搜索
病毒的发展与技术主讲人:彭国军计算机病毒的特点传染性破坏性寄生性隐蔽性程序性(可执行性)潜伏性可触发性衍生性欺骗性不可预见性什么是计算机病毒?一组具有能够进行自我传播的破坏性代码或程序。计算机病毒的发展过程20世纪60年代初,美国贝尔实验室三个年轻的程序员编写了一个名为“磁芯大战”的游戏,游戏中的一方通过复制自身来摆脱对方的控制,这就是所谓“计算机病毒第一个雏形。20世纪70年代,美国作家雷恩在其出版的《P1的青春》一书中构思了一种能够自我复制的计算机程序,并第一次称之为“计算机病毒”。计算机病毒的发展过程到了20世纪80年代后期,巴基斯坦有两个以编软件为生的兄弟(也就是现在的程序员),他们为了打击那些盗版软件的使用者,设计出了一个名为“巴基斯坦智囊”的病毒,该病毒只传染软盘引导区。这就是最早在世界上流行的第一个真正的病毒。1988年至1989年,我国也相继出现了能感染硬盘和软盘引导区的Stoned(石头)病毒,该病毒替代码中有明显的标志“YourPcisnowStoned!”。20世纪90年代以前病毒的弱点被感染的文件大小明显增加病毒代码主体没有加密。访问文件的日期得到更新。很容易被debug工具跟踪这些病毒中,稍微有点对抗反病毒手段的只有YankeeDoole病毒,当它发现你用Debug工具跟踪它的时候,它会自动从文件中消失。计算机病毒的发展过程接着,就出现了一些能对自身进行简单加密的病毒,譬如当内存有1741病毒,用DIR列目录表的时候,这个病毒就会掩盖被感染文件后增加的字节数,使人看起来文件的大小没有什么变化。1992年以后,出现了是一种叫做DIR2的病毒,这种病毒非常典型,并且其整个程序大小只有263个字节。计算机病毒的发展过程20世纪内,绝大多数病毒是基于DOS系统的,有80%的病毒能在Windows中传染。宏病毒的出现,代表有美丽莎,台湾一号等病毒生产机现身,1996年下半年在国内终于发现了“G2、IVP、VCL”三种“病毒生产机软件”计算机病毒的发展过程Internet的广泛应用,激发了病毒的活力。病毒通过网络的快速传播和破坏,为世界带来了一次一次的巨大灾难。1998年2月,台湾省的陈盈豪,编写出了破坏性极大的恶性病毒CIH-1.2版,并定于每年的4月26日发作破坏CIH介绍陈盈豪:当时台湾的一个大学生1998年2月,1.2版1998年4月26日,台湾少量发作1999年4月26日,全球发作破坏主板BIOSCIH特点通过网络(软件下载)传播全球有超过6000万台的机器被感染第一个能够破坏计算机硬件的病毒全球直接经济损失超过10亿美元计算机病毒的发展过程1999年2月,“美丽莎”病毒席卷了整个欧美大陆这是世界上最大的一次病毒浩劫,也是最大的一次网络蠕虫大泛滥。“美丽莎”介绍大卫.史密斯,美国新泽西州工程师在16小时内席卷全球互联网至少造成10亿美元的损失!通过email传播传播规模(50的n次方,n为传播的次数)计算机病毒的发展过程2000年5月,在欧美又爆发了“爱虫”网络蠕虫病毒,造成了比“美丽莎”病毒破坏性更大的经济损失。这个病毒属于vbs脚本病毒,可以通过html,irc,email进行大量的传播。爱虫病毒介绍菲律宾“AMA”电脑大学计算机系的学生一个星期内就传遍5大洲微软、Intel等在内的大型企业网络系统瘫痪全球经济损失达几十亿美元爱虫病毒特点通过电子邮件传播,向地址本中所有用户发带毒邮件通过聊天通道IRC、VBS、网页传播能删除计算机内的部分文件制造大量新的电子邮件,使用户文件泄密、网络负荷剧增。一年后出现的爱虫变种VBS/LoveLetter.CM它还会在Windows目录下驻留一个染有CIH病毒的文件,并将其激活。计算机病毒的发展过程再后来就出现有更多的网络蠕虫。譬如,红色代码,蓝色代码、求职者病毒、尼姆达(Nimda)、FUN_LOVE,最近还在流行的新欢乐时光等等。计算机病毒的发展过程7月18日午夜,红色代码大面积暴发,被攻击的电脑数量达到35.9万台。被攻击的电脑中44%位于美国,11%在韩国,5%在中国,其余分散在世界各地。7月19日,“红色代码”病毒开始疯狂攻击美国白宫网站,白宫网站管理员将白宫网站从原来的IP地址转移到另外一个地址,才幸免于难。红色代码的特点该病毒通过微软公司IIS系统漏洞进行感染,它使IIS服务程序处理请求数据包时溢出,导致把此“数据包”当作代码运行,病毒驻留后再次通过此漏洞感染其它服务器。它只存在于内存,传染时借助这个服务器的网络连接攻击其它的服务器,直接从一台电脑内存传到另一台电脑内存。它所造成的破坏主要是涂改网页,对网络上的其它服务器进行攻击,被攻击的服务器又可以继续攻击其它服务器。在每月的20-27日,向美国白宫网站发动攻击。将英文站点改写为“Hello!Welcometo!HackedbyChinese!”。计算机病毒的发展过程7月31日,格林尼治时间午夜整点,“红色代码II”爆发,在全球大面积蔓延。据统计:红色代码发作的行业集中在计算机信息行业和网站,约占70-80%其次就是企事业单位,包括学校,政府机构等,约占20%-30%。其中北京地区发作最为严重,约占80%。红色代码II特点具有红色代码的特点可以攻击任何语言的系统。在遭到攻击的机器上植入“特洛伊木马”,拥有极强的可扩充性。未感染则注册Atom并创建300个病毒线程。当判断到系统默认的语言ID是中华人民共和国或中国台湾时,线程数猛增到600个。IP随机数发生器产生用于病毒感染的目标电脑IP地址。(40万/天)当病毒在判断日期大于2002年10月时,会立刻强行重启计算机红色代码造成的危害网络性能急剧下降,路由器、交换机等网络设备负载加重,甚至崩溃等。硬盘数据能够被远程读写直接经济损失:26亿美元计算机病毒的发展过程2001年9月18日出现的尼姆达病毒2001年最为凶猛的恶意蠕虫病毒,岂今为止已给全球带来不可估量的经济损失。该病毒不仅传播速度快、危害性强,而且自我繁殖能力更是位居各大病毒之首。已有五种新变种相继粉墨登场,作恶不可谓不大。利用unicode漏洞,与黑客技术相结合。尼姆达病毒的传播过程2001年9月18日,首先在美国出现,当天下午,有超过130,000台服务器和个人电脑受到感染。(北美洲)2001年9月18日晚上,在日本、香港、南韩、新加坡和中国都收到了受到感染的报告。(亚洲)2001年9月19日,有超过150000个公司被感染,西门子在他的网络受到渗透之后,被迫关掉服务器。(欧洲)尼姆达的四种传播方式文件感染Email局域网尼姆达的四种传播方式文件感染:尼姆达在本地机器上寻找系统中的EXE文件,并将病毒代码置入原文件体内,从而达到对文件的感染。当用户执行像游戏一类的受感染的程序文件时,病毒就开始传播。邮件感染:尼姆达通过MAPI从邮件的客户端及本地的HTML文件中搜索邮件地址,然后将病毒发送给这些地址。这些邮件都包含一个名为README.EXE的附件,在某些系统中该附件能够自动执行,从而感染整个系统。网络蠕虫:它还会通过扫描internet,来试图寻找服务器,一旦找到WEB服务器,该病毒便会利用已知的安全漏洞来感染该服务器,若感染成功,就会任意修改该站点的WEB页,当在WEB上冲浪的用户浏览该站点时,不知不觉中便会被自动感染。通过局域网:查找.doc文件,找到就会把自身复制到目录中命名为riched20.dll(word,notepad打开时会调用文件riched20.dll)。SirCam网络蠕虫病毒首发于英国的恶性网络蠕虫病毒触发日期:10月16日病毒行为:蠕虫将染毒机器中产生的随机文档隐藏到自身代码中;蠕虫将删除C盘上的所有文件及文件夹,仅当系统日期格式为D/M/Y(日/月/年);每次启动时蠕虫通过向c:\recycled\sircam.sys文件中添加文本使硬盘上的空余空间被充满当蠕虫执行8000次后,会停止执行。直接经济损失:11.5亿美元SirCam病毒的传播途径病毒传播:1)邮件:从两种渠道获取邮件地址:搜索下列文件:sho*.,get*.,hot*.,*.htm并将邮件地址拷贝到%Windows%\sc??.dll(其中?代表随机的数字或字母)搜索所有驱动器,寻找*.wab文件(Windows地址簿)并拷贝其中的邮件地址。2)共享驱动器:搜索所有共享驱动器将蠕虫复制到该驱动器中。并:将自身拷贝到\recycled\sirc32.exe在\autoexec.bat文件中添加一行:@win\recycled\sirc32.exe“复制文件\Windows\rundll32.exe到\Windows\run32.exe用本地文件c:\recycled\sirc32.exe替换\Windows\rundll32.exe求职信病毒特征“求职信”系列变种病毒利用微软系统的漏洞,可以自动感染,无须打开附件,因此危害性很大。其变种具有很强的隐蔽性,可以“随机应变”地自动改换不同的邮件主题和内容,瓦解邮件接收者的警惕性。在邮件内部存放发送信息的一部分,这些变种病毒会伪造虚假信息,掩盖病毒的真实来源。求职信病毒特征能够绕开一些流行杀毒软件的监控,甚至专门针对一些杀毒软件进行攻击。利用局域网上的共享文件夹进行传染,其传播特点类似“尼姆达”病毒。在网络上出现的一些“求职信”变种的专杀工具,由于无法适用于所有的变种,因此在杀除一些变种病毒时,会连病毒带文件一同删除,结果造成杀病毒把电脑一起“杀死”的情况。“中国黑客”介绍2002年6月6日,“中国黑客”病毒出现,它发明了全球首创的“三线程”技术。主线程:往硬盘写入病毒文件或感染其他执行文件。分线程1:监视主线程并保证主线程的运行,一旦主线程被清除,这个监视器就将主病毒体再次调入。分线程2:不断监视注册表的某个值(run项),一旦被人工或反病毒软件修改,他立即重新写入这个值,保证自己下次启动时拿到控制权。“中国黑客”病毒的特点很多反病毒软件一般都是直接修改会引起病毒自动加载的注册表选项,但是它没有注意到这个病毒马上又将这个值改回去了。在传播方式上,“中国黑客”寻找用户邮件地址薄来向外发病毒邮件传播,或通过局域网传播,这一点与求职信病毒非常相似。另外,在Windows95/98/Me系统下,“中国黑客”病毒学习了CIH病毒,它取得了系统的最高权限。此外,“中国黑客”病毒还预留了接口,只要作者愿意的话很多破坏功能与传播方式很快就可以加上。还有,病毒体内的感染开关没有打开,所以目前此病毒还不能感染文件,但实际上病毒体内的感染代码已经比较完整,加上几行代码就可以实现感染Windows下的.EXE、.DLL、.SCR等文件。病毒的发展趋势从以上病毒的发展过程我们可以看出病毒有如下的发展趋势:病毒向有智能和有目的的方向发展未来凡能造成重大危害的,一定是“蠕虫”。“蠕虫”的特征是快速地不断复制自身,以求在最短的时间内传播到最大范围。病毒开始与黑客技术结合,他们的结合将会为世界带来无可估量的损失病毒的发展趋势从Sircam、“尼姆达”、“求职信”、“中文求职信”到“中国黑客”,这类病毒越来越向轻感染文件、重复制自身的方向发展。病毒的大面积传播与网络的发展密不可分基于分布式通信的病毒很可能在不久即将出现未来病毒与反病毒之间比的就是速度,而增强对新病毒的反应和处理速度,将成为反病毒厂商的核心竞争力之一。计算机病毒的种类和数量Dos病毒40000多种Win9x病毒600多种winnt/win2000病毒200多种Word宏病毒7500多种excel宏病毒1500多种(2000年12月统计数据)powerpoint病毒100多种Script脚本病毒500多种