計(jì)算機(jī)病毒概論

計(jì)算機(jī)病毒概論第1頁(yè)，共23頁(yè)，2023年，2月20日，星期二本章概要

病毒、惡意代碼和垃圾郵件是計(jì)算機(jī)系統(tǒng)中常見(jiàn)的安全威脅。這些安全威脅有以下共性：它們都是來(lái)自網(wǎng)絡(luò)以外；它們使用或破壞計(jì)算機(jī)資源；它們通常在用戶不知情或無(wú)意的情況下進(jìn)入計(jì)算機(jī)系統(tǒng)。2第2頁(yè)，共23頁(yè)，2023年，2月20日，星期二課程目標(biāo)通過(guò)本章的學(xué)習(xí)，讀者應(yīng)能夠：定義惡意代碼；描述惡意代碼的一般特征；識(shí)別幾種計(jì)算機(jī)惡意代碼并能列舉范例；識(shí)別幾種特殊類型惡意代碼并了解其特性；解釋各種類型的惡意代碼是如何進(jìn)入計(jì)算機(jī)系統(tǒng)，以及是如何在計(jì)算機(jī)系統(tǒng)中傳播的；了解可能感染惡意代碼的系統(tǒng)所表現(xiàn)出的常見(jiàn)癥狀或行為。3第3頁(yè)，共23頁(yè)，2023年，2月20日，星期二9.1什么是病毒？

惡意代碼或Malware，是一個(gè)可以中斷或破壞計(jì)算機(jī)網(wǎng)絡(luò)的程序或代碼。一些惡意代碼可以將自己附在宿主程序或文件中，而另一些惡意代碼則是獨(dú)立的。雖然一些惡意代碼破壞力很小，但大多數(shù)破壞類型的惡意代碼可能會(huì)降低系統(tǒng)運(yùn)行速度，造成數(shù)據(jù)丟失和文件毀壞，注冊(cè)表和配置文件被修改，或?yàn)楣粽邉?chuàng)造條件，使其可以繞過(guò)系統(tǒng)的安全程序。

提示：病毒是惡意代碼的一種形式。然而，病毒有某些其他類型惡意代碼所沒(méi)有的屬性。例如，他們只感染可執(zhí)行程序，不像其他惡意代碼可能是獨(dú)立的程序或能夠感染數(shù)據(jù)文件。此外，病毒有許多不同類型；所以為了區(qū)分明確，我們將病毒作為單獨(dú)的一個(gè)計(jì)算機(jī)威脅類型在第10章中討論。4第4頁(yè)，共23頁(yè)，2023年，2月20日，星期二9.2病毒簡(jiǎn)史20世紀(jì)60年代初，美國(guó)貝爾實(shí)驗(yàn)室里，三位年輕的程序員編寫了一個(gè)名為“磁芯大戰(zhàn)”的游戲，游戲中通過(guò)復(fù)制自身來(lái)擺脫對(duì)方的控制，這就是所謂“病毒”的第一個(gè)雛形。

20世紀(jì)70年代，美國(guó)作家雷恩在其出版的《P1的青春》一書中構(gòu)思了一種能夠自我復(fù)制的計(jì)算機(jī)程序，并第一次稱之為“計(jì)算機(jī)病毒”。

1983年11月，在國(guó)際計(jì)算機(jī)安全學(xué)術(shù)研討會(huì)上，美國(guó)計(jì)算機(jī)專家首次將病毒程序在VAX/750計(jì)算機(jī)上進(jìn)行了實(shí)驗(yàn)，世界上第一個(gè)計(jì)算機(jī)病毒就這樣出生在實(shí)驗(yàn)室中。5第5頁(yè)，共23頁(yè)，2023年，2月20日，星期二

20世紀(jì)80年代后期，巴基斯坦有兩個(gè)以編軟件為生的兄弟，他們?yōu)榱舜驌裟切┍I版軟件的使用者，設(shè)計(jì)出了一個(gè)名為“巴基斯坦智囊”的病毒，該病毒只傳染軟盤引導(dǎo)。這就是最早在世界上流行的一個(gè)真正的病毒。

1988年至1989年，我國(guó)也相繼出現(xiàn)了也能感染硬盤和軟盤引導(dǎo)區(qū)的Stoned(石頭)病毒，該病毒體代碼中有明顯的標(biāo)志“YourPCisnowstoned！”、“LEGALISEMARIJUANA！”，也稱為“大麻”病毒等。該病毒感染軟硬盤0面0道1扇區(qū)，并修改部分中斷向量表。6第6頁(yè)，共23頁(yè)，2023年，2月20日，星期二

該病毒不隱藏也不加密自身代碼，所以很容易被查出和解除。類似這種特性的還有“小球”、Azusa/Hong－Kong/2708、Michaelangelo，這些都是從國(guó)外傳染進(jìn)來(lái)的。而國(guó)產(chǎn)的有Bloody、Torch、DiskKiller等病毒，實(shí)際上它們大多數(shù)是Stoned病毒的翻版。

20世紀(jì)90年代初，感染文件的病毒有Jerusalem(黑色13號(hào)星期五)、YankeDoole、Liberty、1575、Traveller、1465、2062，4096等，主要感染.COM和.EXE文件。這類病毒修改了部分中斷向量表，被感染的文件明顯的增加了字節(jié)數(shù)，并且病毒代碼主體沒(méi)有加密，也容易被查出和解除。7第7頁(yè)，共23頁(yè)，2023年，2月20日，星期二

這些病毒中，略有對(duì)抗反病毒手段的只有YankeeDoole病毒，當(dāng)它發(fā)現(xiàn)你用Debug工具跟蹤它的話，它會(huì)自動(dòng)從文件中逃走。接著，又一些能對(duì)自身進(jìn)行簡(jiǎn)單加密的病毒相繼出現(xiàn)，有1366(DaLian)、1824(N64)、1741(Dong)、1100等病毒。它們加密的目的主要是防止跟蹤或掩蓋有關(guān)特征等。在內(nèi)存有1741病毒時(shí)，用DIR列目錄表，病毒會(huì)掩蓋被感染文件所增加的字節(jié)數(shù)，使看起來(lái)字節(jié)數(shù)很正常。而1345－64185病毒卻每傳染一個(gè)目標(biāo)就增加一個(gè)宇節(jié)，增到64185個(gè)字節(jié)時(shí)，文件就被破壞。8第8頁(yè)，共23頁(yè)，2023年，2月20日，星期二

以后又出現(xiàn)了引導(dǎo)區(qū)、文件型“雙料”病毒，這類病毒既感染磁盤引導(dǎo)區(qū)、又感染可執(zhí)行文件，常見(jiàn)的有Flip/Omicron、XqR(Newcentury)、Invader/侵入者、Plastique/塑料炸彈、3584/鄭州(狼)、3072(秋天的水)、ALFA/3072－2、Ghost/OneHalf/3544(幽靈)、Natas幽靈王)、TPVO/3783等，如果只解除了文件上的病毒，而沒(méi)解除硬盤主引導(dǎo)區(qū)的病毒，系統(tǒng)引導(dǎo)時(shí)又將病毒調(diào)入內(nèi)存，會(huì)重新感染文件。如果只解除了主引導(dǎo)區(qū)的病毒，而可執(zhí)行文件上的病毒沒(méi)解除，一執(zhí)行帶毒的文件時(shí)，就又將硬盤主引導(dǎo)區(qū)感染。9第9頁(yè)，共23頁(yè)，2023年，2月20日，星期二Flip/Omicron(顛倒)、XqR(Newcentury新世紀(jì))這兩種病毒都設(shè)計(jì)有對(duì)抗反病毒技術(shù)的手段，F(xiàn)lip(顛倒)病毒對(duì)其自身代碼進(jìn)行了隨機(jī)加密，變化無(wú)窮，使絕大部分病毒代碼與前一被感染目標(biāo)中的病毒代碼幾乎沒(méi)有三個(gè)連續(xù)的字節(jié)是相同的，該病毒在主引導(dǎo)區(qū)只潛藏了少量的代碼，病毒另將自身全部代碼潛藏于硬盤最后6個(gè)扇區(qū)中，并將硬盤分區(qū)表和DOS引導(dǎo)區(qū)中的磁盤實(shí)用扇區(qū)數(shù)減少了6個(gè)扇區(qū)，所以再次啟動(dòng)系統(tǒng)后，硬盤的實(shí)用空間就減少了6個(gè)扇區(qū)。這樣，原主引導(dǎo)記錄和病毒主程序就保存在硬盤實(shí)用扇區(qū)外，避免了其他程序的覆蓋，而且用Debug的L命令也不能調(diào)出查看，就是用Format進(jìn)行格式化也不能消除病毒，可見(jiàn)，病毒編制者用意深切！與此相似的還有Denzuko病毒。10第10頁(yè)，共23頁(yè)，2023年，2月20日，星期二

XqR(Newcentury新世紀(jì))病毒也有它更狡猾的一面，它監(jiān)視著INT13、INT21中斷有關(guān)參數(shù)，當(dāng)你要查看或搜索被其感染了的主引導(dǎo)記錄時(shí)，病毒就調(diào)換出正常的主引導(dǎo)記錄給你查看或讓你搜索，使你認(rèn)為一切正常，病毒卻蒙混過(guò)關(guān)。病毒的這種對(duì)抗方法，我們?cè)诖朔Q為：病毒在內(nèi)存時(shí)，具有“反串”(反轉(zhuǎn))功能。這類病毒還有Mask(假面具)、2709/ROSE(玫瑰)、One_Half/3544(幽靈)、Natas/4744、Monkey、PC_LOCK、DIE_HARD/HD2、GranmaGrave/Burglar/1150、3783病毒等，現(xiàn)在的新病毒越來(lái)越多的使用這種功能來(lái)對(duì)抗安裝在硬盤上的抗病毒軟件，但用無(wú)病毒系統(tǒng)軟盤引導(dǎo)機(jī)器后，病毒就失去了“反串”(反轉(zhuǎn))功能。

1345、1820、PCTCOPY－2000病毒卻直接隱藏在COMMAND.COM文件內(nèi)的空閑(0代碼)部位，從外表上看，文件一個(gè)字節(jié)也沒(méi)增加。11第11頁(yè)，共23頁(yè)，2023年，2月20日，星期二

INT60(0002)病毒隱藏的更加神秘，它不修改主引導(dǎo)記錄，只將硬盤分區(qū)表修改了兩個(gè)字節(jié)，使那些只檢查主引導(dǎo)記錄的程序認(rèn)為完全正常，病毒主體卻隱藏在這兩個(gè)字節(jié)指向的區(qū)域。硬盤引導(dǎo)時(shí)，ROM-BIOS程序糊里糊涂的按這兩個(gè)字節(jié)的引向，將病毒激活。病毒太狡猾了，只需兩個(gè)字節(jié)，就可以牽著機(jī)器的鼻子走！

Monkey(猴子)、PC_LOCK(加密鎖)病毒將硬盤分區(qū)表加密后再隱藏起來(lái)，如果輕易將硬盤主引導(dǎo)記錄更換，或用FDISK/MBR格式輕易將硬盤主引導(dǎo)記錄更換，那么，就再進(jìn)不了硬盤了，數(shù)據(jù)也取不出來(lái)了，所以，不要輕易使用FDISK/MBR格式。12第12頁(yè)，共23頁(yè)，2023年，2月20日，星期二1992年以來(lái)，DIR2－3、DIR2－6、NEWDIR2病毒以一種全新的面貌出現(xiàn)，具有極強(qiáng)感染力，無(wú)任何表現(xiàn)，不修改中斷向量表，而直接修改系統(tǒng)關(guān)鍵中斷的內(nèi)核，修改可執(zhí)行文件的首簇?cái)?shù)，將文件名字與文件代碼主體分離。在系統(tǒng)有此病毒的情況下，一切就像沒(méi)發(fā)生一樣；而當(dāng)系統(tǒng)無(wú)病毒時(shí)，此時(shí)用無(wú)病毒的文件去覆蓋有病毒的文件幟丫突岱⑸趟斜桓腥鏡目芍蔥形募諶荻際歉嶄哺墻サ奈募諶。這是病毒“我死你也活不成”的罪惡伎倆。該病毒的出現(xiàn)，使病毒又多了一種新類型。

20世紀(jì)內(nèi)，絕大多數(shù)病毒是基于DOS系統(tǒng)的，有80％的病毒能在Windows中傳染。TPVO/3783病毒是“雙料性”、(傳染引導(dǎo)區(qū)、文件)“雙重性”(DOS、Windows)病毒，這是病毒隨著操作系統(tǒng)發(fā)展而發(fā)展。當(dāng)然，Internet的廣泛應(yīng)用，Java惡意代碼病毒也出現(xiàn)了。13第13頁(yè)，共23頁(yè)，2023年，2月20日，星期二

腳本病毒“HAPPYTIME(快樂(lè)時(shí)光)”是一種傳染能力非常強(qiáng)的病毒。該病毒利用體內(nèi)VBScript代碼在本地的可執(zhí)行性(通過(guò)WindowsScriptHost進(jìn)行)，對(duì)當(dāng)前計(jì)算機(jī)進(jìn)行感染和破壞。即，一旦我們將鼠標(biāo)箭頭移到帶有HAPPYTIME病毒體的郵件名上時(shí)，不必打開(kāi)信件，就將受到HAPPYTIME病毒的感染，該病毒傳染能力很強(qiáng)。14第14頁(yè)，共23頁(yè)，2023年，2月20日，星期二

近幾年，出現(xiàn)了近萬(wàn)種Word(MACRO宏)病毒，并以迅猛的勢(shì)頭發(fā)展，已形成了病毒的另一大派系。由于宏病毒編寫容易，不分操作系統(tǒng)，再加上Internet網(wǎng)上用Word格式文件進(jìn)行大量的交流，宏病毒會(huì)潛伏在這些Word文件里，被人們?cè)贗nternet網(wǎng)上傳來(lái)傳去。早在1995年時(shí)，出現(xiàn)了一個(gè)更危險(xiǎn)的信號(hào)，病毒專家在對(duì)眾多的病毒剝析中，發(fā)現(xiàn)部分病毒好像出于一個(gè)家族，其“遺傳基因”相同，簡(jiǎn)單的說(shuō)是“同族”病毒。但絕不是其他好奇者簡(jiǎn)單的修改部分代碼而產(chǎn)生的“改形”病毒。15第15頁(yè)，共23頁(yè)，2023年，2月20日，星期二“改形”病毒的定義與“原種”病毒的代碼長(zhǎng)度相差不大，絕大多數(shù)病毒代碼與“原種”的代碼相同，并且相同的代碼其位置也相同，否則就是一種新的病毒。大量具有相同“遺傳基因”的“同族”病毒的涌現(xiàn)，使人不得不懷疑“病毒生產(chǎn)機(jī)”軟件已出現(xiàn)。1996年下半年在國(guó)內(nèi)終于發(fā)現(xiàn)了“G2、IVP、VCL”三種“病毒生產(chǎn)機(jī)軟件”，不法之徒，可以用來(lái)編出千萬(wàn)種新病毒。目前國(guó)際上已有上百種“病毒生產(chǎn)機(jī)”軟件。16第16頁(yè)，共23頁(yè)，2023年，2月20日，星期二

這種“病毒生產(chǎn)機(jī)”軟件可不用絞盡腦汁的去編程序，便會(huì)輕易的自動(dòng)生產(chǎn)出大量的“同族”新病毒。這些病毒代碼長(zhǎng)度各不相同，自我加密、解密的密鑰也不相同，原文件頭重要參數(shù)的保存地址不同，病毒的發(fā)作條件和現(xiàn)象不同，但是，這些病毒的主體構(gòu)造和原理基本相同。“病毒生產(chǎn)機(jī)”軟件，其“規(guī)格”有專門能生產(chǎn)變形病毒的、有專門能生產(chǎn)普通病毒的。目前，國(guó)內(nèi)發(fā)現(xiàn)的、或有部分變形能力的病毒生產(chǎn)機(jī)有“G2、IVP、VCL病毒生產(chǎn)機(jī)等十幾種。具備變形能力的有CLME、DAME－SP/MTE病毒生產(chǎn)機(jī)等。它們生產(chǎn)的病毒都有“遺傳基因”于相同的特點(diǎn)。沒(méi)有廣譜性能的查毒軟件，只能是知道一種，查一種，難于應(yīng)付“病毒生產(chǎn)機(jī)”生產(chǎn)出的大量新病毒。17第17頁(yè)，共23頁(yè)，2023年，2月20日，星期二

據(jù)某報(bào)報(bào)導(dǎo)，香港地區(qū)已有人也模仿歐美的MutationEneine(變形金剛病毒生產(chǎn)機(jī))軟件編寫出了一種稱為CLME(CrazyLordMutationEneine)即“瘋狂貴族變形金剛病毒生產(chǎn)機(jī)”，已放出了幾種變形病毒，其中一種名為CLME.1528。國(guó)內(nèi)也發(fā)現(xiàn)了一種名為CLME.1996、DAME－SP/MTE的病毒。更令人可惡的是，編程者公然在BBS站和國(guó)際互聯(lián)網(wǎng)Internet中慫恿他人下傳?！安《旧a(chǎn)機(jī)”的存在，隨時(shí)存在著“病毒暴增”的危機(jī)！危機(jī)一個(gè)接一個(gè)，網(wǎng)絡(luò)蠕蟲(chóng)病毒I－WORM.AnnaKournikova就是一種VBS/I-WORM病毒生產(chǎn)機(jī)生產(chǎn)的，它一出來(lái)，短時(shí)間內(nèi)就傳遍了全世界。這種病毒生產(chǎn)機(jī)也傳到了我國(guó)。

Windows9x、Windows2000操作系統(tǒng)的發(fā)展，也使病毒種類和樣隨其變化而變化。18第18頁(yè)，共23頁(yè)，2023年，2月20日，星期二1999年2月，“美麗莎”病毒席卷歐美大陸，是世界上最大的一次病毒浩劫，也是最大的一次網(wǎng)絡(luò)蠕蟲(chóng)大泛濫。

1998年2月，臺(tái)灣省的陳盈豪編寫出破壞性極大的Windows惡性病毒CIH-1.2版，并定于每年的4月26日發(fā)作破壞，然后，悄悄的潛伏在網(wǎng)上的一些供人下載的軟件中。

1999年4月26日，一個(gè)計(jì)算機(jī)行業(yè)難以忘卻的日子，也就是到了CIH－1.2病毒第二年的發(fā)作日，人們?cè)绯可习啻蜷_(kāi)計(jì)算機(jī)準(zhǔn)備工作時(shí)，發(fā)現(xiàn)計(jì)算機(jī)屏幕一閃，接著就黑暗一片。再打開(kāi)另外幾臺(tái)，也同樣一閃后就再也啟動(dòng)不起來(lái)了……計(jì)算機(jī)史上，病毒造成的又一次巨大的浩劫發(fā)生了。隨著Internet網(wǎng)的發(fā)展，使病毒傳播更加方便、更加廣泛，網(wǎng)絡(luò)蠕蟲(chóng)病毒已成為病毒主力，這應(yīng)使我們嚴(yán)加防范。19第19頁(yè)，共23頁(yè)，2023年，2月20日，星期二

最早的網(wǎng)絡(luò)蠕蟲(chóng)病毒作者是美國(guó)的小莫里斯，他編寫的蠕蟲(chóng)病毒是在美國(guó)軍方的局域網(wǎng)內(nèi)活動(dòng)，但是，必需事先獲取局域網(wǎng)的權(quán)限和口令。世界性的第一個(gè)大規(guī)模在Internet網(wǎng)上傳播的網(wǎng)絡(luò)蠕蟲(chóng)病毒是1998年底的Happy99網(wǎng)絡(luò)蠕蟲(chóng)病毒，當(dāng)你在網(wǎng)上向外發(fā)出信件時(shí)，HAPPY99網(wǎng)絡(luò)蠕蟲(chóng)病毒會(huì)代替你的信件或隨你的信件從網(wǎng)上傳到發(fā)信的目標(biāo)地，當(dāng)1月1日到來(lái)時(shí)，收件人一執(zhí)行便會(huì)在屏幕上不斷爆發(fā)出絢麗多彩的禮花，然后機(jī)器就再也不干了。

1999年3月，歐美爆發(fā)了“Melissa”網(wǎng)絡(luò)蠕蟲(chóng)宏病毒，歐美最大的一些網(wǎng)站頻頻遭受到堵塞，造成巨大經(jīng)濟(jì)損失。

2000年至今，是網(wǎng)絡(luò)蠕蟲(chóng)在互聯(lián)網(wǎng)上的泛濫期。20第20頁(yè)，共23頁(yè)，2023年，2月20日，星期二9.3病毒危害

計(jì)算機(jī)病毒的危害主要表現(xiàn)在3個(gè)方面，一是破壞文件或數(shù)據(jù)