搜索:
您当前的位置:首页 >> 保密技术

计算机病毒剖析

作者:袁艺 李利 文章来源: 发布时间: 2015-04-09 字体:【】【】【

    信息安全专题讲座中的《计算机病毒简史》一讲(杂志第9),总结回顾了计算机病毒的发展历史,简要介绍了每一阶段具有代表性的病毒,本文继续从多个角度全面认识与剖析计算机病毒,并分析其发展趋势。 

计算机病毒机理 

    虽然不同类型的计算机病毒采用的机制和表现手法不尽相同,但其结构原理却基本相似,一般说来都是由引导模块、传染模块和破坏与表现模块组成的。这些模块依次通过以下四个阶段发挥作用。 

    一是引导阶段。如果用户不慎点击运行了来自U盘、光盘等移动存储介质或通过网络下载的感染病毒的文件,在宿主文件运行的同时,病毒会与之一起秘密运行,随即被加载到内存获得控制权,并首先执行引导模块。对于驻留内存的病毒程序,引导模块把传染模块和破坏与表现模块复制到内存中并加以保护,接下来修改操作系统中的某些参数,设置传染及破坏条件,并通过这些可激活条件控制和支配系统,为病毒的破坏与表现做好准备。对于非驻留内存的病毒程序,在其引导模块执行后直接转向传染模块和破坏与表现模块并继续运行,或设置一些条件等待时机再运行。二是宿主程序执行阶段。当病毒完成驻留内存的工作后,病毒程序将运行权还给宿主程序,进入宿主程序正常运行阶段。此后,病毒程序会不断检测事先设置的激活条件,一旦时机成熟,传染或破坏与表现模块就会被激活,病毒程序进入传染或破坏与表现模块。三是传染阶段。病毒程序的传染模块一旦激活,就会在保证被传染对象正常工作的情况下,将病毒程序自身(或变形体)复制到被传染对象中,从而完成计算机病毒的复制传染任务。是否具备这种复制能力是判断一个程序是否为病毒程序的必要条件。四是破坏与表现阶段。在破坏与表现阶段,病毒开始对符合条件的对象实施破坏或进行外在表现。这里的破坏不仅是毁坏系统的软、硬件和数据文件等,甚至可以毁掉包括病毒程序本身在内的系统资源,同时还会明显降低整个系统的运行效率。有些病毒只有外在表现,不进行破坏系统的活动。 

计算机病毒的分类 

    计算机病毒家族十分庞大,种类繁多,林林总总达数千万种之多,可以按不同的标准,从不同角度对其进行分类。 

    按病毒传染方式分类,可分为:引导型病毒,主要是感染磁盘的引导区,一般不对文件进行感染;文件型病毒,一般只传染磁盘上的可执行文件(COMEXE),其特点是附着于正常程序文件,成为程序文件的一个外壳或部件;混合型病毒,兼有以上两种病毒的特点,既感染引导区又感染文件。 

    一般说来,特定的病毒只能在特定的操作系统下运行,跨操作系统的病毒较少。按病毒依赖的操作系统分类,可分为:DOS病毒、Windows病毒、UNIX病毒、OS2病毒和攻击嵌入式操作系统病毒。 

    按病毒危害程度分类,可分为:良性病毒,其动机可能是恶作剧、炫耀技术,或是企图达到某种宣传目的,如小球病毒、三维球病毒;恶性病毒,能对计算机系统产生破坏效应,如冲击波病毒、CIH病毒。 

    按病毒链结方式分类,可分为:源码型病毒,它攻击高级语言编写的源程序,在源程序编译之前插入其中,并随源程序一起编译、连接成带毒可执行文件;入侵型病毒,它可用自身代替正常程序中的某一部分,一般只攻击特定程序;操作系统型病毒,它可将自身加入或替代操作系统的部分功能;外壳型病毒,它将自身附在正常程序的开头或结尾,相当于给正常程序加了个外壳。 

计算机病毒的命名法则 

    由与病毒家族庞大,数量众多,在标识和区别各种病毒的过程中,逐渐形成了业界通用的命名惯例。病毒正式名称的一般格式为:病毒前缀.病毒名.病毒后缀。需要说明的是,反病毒厂商为方便起见,一般将木马视为病毒的一种并按同一规则命名。 

    病毒前缀是指一个病毒所属大的种族类型。如木马病毒的前缀是Trojan,蠕虫病毒的前缀是Worm。病毒名用来区别和标识病毒家族,如CIH病毒的家族名都是统一的CIH,振荡波蠕虫病毒的家族名是Sasser。病毒后缀是指一个病毒的变种特征,是用来区别具体某个家族病毒的某个变种,一般采用26个英文字母来表示,如Worm.Sasser.B就是指振荡波蠕虫病毒的变种B,称为“振荡波B变种”。如果该病毒变种非常多,可以用数字与字母混合表示变种标识。下面介绍一些Windows系统中常见病毒的前缀。 

一是系统病毒。其前缀为Win32PEWin95W32W95等。这类病毒的共同特性是可以感染Windows操作系统的execomdll文件,并通过这些文件进行传播,如CIH病毒。 

二是蠕虫病毒。其前缀为Worm。这类病毒通过网络或者系统漏洞进行传播。很多蠕虫病毒都有向外发送带毒邮件、阻塞网络的特性,如冲击波病毒(阻塞网络)、小邮差病毒(发带毒邮件)等。 

    三是木马病毒、黑客病毒。其前缀分别为TrojanHack。木马病毒通过各种途径进入用户系统后隐藏起来,并伺机窃取用户信息。黑客病毒是一类远程控制工具,黑客借助它在本机远程控制用户计算机。这两类病毒往往配合使用。需要说明的是,如果这类病毒的病毒名中有PSW或者PWD之类的后缀(Password的缩写),表明其具有盗取密码的功能,要特别小心。 

    四是脚本病毒。其前缀为Script,它由脚本语言编写,通过网页进行传播,如红色代码(Script.Redlof)。脚本病毒还会有如下前缀:VBSJS(表明是何种脚本编写的),如欢乐时光病毒(VBS.Happytime)、十四日病毒(Js.Fortnight.C.S)等。 

    五是宏病毒。宏病毒其实也是脚本病毒的一种,但由于其特殊性,单独算成一类。其前缀为Macro,第二前缀为WordWord97ExcelExcel97等。凡是只感染Word97及以前版本Word文档的病毒采用Word97作为第二前缀,格式是Macro.Word97,其余几个第二前缀的用法依此类推。该类病毒能感染Office系列文档,然后通过Office通用模板进行传播,如美丽莎病毒(Macr0.Melissa) 

    六是后们病毒。其煎缀为Backdoor。该类病毒通过网络传播,并在操作系统开设后门。如IRC后门(Backdoor.IRCBot) 

    七是病毒种植程序病毒。其前缀为Dropper。这类病毒运行时会从体内释放出一个或几个新的病毒到系统目录下,由释放出来的新病毒产生破坏。如冰河播种者(Dropper.BingHe2.2C) 

    八是破坏性程序病毒。其前缀为Harm。这类病毒利用具有诱惑性的图标引诱用户点击,并对用户计算机进行破坏。如C盘格式化病毒(Harm.formatC.f) 

九是玩笑病毒。其前缀为Joke,也称恶作剧病毒。这类病毒发作时假装做出各种破坏性操作来吓唬用户,但并不产生实质性破坏。如女鬼病毒(Joke.Girlghost) 

    十是捆绑机病毒。其前缀为Binder。病毒作者使用特定的捆绑程序将这类病毒与常用软件如QQIE捆绑起来,当用户运行这些软件时,会隐蔽地运行捆绑在一起的病毒。如捆绑QQ病毒(Binder.QQPass.QQBin) 

    综上所述,通过辨认病毒的前缀名可以快速判断该病毒所属病毒种类,从而得知其大致的感染途径和破坏机理。通过病毒名可以采用查找病毒百科等方式进一步了解其详细特征。通过病毒后缀名则可判断该病毒属于其家族的哪一个变种。了解掌握以上信息后,用户在计算机感染病毒后可以采取有针对性的措施,避免造成更大的损失。 

计算机病毒发展趋势 

近几年来,随着计算机和网络的普及,计算机病毒技术在与反病毒技术的较量中得到了飞速发展,并呈现出新的特点,其发展趋势可以概括为以下几个方面。 

    一是制毒目的趋利化。近几年来,病毒编制者“急功近利”的贪婪本性暴露无遗。2007年,瑞星公司截获以盗取账号为目的的病毒共计77万,占截获病毒总数的84.5%。病毒制造者通过病毒盗窃QQ账号、网游账号、网银账号等,窃取用户虚拟财产,再通过销赃渠道将其变卖为现金或直接提取现金,逐步形成了制造病毒、传播病毒、盗窃账户信息、第三方平台销赃、洗钱等分工明确的“黑色产业链”。据国家计算机网络应急处理中心估计,目前这条“产业链”的年产值已超过2.38亿元,造成的损失超过了76亿元。 

    二是攻击机制底层化。为对抗杀毒软件的查杀,病毒采取伪装成系统文件、注人到系统进程、化身为系统服务等多种手段,深层侵入操作系统底层,尤其是一些病毒采取内核驱动级Rootkits技术,隐藏自身进程及动作,嵌入操作系统内核,劫持系统文件调用过程,获得对系统底层的完全控制权,使得检测、清除这些病毒成为当今反病毒厂商的公认难题,全球甚至没有一家反病毒厂商能够处理所有的内核驱动级Rootkits,因为解决一个新出现的Rootkits需要耗费大量的时间。 

    三是传播途径综合化。当前病毒的传播可以说是无孔不入,凡是发现可供利用的手段都已经被采用。病毒的传播方式由单一走向多元,如从利用操作系统的漏洞传播发展到利用即时通信、浏览器、网络下载、影音播放等常用工具软件的漏洞传播,从利用用户下载带毒软件被动传播发展到采用网页挂马、邮件群发等手段主动传播。病毒的感染对象从计算机操作系统发展到PDA、智能手机等其它设备的智能操作系统。一种病毒经常综合采用多种传播途径,大大加快了其传播速度。 

    四是对抗手段主动化。当前,病毒在极力隐藏自身踪迹使得反病毒软件难以发现的同时,有的病毒还会“先下手为强”,主动出击,如采取加壳处理、反跟踪技术、线程插入与进程守护等技术躲避杀毒软件的查杀,采取自动升级、多态性、病毒制造机等技术对抗杀毒软件的升级,采取映像劫持、中断进程等技术阻止杀毒软件的运行,与反病毒厂商进行公开的较量,力求在与杀毒技术的对抗中占据先机。 

从以上病毒的发展趋势来看,病毒与反病毒的斗争已日趋白热化,反病毒形势非常严峻,反病毒厂商也面临着前所未有的压力和挑战。