Lecture 計(jì)算機(jī)病毒課件

Lecture4計(jì)算機(jī)病毒

1

提綱

計(jì)算機(jī)病毒綜述

計(jì)算機(jī)反病毒技術(shù)的發(fā)展

計(jì)算機(jī)病毒寄生環(huán)境分析

計(jì)算機(jī)病毒的觸發(fā)機(jī)制

2

第一部分

計(jì)算機(jī)病毒概論

3

Whichtypesofcomputersecurity

incidentshasyourorganizationdetected

withinthelast12months?

Hasyourorganization

experiencedunauthorizedaccesstocomputersystemswithinthe

last12months?

Source:2.OOSJE-tJIComputerCrimeSurvey

Whatapproximatedollarcostwouldyou

assigntothefollowingtypesofincidents

withinthelast12months?

TotalLoss

Il5552,500

□Websitedefacement

□Wirelessnetworkmisuse

$775,000

■Sabatogeofdataornetwork

S855,000□Telecomfraud

□Other

$867,500□Proprietaryinformationtheft

□DenialofService

$1,985,000

□Networkintrusion

$2,590,000□Financialfraud

□Laptop/Desktop/PDAtheft

$2,657,500□Viruses(includingwormsandtrojans)

$2775,000

$3,152,500

$3,537,500

$11,985,000

$0$2,000,000$4,000,000$6,000,000$8,000,000$10,000,000$12,000,000

Ifyourorganizationhasexperienceda

computersecurityincidentwithinthelast

12months,whichactionsdidyourorganizationtake?

Securitytechnologiesusedby

yourorganization

Other

Biometrics

Smartcards(card,PCMCIA,USB,etc.)

EncryptedFiles(forstorage)

IntrusionPrevention/DetectionSystem

WebsiteContentFiltering

EncryptedFiles(fortransfer)

EncryptedLogin

PasswordComplexityRequirements

VPNs

PeriodicRequiredPasswordChanges

PhysicalSecurity

AccessControlLists(serverbased)

Limitsonwhichuserscaninstallsoftware

AntispywareSoftware

AntispamSoftware

Firewalls

AntivirusSoftware

0%10%20%30%40%0%60%0%80%9%100%

計(jì)算機(jī)病毒

計(jì)算機(jī)病毒的定義

《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》

第二十八條中明確指出:

“計(jì)算機(jī)病毒，是指編制或者在計(jì)算機(jī)程序中插入的破

壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能

自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼?！?/p>

此定義具有法律性、權(quán)威性。

9

病毒發(fā)展

第一代病毒

■第一代病毒的產(chǎn)生年限可以認(rèn)為在1986—1989年之間，這一期間

出現(xiàn)的病毒可以稱之為傳統(tǒng)的病毒，是計(jì)算機(jī)病毒的萌芽和滋生

時(shí)期

■具有如下的一些特點(diǎn)

A病毒攻擊的目標(biāo)比較單一，或者是傳染磁盤引導(dǎo)扇區(qū)，或

者是傳染可執(zhí)行文件

A病毒程序主要采取截獲系統(tǒng)中斷向量的方式監(jiān)視系統(tǒng)的運(yùn)

行狀態(tài)，并在一定的條件下對(duì)目標(biāo)進(jìn)行傳染

A病毒傳染目標(biāo)以后的特征比較明顯，如磁盤上出現(xiàn)壞扇

區(qū)，可執(zhí)行文件的長(zhǎng)度增加、文件建立日期、時(shí)間發(fā)生變

A病毒程序不具有自我保護(hù)的措施，容易被人們分析和解

剖，從而使得人們?nèi)菀拙幹葡鄳?yīng)的消毒軟件10

病毒發(fā)展

O第二代病毒

■第二代病毒又稱為混合型病毒，其產(chǎn)生的年限可以認(rèn)為

在1989—1991年之間，病毒由簡(jiǎn)單發(fā)展到復(fù)雜，由單純

引成熟

■這一林段的計(jì)算機(jī)病毒具有如下特點(diǎn)

A攻擊目標(biāo)趨于混合型，傳染引導(dǎo)扇區(qū)和可執(zhí)行文件

?不采用明顯地截獲中斷向量的方法監(jiān)視系統(tǒng)的運(yùn)行，

而采取更為隱蔽的方法駐留內(nèi)存和傳染目標(biāo)

A病毒傳染目標(biāo)后沒有明顯的特征，如磁盤上不出現(xiàn)壞

扇區(qū)，可執(zhí)行文件的長(zhǎng)度增加不明顯

A病毒程序往往采取了自我保護(hù)措施，如加密技術(shù)、反

跟蹤技術(shù)，增加了軟件檢測(cè)、解毒的難度

?出現(xiàn)許多病毒的變種，變種病毒較原病毒更隱蔽

11

病毒發(fā)展

。第三代病毒

■第三代病毒的產(chǎn)生年限可以認(rèn)為從1992-1995

年，此類病毒稱為“多態(tài)性”病毒。

■所謂“多態(tài)性'的含義是指此類病毒在每次傳染目

標(biāo)時(shí)，放入宿主程序中的病毒程序大部分都是可

變的，即在搜集到同一種病毒的多個(gè)樣本中，病

毒程序的代碼絕大多數(shù)是不同的，這是此類病毒

的重要特點(diǎn)。正是由于這一特點(diǎn)，傳統(tǒng)的利用特

征碼法檢測(cè)病毒的產(chǎn)品不能檢測(cè)出此類病毒

12

病毒發(fā)展

第四代病毒

■90年代中后期，隨著遠(yuǎn)程網(wǎng)、遠(yuǎn)程訪問服務(wù)的開通，病

毒流行面更加廣泛，病毒的流行迅速突破地域的限制，首

先通過廣域網(wǎng)傳播至局域網(wǎng)內(nèi)，再在局域網(wǎng)內(nèi)傳播擴(kuò)散。

-1996年下半年隨著國(guó)內(nèi)Internet的大量普及，Email的使

用，Email內(nèi)的WORD宏病毒成為病毒主流

■最大特點(diǎn)是利用Internet作為其主要傳播途徑，傳播快、

隱蔽性強(qiáng)、破壞性大

■此外，隨著Windows的應(yīng)用，出現(xiàn)了Windows環(huán)境下的

病毒。這些都給病毒防治和傳統(tǒng)DOS版殺毒軟件帶來新

的挑戰(zhàn)

13

NameDescription

Anti-Anti-virusVirusAnti-antivirusvirusesattac

software.Also:Retrovirus

ArmoredVirusAnyvirusthattriestopreventanalysisofitscode.Itcanuseoneof

manymethodstodothis.

BimodalVirusAvirusthatinfectsbothbootrecordsaswellasfiles.

BootSectorInfectorAvirusthatplacesitsstartingcodeinthebootsector.Whenthe

computertriestoreadandexecutetheprograminthebootsector,the

virusgoesintomemorywhereitcangaincontroloverbasiccomputer

operations.Frommemory,abootsectorinfectorcanspreadtoother

drives(floppy,network,etc.)onthesystem.Oncethevirusisrunning,

itusuallyexecutesthenormalbootprogram,whichitstoreselsewhere

onthedisk.

CavityVirusesAvirusthatoverwritesapartofitshostfilewithoutincreasingthe

lengthofthefilewhilealsopreservingthehost'sfunctionalityinorder

tolimitordeterdetection.

CompanionVirusCompanionvirusesuseafeatureofDOSthatallows

softwareprogramswiththesamename,butwithdifferent

extensions,tooperatewithdifferentpriorities.Thevirus

createsaprogramwithahigherpriority,ensuringits

runninginsteadoftheoriginalprogram.14

DirectActionVAvirusthatimmediatelyloadsitselfintomemory,infectsfiles,

andthenunloadsitself.

DroppeAcarrierfilethatisusedtohidethevirusuntilitcanbe

unloadedontoasystem.

EncryptedVirusAnencryptedvirus'scodebeginswithadecryptionalgorithm

andcontinueswithscrambledorencryptedcodeforthe

remainderofthevirus.Eachtimeitinfects,itautomatically

encodesitselfdifferently,soitscodeisneverthesame.

Throughthismethod,thevirustriestoavoiddetectionbyanti-

virussoftware.

FastInfectorFastinfectorviruses,whenactiveinmemory,infectnotonly

executedprograms,butalsothosethataremerelyopened.Thus

runninganapplication,suchasanti-virussoftware,whichopens

manyprogramsbutdoesnotexecutethem,canresultinall

programsbecominginfected.

FileVirusesFilevirusesusuallyreplaceorattachthemselvestoCOMand

EXEfiles.TheycanalsoinfectfileswiththeextensionsSYS,

DRV,BIN,OVLandOVY.

Filevirusesmayberesidentornon-resident,themostcommon

beingresidentorTSR(terminate-and-stay-resident)viruses.

Manynon-residentvirusessimplyinfectoneormorefiles

wheneveraninfectedfileruns.

Logic(Mail/Time)BombAlogicbombisatypeoftrojanhorsethatexecuteswhen

specificconditionsoccur.Triggersforlogicbombscaninclude

achangeinafile,byaparticularseriesofkeystrokes,or花a

specifictimeordate

MacroVirusAmacrovirusisamaliciousseriesofinstiuctionsdesignedto

simplifyrepetitivetaskswithinaprogram.Macrovirusesare

writtenamacroprogramminglanguageandattachtoa

documentfile(suchasWordorExcel).Whenadocumentor

templatecontainingthemacrovirusisopenedinthetarget

application,thevirusruns,doesitsdamageandcopiesitself

?ointootherdocuments.Continualuseoftheprogramresultsin

thespreadofthevirus

MasterBootSectorVirusMasterbootsectorvirusesinfectthemasterbootsectorof

harddisks,thoughtheyspreadthroughthebootrecordof

floppydisks.Thevirusstaysinmemory,waitingforDOSto

accessafloppydisk.Ittheninfectsthebootrecordoneach

floppydiskDOSaccesses.

MemoryResistantVirusAvirusthatstaysinmemoryafteritexecutesandinfects

otherfileswhencertainconditionsaremet.

MultipartiteVirusMultipartitevirusesuseacombinationoftechniquesincluding

infectingdocuments,executablesandbootsectorstoinfect

computers.Mostmultipartitevirusesfirstbecomeresidentin

memoryandtheninfectthebootsectoroftheharddrive.

Onceinmemory,multipartitevirusesmayinfecttheentire

system.

16

MutatingVirusAmutatingviruschanges,ormutates,asitprogressesthrough

itshostfilesmakingdisinfectionmoredifficult.Theterm

(usuallyreferstovirusesthatintentionallymutate,though

j

\/someexpertsalsoincludenon-intentionallymutatingviruses.

Ky

OverwritingVirusAnoverwritingviruscopiesitscodeoveritshostfile'sdata,

thusdestroyingtheoriginalprogram.Disinfectionispossible,

althoughfilescannotberecovered.Itisusuallynecessaryto

deletetheoriginalfileandreplaceitwithacleancopy.

PolymorphicVirusPolymoiphicvirusescreatevaried(thoughfullyfunctional)

copiesofthemselvesasawaytoavoiddetectionfromanti-

virussoftware.Somepolymorphicvirususedifferent

encryptionschemesandrequiresdifferentdecryptionroutines.

Otherpolymorphicvirusesvaryinstructionsequencesanduse

falsecommandsintheattempttothwartanti-virussoftware.

Oneofthemostadvancedpolymorphicvirusesusesa

mutation-engineandrandom-numbergeneratorstochangethe

viruscodeanditsdecryptionroutine.

ProgramInfectorAprograminfectorvirusinfectsotherprogramfilesoncean

infectedapplicationisexecutedandtheactivatedvirusis

loadedintomemory.17

ResidentVirusAresidentvirusloadsintomemoryandremains

inactiveuntilatriggerevent.Whentheeventoccurs

thevirusactivates,eitherinfectingafileordisk,or

causingotherconsequences.Allbootvirusesare

residentvirusesandsoarethemostcommonfile

?oviruses.

Self-EncryptingVirusSelf-encryptingvirusesattempttoconceal

themselvesfromanti-virusprograms.Mostanti-virus

programsattempttofindvirusesbylookingfor

certainpatternsofcode(knownasvirussignatures)

thatareuniquetoeachvirus.Self-encryptingviruses

encryptthesetextstringsdifferentlywitheach

infectiontoavoiddetection.

Self-GarblingVirusAself-garblingvirusattemptstohidefromanti-virus

softwarebygarblingitsowncode.Whenthese

virusesspread,theychangethewaytheircodeis

encodedsoanti-virussoftwarecannotfindthem.A

smallportionoftheviruscodedecodesthegarbled

codewhenactivated.

SparseInfectorAsparseinfectorvirusesuseconditionsbefore

infectingfiles.Examplesincludefilesinfectedonly

onthe10thexecutionorfilesthathaveamaximum

sizeof128kb.Thesevirusesusetheconditionsto

infectlessoftenandthereforeavoiddetection.18

StealthVirusStealthvirusesattempttoconcealtheirpresencefromanti-

virussoftware.Manystealthvirusesinterceptdisk-access

requests,sowhenananti-vimsapplicationtriestoreadfiles

?\orbootsectorstofindthevirus,thevirusfeedstheprogram

\y

a"clean"imageoftherequesteditem.Otherviruseshidethe

actualsizeofaninfectedfileanddisplaythesizeofthefile

beforeinfection.

Stealthvirusesmustberunningtoexhibittheirstealth

qualities.

TrojanHorseProgramATrojanhorseprogramisamaliciousprogramthatpretends

tobeabenignapplication;aTrojanhorseprogram

purposefullydoessomethingtheuserdoesnotexpect.

Trojansarenotvirusessincetheydonotreplicate,butTrojan

horseprogramscanbejustasdestructive.

WonnWormsareparasiticcomputerprogramsthatreplicate,but

unlikeviruses,donotinfectothercomputerprogramfiles.

Wormscancreatecopiesonthesamecomputer,orcansend

thecopiestoothercomputersviaanetwork.Wormsoften

spreadviaIRC(InternetRelayChat).

ZooVirusAzoovirusexistsinthecollectionsofresearchersandhas

neverinfectedarealworldcomputersystem

19

History

1949:JohnVonNuemann-"TheoryandOrganizationof

ComplicatedAutomata99

1981:TheFirstVirus-AppleComputersatTexasA&M

1983:Cohen5sPhD-MathematicalVirus

1986:BasitandAmjad-“PakistanBrain55

1988:JerusalemReleased

1990:FirstAnti-Virus:NortonbySymantec

1991:PolymorphicVirusesintroduced

1992:420%increasesince1990

1995:Windows95andtheMacroVirus

1996:JavaCodeVirus

Today:100,000+

20

計(jì)算機(jī)病毒年譜一DOS引導(dǎo)階段

?：?1987年，計(jì)算機(jī)病毒主要是引導(dǎo)型病毒，具有代表性的是“

小球”和“石頭”病毒

當(dāng)時(shí)得計(jì)算機(jī)硬件較少，功能簡(jiǎn)單，一般需要通過軟盤啟

動(dòng)后使用。引導(dǎo)型病毒利用軟盤得啟動(dòng)原理工作，它們修

改系統(tǒng)啟動(dòng)扇區(qū)，在計(jì)算機(jī)啟動(dòng)時(shí)首先取得控制權(quán)，減少

系統(tǒng)內(nèi)存，修改磁盤讀寫中斷，影響系統(tǒng)工作效率，在系

統(tǒng)存取磁盤時(shí)進(jìn)行傳播

21

計(jì)算機(jī)病毒年譜一DOS可執(zhí)行階段

?：?1989年，可執(zhí)行文件型病毒出現(xiàn)，它們利用DOS系統(tǒng)加載

執(zhí)行文件的機(jī)制工作，代表為”耶路撒冷"、"星期天”病毒

病毒代碼在系統(tǒng)執(zhí)行文件時(shí)取得控制權(quán)，修改DOS中斷，

在系統(tǒng)調(diào)用時(shí)進(jìn)行傳染，并將自己附加在可執(zhí)行文件中，

使文件長(zhǎng)度增加

?1990年，發(fā)展為復(fù)合型病毒，可感染COM和EXE文件

22

計(jì)算機(jī)病毒年譜一伴隨，批次型階段

?：?1992年伴隨型病毒出現(xiàn)，利用DOS加載文件優(yōu)先順序工作

，具有代表性的是"金蟬'病毒

它感染EXE文件時(shí)生成一個(gè)和EXE同名的擴(kuò)展名為COM伴

隨體

它感染COM文件時(shí)，改為原來的COM文件為同名的EXE文

件，在產(chǎn)生一個(gè)原名的伴隨體，文件擴(kuò)展名為COM

這樣，在DOS加載文件時(shí)，病毒就取得控制權(quán)

23

計(jì)算機(jī)病毒年譜一多形階段

。1994年，隨著匯編語言的發(fā)展，實(shí)現(xiàn)同一功能可以用不同

的方式進(jìn)行完成，這些方式的組合使一段看似隨機(jī)的代碼

產(chǎn)生相同的運(yùn)算結(jié)果

多形型病毒是一種綜合性病毒，它既能感染引導(dǎo)區(qū)又能感

染程序區(qū)

24

計(jì)算機(jī)病毒年譜一生成器，變體機(jī)階段

?：?1995年在匯編語言中，一些數(shù)據(jù)的運(yùn)算放在不同的通用寄

存器中，可運(yùn)算出同樣的結(jié)果，隨機(jī)的插入一些空操作和

無關(guān)指令，也不影響運(yùn)算的結(jié)果，這樣一段算法就可以由

生成器生成。當(dāng)生成的是病毒時(shí)，這種復(fù)雜的稱之為病毒

生成器和變體機(jī)就產(chǎn)生了

具有典型代表的是“病毒制造機(jī)"VCL,它可以在瞬間制造

出成千上萬種不同的病毒，查解時(shí)就不能使用傳統(tǒng)的特征

識(shí)別法，需要在宏觀上分析指令，解碼后查解病毒。變體

機(jī)就是增加解碼復(fù)雜程度的指令生成機(jī)制

25

計(jì)算機(jī)病毒年譜一網(wǎng)絡(luò)，蠕蟲階段

*1995年隨著網(wǎng)絡(luò)的普及，病毒開始利用網(wǎng)絡(luò)進(jìn)行傳播，它

們只是以上幾代病毒的改進(jìn)

在非DOS操作系統(tǒng)中「蠕蟲”是典型的代表，它不占用除內(nèi)

存以外的任何資源，利用網(wǎng)絡(luò)功能搜索網(wǎng)絡(luò)地址，將自身

向下一地址進(jìn)行傳播，有時(shí)也在網(wǎng)絡(luò)服務(wù)器和啟動(dòng)文件中

存在

26

計(jì)算機(jī)病毒年譜一宏病毒階段

?：?1996年隨著WindowsWord功能的增強(qiáng)，使用Word宏語言

也可以編制病毒，這種病毒使用類Basic語言，編寫容易，

感染W(wǎng)ord文檔文件

在Excel和AmiPro出現(xiàn)的相同工作機(jī)制的病毒也歸為此類。

由于Word文檔格式?jīng)]有公開，這類病毒查解比較困難

27

計(jì)算機(jī)病毒年譜一互連網(wǎng)階段

?：?1997年隨著因特網(wǎng)的發(fā)展，各種病毒也開始利用因特網(wǎng)進(jìn)

行傳播，一些攜帶病毒的數(shù)據(jù)包和郵件越來越多，如果不

小心打開了這些郵件，機(jī)器就有可能中毒

28

計(jì)算機(jī)病毒年譜一爪哇，郵件炸彈階段

.：?1997年隨著萬維網(wǎng)上Java的普及，利用Java語言進(jìn)行傳播

和資料獲取的病毒開始出現(xiàn)，典型的代表是JavaSnake病毒

還有一些利用郵件服務(wù)器進(jìn)行傳播和破壞的病毒，例如

Mail-Bomb病毒，它就嚴(yán)重影響因特網(wǎng)的效率

29

病毒的命名

L“多視角命名”規(guī)則

?：?產(chǎn)生如下的情況

■不同的病毒有不同的名稱

■多種不同的病毒按相同的視角而被認(rèn)為是同一個(gè)病毒

■同一個(gè)病毒可能有多種不同的名稱

30

病毒的命名

L“多視角命名”規(guī)則

?：?黑色星期五

■它攻擊所有的COM文件和.EXE文件，使這兩種文件增

加1808字節(jié)，且每運(yùn)行一次都增加1808字節(jié)，直到占滿

整個(gè)磁盤空間為止

■病毒進(jìn)入內(nèi)存以后大約三十分鐘，屏幕左下方出現(xiàn)長(zhǎng)方

形亮塊或作有規(guī)律閃動(dòng)，有時(shí)候還伴隨著條形花紋

■到了機(jī)內(nèi)系統(tǒng)日期是13日又恰逢星期五，病毒就開始大

發(fā)作，給用戶造成極大損失

31

方法

命名方法病毒名稱備注

序號(hào)K

1

觸發(fā)時(shí)間黑色星期五病毒

從5個(gè)不同的視

2

表現(xiàn)癥狀長(zhǎng)方塊病毒，

角對(duì)同一個(gè)病

開窗口病毒

毒的5種命名方

3

傳染方式瘋狂復(fù)制病毒

法，產(chǎn)生了7個(gè)

4Jerusalem病毒

發(fā)現(xiàn)地點(diǎn)

不同的病毒名

51813病毒，

對(duì)感染文件增加的長(zhǎng)度

1808病毒

Stoned病毒

6

自身宣布的名稱

從5個(gè)不同的視