第10章计算机病毒张玉清国家计算机网络入侵防范中心2019/11/10网络入侵与防范讲义2本章内容安排10.1计算机病毒概述10.2病毒的工作原理与分类10.3典型的计算机病毒10.4计算机病毒的预防与清除10.5计算机病毒技术的新动向10.6手机病毒10.7总结2019/11/10网络入侵与防范讲义310.1计算机病毒概述10.1.1计算机病毒的定义10.1.2计算机病毒发展史10.1.3计算机病毒之最10.1.4计算机病毒现状10.1.5计算机病毒的危害2019/11/10网络入侵与防范讲义410.1.1病毒的定义美国计算机专家弗雷德·科恩博士最早提出“计算机病毒”这一概念他指出:计算机病毒是一种程序。它用修改其他程序的方法将自己的精确拷贝或者可能深化的形式放入其它程序中,从而感染它们。由于这种感染特性,病毒可在信息交流的途径中迅速传播并且破坏信息的完整性。《中华人民共和国计算机信息系统安全保护条例》“计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,且能自我复制的一组计算机指令或者程序代码。”《新英计算机大辞典》(人民邮电出版社1998年1月版)病毒:一类非正常形式的计算机程序。它像危害生物体的病毒一样,在用户不知晓、不愿意的情况下潜入计算机,影响计算机的正常运行,甚至造成严重破坏。2019/11/10网络入侵与防范讲义510.1.1病毒的定义上面列举的这几种定义形式,分别从纯技术的角度以及技术和法律结合的角度说明了什么是计算机病毒。综合起来——计算机病毒一般依附于其他程序或文档,是能够自身复制,并且产生用户不知情或不希望、甚至恶意的操作的非正常程序。2019/11/10网络入侵与防范讲义6计算机病毒的特点隐藏性病毒程序代码驻留在磁盘等媒体上,无法以操作系统提供的文件管理方法观察到。传染性当用户利用磁盘片、网络等载体交换信息时,病毒程序趁机以用户不能察觉的方式随之传播。病毒程序也能在磁盘上的不同区域间传播,附着到多个文件上。潜伏性病毒程序感染正常的计算机之后,一般不会立即发作,而是潜伏下来,等到激发条件(如日期、时间、特定的字符串等)满足时才产生破坏作用。破坏性当病毒程序发作时,通常会在屏幕上输出一些不正常的信息,同时破坏磁盘上的数据文件和程序。2019/11/10网络入侵与防范讲义710.1.1计算机病毒的定义以上列举的定义指的是狭义上的病毒。但是随着黑客技术的发展,病毒、木马、蠕虫往往交叉在一起相互借鉴技术,因此人们经常说的计算机病毒往往是指广义上的病毒,它是一切恶意程序的统称。2019/11/10网络入侵与防范讲义810.1.2计算机病毒发展史蕴育生命峥嵘出现两军对垒魔高一尺道高一丈死灰复燃新的高峰巅峰之作风云再起永不结束的战争2019/11/10网络入侵与防范讲义9蕴育生命事件1:1960年,美国的约翰·康维编写了一个称为“生命游戏”程序,他的游戏程序运行时,在屏幕上会生成许多“生命元素”图案。这些元素图案会不断地发展变化。这个游戏首次实现了程序自我复制技术,它们能够自我复制并进行传播。事件2:贝尔实验室的三个年轻程序员道格拉斯·麦耀莱、维特·维索斯基和罗伯·莫里斯为打发工作之余的时间,发明了一种电子游戏叫“磁芯大战”。游戏规则是在预定的时间内,谁的程序繁殖得多,谁就得胜。——这个游戏程序就是最早的计算机病毒的雏形。具备了自我复制、自我传播的性质和破坏性。2019/11/10网络入侵与防范讲义10峥嵘出现真正的计算机病毒是在1983年的一次安全讨论会上提出来的。弗雷德·科恩博士研制出一种在运行过程中可以复制自身的破坏性程序,伦·艾德勒曼将它命名为计算机病毒。专家们在VAX11/750计算机系统上运行第一个病毒试验成功,一周后又获准进行5个试验的演示,从而在实验室验证了计算机病毒的存在。1986年,巴基斯坦的两兄弟拉合尔·巴锡特和阿姆杰德,他们常编写一些应用程序并为盗版而烦恼。为了打击那些盗版软件的使用者,他们设计了一个名为“巴基斯坦智囊”的病毒,该病毒只传染软盘引导。这就是最早在世界上流行的一个真正的病毒。2019/11/10网络入侵与防范讲义11峥嵘出现(2)1987年是病毒大量被发现的一年,大量的计算机病毒在这一年突然出现在全世界各地的计算机用户的计算机上,这些病毒即使今天人们也记忆犹新。典型的如大麻、IBM圣诞树、黑色星期五等。1988年3月2日,第一个在苹果机上的计算机病毒发作,这天受感染的苹果机停止工作,病毒并没有进行破坏,只是显示“向所有苹果计算机的使用者宣布和平的信息”,这一天是苹果机的生日。2019/11/10网络入侵与防范讲义12两军对垒计算机病毒首次真正造成大规模破坏是1988年11月2号。美国康乃尔大学23岁研究生罗伯特·莫里斯编写了一个蠕虫病毒,感染了网络中的6000多台计算机,并使其中的5000台计算机被迫停机数小时,导致的直接经济损失达9600万美元。——莫里斯事件1990年1月发现首例隐藏型计算机病毒“4096”,它不仅攻击程序还破坏数据文件。1991年发现首例网络计算机病毒“GPI”,它突破了NOVELL公司的Netware网络安全机制。硬件防病毒卡成为当时反病毒市场的主流,国外的反病毒软件SCAN和TBAV等开始进入中国市场,国内计算机专业人员开始开发自己的杀病毒软件。病毒与反病毒双方的斗争开始进入白热化阶段。2019/11/10网络入侵与防范讲义13魔高一尺通过特征代码对病毒进行查杀是当时防病毒的技术主流。而1992年出现的多态性计算机病毒让所有的防杀病毒的措施都失去了作用。1995年以后,多态病毒更发展成了能改变自身代码的变形计算机病毒,如Stealth(地震)、Ghost/One-Half/3544(幽灵)计算机病毒等。有的变形病毒具有数千甚至上万种变形,使得对这些病毒的查杀变得非常的困难。真正给防病毒阵营带来致命打击的是一个叫DIR2的计算机病毒,它只有短短的512个字节的程序代码,采用了与过去文件型病毒完全不同的传播机制。成功地越过了当时被广泛使用的防病毒卡以及其他防病毒软件的防线,大面积的传播开。2019/11/10网络入侵与防范讲义14道高一丈DIR2之后,病毒的发展进入了一个相当缓慢的时期,各种各样的病毒在以KV系列、KILL为首的众多杀毒软件的围剿下已没有过去的生机。特别是随着微软Windows95操作系统的推出,大量的用户升级使用新的操作系统上,过去依赖DOS的很多病毒失去了生存的土壤。2019/11/10网络入侵与防范讲义15死灰复燃国外出现了各种专门讨论计算机病毒技术的地下站点,相互交流编写病毒的心得体会和经验,并传播各种专门的计算机病毒引擎。到1996年,Windows95操作系统获得广泛使用,Windows95采用的技术也逐渐被病毒编写者掌握。计算机病毒技术有了新的发展,新的变形病毒采用了二维变形甚至多维变形技术以对抗防病毒软件的查杀,这些病毒都没有能掀起太大的风浪。真正引起波澜的是关于防病毒厂商制造病毒的争论。病毒制造者是什么人一直是人们讨论的话题,其中有一种说法是防病毒软件的厂商也在自己制造并传播病毒,通过升级杀毒软件来获取利润。——开发KV300的江民公司为了防止盗版在软件中加入“逻辑锁”,被公安部以违反《计算机安全管理条例》罚款3000元2019/11/10网络入侵与防范讲义16新的高峰到1997年,微软的Office系列软件成为Windows95平台下的首选的办公套件,几乎每一台计算机上都安装了这个办公套件。计算机病毒又找到了新的突破口,一种新的类型的病毒随之诞生,这就是宏病毒。宏病毒主要感染Word、Excel的文件并借助这两种文件进行传播。常见的宏病毒如:TaiwanNo.1(台湾一号)、Consept、Mdma等。2019/11/10网络入侵与防范讲义17巅峰之作1998年,病毒发展中出现了一个有史以来最危险、最具破坏力的病毒,这就是CIH。CIH具有以下几个特征:CIH病毒是第一个流行的攻击PE格式32位保护模式程序的病毒。CIH病毒是第一个能破坏FLASHROM中的BIOS指令的病毒。CIH病毒利用VXD技术逃过了当时所有的反病毒软件的监测。CIH发作时破坏硬盘上的引导区,导致硬盘数据丢失。2019/11/10网络入侵与防范讲义18风云再起互联网的快速发展和广泛应用给病毒的发展带来了更广阔的舞台,互联网使病毒的传播变得更加容易、更加快速。互联网病毒是利用互联网技术开发、传染和破坏的所有病毒的统称。其中最典型的就是电子邮件病毒,平常形式上就作为电子邮件的一个附件隐藏在电子邮件中。用流行的脚本编程语言如VBS、WSH等编写而成的脚本病毒更成为病毒发展史上一个新的亮点。网页病毒也是由脚本编写而成,不过大部分网页病毒并不像脚本病毒那样具有传染性,网页病毒没有传染性,只是放在互联网上被动的接受用户的访问。结合多种互联网病毒特性的混和型病毒将成为互联网病毒的主流,混和型病毒是互联网病毒的发展趋势。2019/11/10网络入侵与防范讲义19永不结束的战争随着计算机网络的发展和普及,越来越多的病毒都是透过网络传播,并最终对整个网络造成危害。其中具有代表性的有“尼姆达”、“红色代码”、“冲击波”等病毒,这些病毒都给互联网造成过巨大的影响。任何新的计算机技术的出现,利用这种新技术编写的病毒很快就会产生,而随之的对抗技术也会产生。——只要计算机还存在、还在不断发展,计算机病毒和反病毒的技术这一正一反的两种技术的斗争就永远不会结束。2019/11/10网络入侵与防范讲义2010.1.3计算机病毒之最最具有杀伤力的计算机病毒--CIH病毒最浪漫的病毒--ILOVEU最漂亮的病毒--图片病毒最虔诚的病毒--熊猫烧香最烦人的病毒--即时在线聊天病毒最佳创意的病毒--AV终结者最流氓的病毒--灰鸽子最坚强的病毒--网页病毒最牛的病毒--未来的病毒2019/11/10网络入侵与防范讲义21最具有杀伤力的计算机病毒--CIH病毒CIH病毒,它的出现直接颠覆了软件病毒不能破坏硬件的神话,CIH是一种能够破坏计算机系统硬件的恶性病毒。这个病毒产自台湾,最早随国际两大盗版集团贩卖的盗版光盘在欧美等地广泛传播,随后进一步通过Internet传播到全世界各个角落。2019/11/10网络入侵与防范讲义22最浪漫的病毒--ILOVEUILOVEYOU病毒是用VBScript程序语言编写的,主要透过一封信件标题为“ILOVEYOU”(我爱你)的电子邮件散播,附件为“LOVE-LETTER-FOR-YOU.txt.vbs”(献给你的情书),一旦执行,病毒会经由被感染者Outlook通讯簿的名单发出自动信件,藉以连锁性的大规模散播,造成企业mailserver瘫痪。病毒发作时,会感染并覆写附档名为:*.mp3,*.vbs,*.jpg,*.jpeg,*.hta,*.vbe,*.js,*.jse....等文件格式。文件遭到覆写后,附档名会改为*.vbs。2019/11/10网络入侵与防范讲义23最漂亮的病毒--图片病毒不可否认互联网发展到今天,人们对出现在互联网上图的吸引力远远大于对文字的吸引,就有好事者把病毒和图片捆绑在一起,当你打开图片的同时病毒已经悄无声息的进入了你的系统。这种病毒对防范意识差或者没有保护措施的用户很容易感染。当精美的图片图片给你带来视觉享受的时候,不要忽视病毒很能随之而来。2019/11/10网络入侵与防范讲义24最虔诚的病毒--熊猫烧香对于这个在06年给人们带来黑色记忆的病毒,其借助U盘的传播方式也引领新的反病毒课题,但这一切都没有其LOGO的熊猫给人的印象深刻:熊猫拿着三根香虔诚的祈祷。2019/11/10网络入侵与防范讲义25最烦人的病毒--即时在线聊天病毒即时通病毒困扰了许多人。当有一天你发现你的QQ或者MSN重要的聊