计算机病毒及其防范技术part1第一章计算机病毒概述本章学习目标•掌握计算机病毒的基本概念•了解计算机病毒发展的历史转折点•熟悉计算机病毒的分类•熟悉商业计算机病毒命名规则•掌握计算机病毒的发展趋势一、计算机病毒的定义•计算机病毒产生的动机(原因):–计算机系统的脆弱性(IBM病毒防护计划)–作为一种文化(hacker)–病毒编制技术学习–恶作剧\报复心理–用于版权保护(江民公司)–用于特殊目的(军事、计算机防病毒公司)•“计算机病毒”与医学上的“病毒”不同,它不是天然存在的,是某些人利用计算机软、硬件所固有的脆弱性,编制的具有特殊功能的程序。•“计算机病毒”为什么叫做病毒?–与生物医学上的病毒同样有传染和破坏的特性,因此这一名词是由生物医学上的“病毒”概念引申而来。•FredCohen定义:计算机病毒是一种程序,他用修改其它程序的方法将自身的精确拷贝或者可能演化的拷贝插入其它程序,从而感染其它程序。•FredCohen认为:病毒不是利用操作系统运行的错误和缺陷的程序,病毒是正常的用户程序。标准定义(中国):•直至1994年2月18日,我国正式颁布实施了《中华人民共和国计算机信息系统安全保护条例》,在《条例》第二十八条中明确指出:计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。此定义具有法律性、权威性。二、计算机病毒的特性破坏性传染性隐蔽性寄生性触发(潜伏)性/*引导功能模块*/{将病毒程序寄生于宿主程序中;加载计算机程序;病毒程序随其宿主程序的运行进入系统;}{传染功能模块;}{破坏功能模块;}main(){调用引导功能模块;A:do{寻找传染对象;if(传染条件不满足)gotoA;}while(满足传染条件);调用传染功能模块;while(满足破坏条件){激活病毒程序;调用破坏功能模块;}运行宿主源程序;if不关机gotoA;关机;}计算机病毒感染率变化趋势计算机病毒感染率73%74.06%85.50%70.51%91.47%80.00%87.93%85.57%83.98%0%10%20%30%40%50%60%70%80%90%100%200120022003200420052006200720082009感染率数据来源:中国计算机病毒应急处理中心三、计算机病毒简史年份计算机病毒简史•在第一部商用电脑出现之前,冯·诺伊曼在他的论文《复杂自动装置的理论及组识的进行》里,就已经勾勒出了病毒程序的蓝图。•70年代美国作家雷恩出版的《P1的青春-TheAdolescenceofP1》一书中作者构思出了计算机病毒的概念。•美国电话电报公司(AT&T)的贝尔实验室中,三个年轻程序员道格拉斯.麦耀莱、维特.维索斯基和罗伯.莫里斯在工作之余想出一种电子游戏叫做“磁芯大战(corewar)”。•博士论文的主题是计算机病毒•1983年11月3日,FredCohen博士研制出第一个计算机病毒(Unix)。•1986年初,巴基斯坦的拉合尔,巴锡特和阿姆杰德两兄弟编写了Pakistan病毒,即Brain,其目的是为了防范盗版软件。–Dos–PC–引导区•1987年世界各地的计算机用户几乎同时发现了形形色色的计算机病毒,如大麻、IBM圣诞树、黑色星期五等等。视窗病毒•1988年3月2日,一种苹果机的病毒发作,这天受感染的苹果机停止工作,只显示“向所有苹果电脑的使用者宣布和平的信息”。以庆祝苹果机生日。肇事者-RobertT.Morris,美国康奈尔大学学生,其父是美国国家安全局安全专家。机理-利用sendmail,finger等服务的漏洞,消耗CPU资源,并导致拒绝服务。影响-Internet上大约6000台计算机感染,占当时Internet联网主机总数的10%,造成9600万美元的损失。CERT/CC的诞生-DARPA成立CERT(ComputerEmergencyResponseTeam),以应付类似事件。莫里斯蠕虫(MorrisWorm)1988年•1989年,全世界计算机病毒攻击十分猖獗,其中“米开朗基罗”病毒给许多计算机用户(包括中国)造成了极大损失。•全球流行DOS病毒伊拉克战争中的病毒-AF/91(1991)•在沙漠风暴行动的前几周,一块被植入病毒的计算机芯片被安装进了伊拉克空军防卫系统中的一台点阵打印机中。•该打印机在法国组装,取道约旦、阿曼运到了伊拉克。•病毒瘫痪了伊拉克空军防卫系统中的一些Windows系统主机以及大型计算机,据说非常成功。宏病毒•1996年,出现针对微软公司Office的“宏病毒”。•1997年公认为计算机反病毒界的“宏病毒年”。•特点:书写简单,甚至有很多自动制作工具CIH(1998-1999)•1998年,首例破坏计算机硬件的CIH病毒出现,引起人们的恐慌。•1999年4月26日,CIH病毒在我国大规模爆发,造成巨大损失。蠕虫——病毒新时代•1999年3月26日,出现一种通过因特网进行传播的美丽莎病毒。•2001年7月中旬,一种名为“红色代码”的病毒在美国大面积蔓延,这个专门攻击服务器的病毒攻击了白宫网站,造成了全世界恐慌。•2003年,“2003蠕虫王”病毒在亚洲、美洲、澳大利亚等地迅速传播,造成了全球性的网络灾害。•记忆犹新的3年(2003-2005)•2004年是蠕虫泛滥的一年,大流行病毒:–网络天空(Worm.Netsky)–高波(Worm.Agobot)–爱情后门(Worm.Lovgate)–震荡波(Worm.Sasser)–SCO炸弹(Worm.Novarg)–冲击波(Worm.Blaster)–恶鹰(Worm.Bbeagle)–小邮差(Worm.Mimail)–求职信(Worm.Klez)–大无极(Worm.SoBig)•2005年是木马流行的一年,新木马包括:•8月9日,“闪盘窃密者(Trojan.UdiskThief)”病毒。该木马病毒会判定电脑上移动设备的类型,自动把U盘里所有的资料都复制到电脑C盘的“test”文件夹下,这样可能造成某些公用电脑用户的资料丢失。•11月25日,“证券大盗”(Trojan/PSW.Soufan)。该木马病毒可盗取包括南方证券、国泰君安在内多家证券交易系统的交易账户和密码,被盗号的股民账户存在被人恶意操纵的可能。•7月29日,“外挂陷阱”(troj.Lineage.hp)。此病毒可以盗取多个网络游戏的用户信息,如果用户通过登陆某个网站,下载安装所需外挂后,便会发现外挂实际上是经过伪装的病毒,这个时候病毒便会自动安装到用户电脑中。•9月28日,我的照片(Trojan.PSW.MyPhoto)病毒。该病毒试图窃取《热血江湖》、《传奇》、《天堂Ⅱ》、《工商银行》、《中国农业银行》等数十种网络游戏及网络银行的账号和密码。该病毒发作时,会显示一张照片使用户对其放松警惕。•2006年木马仍然是病毒主流,变种层出不穷•2006年上半年,江民反病毒中心共截获新病毒33358种,另据江民病毒预警中心监测的数据显示,1至6月全国共有7322453台计算机感染了病毒,其中感染木马病毒电脑2384868台,占病毒感染电脑总数的32.56%,感染广告软件电脑1253918台,占病毒感染电脑总数的17.12%,感染后门程序电脑664589台,占病毒感染电脑总数的9.03%,蠕虫病毒216228台,占病毒感染电脑总数的2.95%,监测发现漏洞攻击代码感染181769台,占病毒感染电脑总数的2.48%,脚本病毒感染15152台,占病毒感染电脑总数的2.06%。最前沿病毒•2007年:–流氓软件——反流氓软件技术对抗的阶段。•Cnnic•3721–yahoo•熊猫烧香•2008年:–木马–ARP–Phishing(网络钓鱼)•2009年–恶意代码产业化–木马是主流–其他:浏览器劫持、下载捆绑、钓鱼•2010年–新增恶意代码750万(瑞星);–流行恶意代码:快捷方式真假难分、木马依旧猖獗,但更注重经济利益和特殊应用。恶意代码的发展趋势•卡巴斯基实验室的高级研究师DavidEmm研究获悉,到2008年底为止,全球大约存在各种恶意代码1,400,000个。•发展趋势–网络化发展专业化发展简单化发展–多样化发展自动化发展犯罪化发展四、病毒人生(法律)•1983年11月3日,弗雷德·科恩(FredCohen)博士研制出一种在运行过程中可以复制自身的破坏性程序,伦·艾德勒曼(LenAdleman)将它命名为计算机病毒(computerviruses),并在每周一次的计算机安全讨论会上正式提出。•1988年冬天,正在康乃尔大学攻读的莫里斯,把一个被称为“蠕虫”的电脑病毒送进了美国最大的电脑网络——互联网。1988年11月2日下午5点,互联网的管理人员首次发现网络有不明入侵者。当晚,从美国东海岸到西海岸,互联网用户陷入一片恐慌。•CIH病毒,又名“切尔诺贝利”,是一种可怕的电脑病毒。它是由台湾大学生陈盈豪编制的,九八年五月间,陈盈豪还在大同工学院就读时,完成以他的英文名字缩写“CIH”名的电脑病毒起初据称只是为了“想纪念一下1986的灾难”或“使反病毒软件公司难堪”。•年仅18岁的高中生杰弗里·李·帕森因为涉嫌是“冲击波”电脑病毒的制造者于2003年8月29日被捕。对此,他的邻居们表示不敢相信。在他们的眼里,杰弗里·李·帕森是一个电脑天才,而决不是什么黑客,更不会去犯罪。•李俊,大学本科毕业–大于1000万用户染毒–损失数亿元人民币–处罚:最高无期?五、计算机病毒的主要危害•直接危害:•1.病毒激发对计算机数据信息的直接破坏作用•2.占用磁盘空间和对信息的破坏•3.抢占系统资源•4.影响计算机运行速度•5.计算机病毒错误与不可预见的危害•6.计算机病毒的兼容性对系统运行的影响病毒的危害情况a数据部分丢失19%b系统无法使用19%c浏览器配置被修改17%d网络无法使用13%e使用受限11%f受到远程控制8%g数据全部丢失5%h不知道8%a数据部分丢失b系统无法使用c浏览器配置被修改d网络无法使用e使用受限f受到远程控制g数据全部丢失h不知道•间接危害:–1.计算机病毒给用户造成严重的心理压力–2.造成业务上的损失–3.法律上的问题近几年来的重大损失年份攻击行为发起者受害PC数目损失金额(美元)2006木马和恶意软件————2005木马————2004Worm_Sasser(震荡波)————2003Worm_MSBLAST(冲击波)超过140万台——2003SQLSlammer超过20万台9.5亿至12亿2002Klez超过6百万台90亿2001RedCode超过1百万台26亿2001NIMDA超过8百万台60亿2000LoveLetter——88亿1999CIH超过6千万台近100亿六、计算机病毒的分类1、按病毒存在的媒体分类•网络病毒:通过计算机网络传播感染网络中的可执行文件;•文件病毒:感染计算机中的文件(如:COM,EXE,DOC等);•引导型病毒:感染启动扇区(Boot)和硬盘的系统引导扇区(MBR);•混合型病毒:是上述三种情况的混合。例如:多型病毒(文件和引导型)感染文件和引导扇区两种目标,这样的病毒通常都具有复杂的算法,它们使用非常规的办法侵入系统,同时使用了加密和变形算法。2、按病毒传染的方法分类•引导扇区传染病毒:主要使用病毒的全部或部分代码取代正常的引导记录,而将正常的引导记录隐藏在其他地方。•执行文件传染病毒:寄生在可执行程序中,一旦程序执行,病毒就被激活,进行预定活动。•网络传染病毒:这类病毒是当前病毒的主流,特点是通过互联网络进行传播。例如,蠕虫病毒就是通过主机的漏洞在网上传播。3、按病毒破坏的能力分类•无害型:除了传染时减少磁盘的可用空间外,对系统没有其它影响。无危险型:这类病毒仅仅是减少内存、显示图像、发出声音及同类音响。危险型:这类病毒在计算机系统操作中造成严重的错误。非常危险型:这类病毒删除程序、破坏数据、清除系统内存区和操作系统中重要的信息。4、按病毒算法分类•伴随型病毒:这