说,病毒破坏后最没办法的办法是:死马当着活马医-灾难恢复! |
发表于 2007-4-30 23:49:49
