按照计算机病毒属性的方法进行分类,计算机病毒可以根据下面的属性进行分类。
一、根据病毒存在的媒体划分:
1、网络病毒——通过计算机网络传播感染网络中的可执行文件。
2、文件病毒——感染计算机中的文件(如:COM,EXE,DOC等)。
3、引导型病毒——感染启动扇区(Boot)和硬盘的系统引导扇区(MBR)。
二、根据病毒传染渠道划分:
1、驻留型病毒——这种病毒感染计算机后,把自身的内存驻留部分放在内存(RAM)中,这一部分程序挂接系统调用并合并到操作系统中去,它处于激活状态,一直到关机或重新启动
2、非驻留型病毒——这种病毒在得到机会激活时并不感染计算机内存,一些病毒在内存中留有小部分,但是并不通过这一部分进行传染,这类病毒也被划分为非驻留型病毒。
三、根据破坏能力划分:
1、无害型——除了传染时减少磁盘的可用空间外,对系统没有其它影响。
2、无危险型——这类病毒仅仅是减少内存、显示图像、发出声音及同类影响。
3、危险型——这类病毒在计算机系统操作中造成严重的错误。
4、非常危险型——这类病毒删除程序、破坏数据、清除系统内存区和操作系统中重要的信息。
四、根据算法划分:
1、伴随型病毒——这类病毒并不改变文件本身,它们根据算法产生EXE文件的伴随体,具有同样的名字和不同的扩展名(COM),例如:XCOPY.EXE的伴随体是XCOPY-COM。病毒把自身写入COM文件并不改变EXE文件,当DOS加载文件时,伴随体优先被执行到,再由伴随体加载执行原来的EXE文件。
2、“蠕虫”型病毒——通过计算机网络传播,不改变文件和资料信息,利用网络从一台机器的内存传播到其它机器的内存,计算机将自身的病毒通过网络发送。有时它们在系统存在,一般除了内存不占用其它资源。
3、寄生型病毒——除了伴随和“蠕虫”型,其它病毒均可称为寄生型病毒,它们依附在系统的引导扇区或文件中,通过系统的功能进行传播,按其算法不同还可细分为以下几类。
4、练习型病毒,病毒自身包含错误,不能进行很好的传播,例如一些病毒在调试阶段。
5、诡秘型病毒,它们一般不直接修改DOS中断和扇区数据,而是通过设备技术和文件缓冲区等对DOS内部进行修改,不易看到资源,使用比较高级的技术。利用DOS空闲的数据区进行工作。
6、变型病毒(又称幽灵病毒),这一类病毒使用一个复杂的算法,使自己每传播一份都具有不同的内容和长度。它们一般的作法是一段混有无关指令的解码算法和被变化过的病毒体组成。
五、破坏性
1、良性病毒
2、恶性病毒
3、极恶性病毒
4、灾难性病毒。
六、传染方式
1、引导区型病毒主要通过软盘在操作系统中传播,感染引导区,蔓延到硬盘,并能感染到硬盘中的"主引导记录"。
2、文件型病毒是文件感染者,也称为“寄生病毒”。它运行在计算机存储器中,通常感染扩展名为COM、EXE、SYS等类型的文件。
3、混合型病毒具有引导区型病毒和文件型病毒两者的特点。
4、宏病毒是指用BASIC语言编写的病毒程序寄存在Office文档上的宏代码。宏病毒影响对文档的各种操作。
七、连接方式
1、源码型病毒攻击高级语言编写的源程序,在源程序编译之前插入其中,并随源程序一起编译、连接成可执行文件。源码型病毒较为少见,亦难以编写。
2、入侵型病毒可用自身代替正常程序中的部分模块或堆栈区。因此这类病毒只攻击某些特定程序,针对性强。一般情况下也难以被发现,清除起来也较困难。
3、操作系统型病毒可用其自身部分加入或替代操作系统的部分功能。因其直接感染操作系统,这类病毒的危害性也较大。
4、外壳型病毒通常将自身附在正常程序的开头或结尾,相当于给正常程序加了个外壳。大部份的文件型病毒都属于这一类。
扩展资料:
为了能够复制其自身,病毒必须能够运行代码并能够对内存运行写操作。基于这个原因,许多病毒都是将自己附着在合法的可执行文件上。如果用户企图运行该可执行文件,那么病毒就有机会运行。病毒可以根据运行时所表现出来的行为分成两类。
非常驻型病毒会立即查找其它宿主并伺机加以感染,之后再将控制权交给被感染的应用程序。常驻型病毒被运行时并不会查找其它宿主。相反的,一个常驻型病毒会将自己加载内存并将控制权交给宿主。该病毒于背景中运行并伺机感染其它目标。
常驻型病毒包含复制模块,其角色类似于非常驻型病毒中的复制模块。复制模块在常驻型病毒中不会被搜索模块调用。病毒在被运行时会将复制模块加载内存,并确保当操作系统运行特定动作时,该复制模块会被调用。
例如,复制模块会在操作系统运行其它文件时被调用。在这个例子中,所有可以被运行的文件均会被感染。常驻型病毒有时会被区分成快速感染者和慢速感染者。快速感染者会试图感染尽可能多的文件。
参考资料来源:百度百科 计算机病毒
温馨提示:答案为网友推荐,仅供参考
第1个回答 2013-10-28
1、木马病毒。
木马病毒其前缀是:Trojan,其共有特性以盗取用户信息为目的。2、系统病毒。
系统病毒的前缀为:Win32、PE、Win95、W32、W95等。其主要感染windows系统的可执行文件。3、蠕虫病毒。
蠕虫病毒的前缀是:Worm。其主要是通过网络或者系统漏洞进行传播4、脚本病毒。
脚本病毒的前缀是:Script。其特点是采用脚本语言编写。5、后门病毒。
后门病毒的前缀是:Backdoor。其通过网络传播,并在系统中打开后门。6、宏病毒。
其实宏病毒是也是脚本病毒的一种,其利用ms office文档中的宏进行传播。7.破坏性程序病毒。
破坏性程序病毒的前缀是:Harm。其一般会对系统造成明显的破坏,如格式化硬盘等。8.、玩笑病毒。
玩笑病毒的前缀是:Joke。是恶作剧性质的病毒,通常不会造成实质性的破坏。9.捆绑机病毒
捆绑机病毒的前缀是:Binder。这是一类会和其它特定应用程序捆绑在一起的病毒。
这种病毒用它自已的程序意图加入或取代部分操作系统进行工作,具有很强的破坏力,可以导致整个系统的瘫痪。圆点病毒和大麻病毒就是典型的操作系统型病毒。 良性计算机病毒
良性病毒是指其不包含有立即对计算机系统产生直接破坏作用的代码。这类病毒为了表现其存在,只是不停地进行扩散,从一台计算机传染到另一台,并不破坏计算机内的数据。有些人对这类计算机病毒的传染不以为然,认为这只是恶作剧,没什么关系。其实良性、恶性都是相对而言的。良性病毒取得系统控制权后,会导致整个系统和应用程序争抢CPU的控制权,时时导致整个系统死锁,给正常操作带来麻烦。有时系统内还会出现几种病毒交叉感染的现象,一个文件不停地反复被几种病毒所感染。例如原来只有10KB存储空间,而且整个计算机系统也由于多种病毒寄生于其中而无法正常工作。因此也不能轻视所谓良性病毒对计算机系统造成的损害。
源码型病毒该病毒攻击高级语言编写的程序,该病毒在高级语言所编写的程序编译前插入到原程序中,经编译成为合法程序的一部分。
宏病毒是一种寄存在文档或模板的宏中的计算机病毒。一旦打开这样的文档,其中的宏就会被执行,于是宏病毒就会被激活,转移到计算机上,并驻留在Normal模板上。从此以后,所有自动保存的文档都会 “感染”上这种宏病毒,而且如果其他用户打开了感染病毒的文档,宏病毒又会转移到他的计算机上。 文件型病毒是主要感染可执行文件的病毒,它通常隐藏在宿主程序中,执行宿主程序时,将会先执行病毒程序再执行宿主程序。
传播方式当宿主程序运行时,病毒程序首先运行,然后驻留在内存中,再伺机感染其它的可执行程序,达到传播的目的。
木马病毒其前缀是:Trojan,其共有特性以盗取用户信息为目的。2、系统病毒。
系统病毒的前缀为:Win32、PE、Win95、W32、W95等。其主要感染windows系统的可执行文件。3、蠕虫病毒。
蠕虫病毒的前缀是:Worm。其主要是通过网络或者系统漏洞进行传播4、脚本病毒。
脚本病毒的前缀是:Script。其特点是采用脚本语言编写。5、后门病毒。
后门病毒的前缀是:Backdoor。其通过网络传播,并在系统中打开后门。6、宏病毒。
其实宏病毒是也是脚本病毒的一种,其利用ms office文档中的宏进行传播。7.破坏性程序病毒。
破坏性程序病毒的前缀是:Harm。其一般会对系统造成明显的破坏,如格式化硬盘等。8.、玩笑病毒。
玩笑病毒的前缀是:Joke。是恶作剧性质的病毒,通常不会造成实质性的破坏。9.捆绑机病毒
捆绑机病毒的前缀是:Binder。这是一类会和其它特定应用程序捆绑在一起的病毒。
这种病毒用它自已的程序意图加入或取代部分操作系统进行工作,具有很强的破坏力,可以导致整个系统的瘫痪。圆点病毒和大麻病毒就是典型的操作系统型病毒。 良性计算机病毒
良性病毒是指其不包含有立即对计算机系统产生直接破坏作用的代码。这类病毒为了表现其存在,只是不停地进行扩散,从一台计算机传染到另一台,并不破坏计算机内的数据。有些人对这类计算机病毒的传染不以为然,认为这只是恶作剧,没什么关系。其实良性、恶性都是相对而言的。良性病毒取得系统控制权后,会导致整个系统和应用程序争抢CPU的控制权,时时导致整个系统死锁,给正常操作带来麻烦。有时系统内还会出现几种病毒交叉感染的现象,一个文件不停地反复被几种病毒所感染。例如原来只有10KB存储空间,而且整个计算机系统也由于多种病毒寄生于其中而无法正常工作。因此也不能轻视所谓良性病毒对计算机系统造成的损害。
源码型病毒该病毒攻击高级语言编写的程序,该病毒在高级语言所编写的程序编译前插入到原程序中,经编译成为合法程序的一部分。
宏病毒是一种寄存在文档或模板的宏中的计算机病毒。一旦打开这样的文档,其中的宏就会被执行,于是宏病毒就会被激活,转移到计算机上,并驻留在Normal模板上。从此以后,所有自动保存的文档都会 “感染”上这种宏病毒,而且如果其他用户打开了感染病毒的文档,宏病毒又会转移到他的计算机上。 文件型病毒是主要感染可执行文件的病毒,它通常隐藏在宿主程序中,执行宿主程序时,将会先执行病毒程序再执行宿主程序。
传播方式当宿主程序运行时,病毒程序首先运行,然后驻留在内存中,再伺机感染其它的可执行程序,达到传播的目的。
第2个回答 2017-05-19
计算机病毒(Computer Virus)是编制者在计算机程序中插入的破坏计算机功能或者数据的代码,能影响计算机使用,能自我复制的一组计算机指令或者程序代码。常见的十大病毒有:
1、系统病毒。系统病毒的前缀为:Win32、PE、Win95、W32、W95等。这些病毒的一般公有的特性是可以感染Windows操作系统的
*.exe 和 *.dll 文件,并通过这些文件进行传播。如CIH病毒。
2、蠕虫病毒。蠕虫病毒的前缀是:Worm。这种病毒的公有特性是通过网络或者系统漏洞进行传播,很大部分的蠕虫病毒都有向外发送带毒邮件,阻塞网络的特性。比如冲击波(阻塞网络),小邮差(发带毒邮件)
等。
3、木马病毒、黑客病毒。木马病毒其前缀是:Trojan,黑客病毒前缀名一般为 Hack
。木马病毒的公有特性是通过网络或者系统漏洞进入用户的系统并隐藏,然后向外界泄露用户的信息,而黑客病毒则有一个可视的界面,能对用户的电脑进行远程控制。木马、黑客病毒往往是成对出现的,即木马病毒负责侵入用户的电脑,而黑客病毒则会通过该木马病毒来进行控制。现在这两种类型都越来越趋向于整合了。一般的木马如QQ消息尾巴木马
Trojan.QQ3344 ,还有大家可能遇见比较多的针对网络游戏的木马病毒如 Trojan.LMir.PSW.60
。这里补充一点,病毒名中有PSW或者什么PWD之类的一般都表示这个病毒有盗取密码的功能(这些字母一般都为“密码”的英文“password”的缩写)一些黑客程序如:网络枭雄(Hack.Nether.Client)等。
4、脚本病毒。脚本病毒的前缀是:Script。脚本病毒的公有特性是使用脚本语言编写,通过网页进行的传播的病毒,如红色代码(Script.Redlof)——可不是我们的老大代码兄哦。脚本病毒还会有如下前缀:VBS、JS(表明是何种脚本编写的),如欢乐时光(VBS.Happytime)、十四曰(Js.Fortnight.c.s)等。
5、宏病毒。其实宏病毒是也是脚本病毒的一种,由于它的特殊性,因此在这里单独算成一类。宏病毒的前缀是:Macro,第二前缀是:Word、Word97、Excel、Excel97(也许还有别的)其中之一。凡是只感染WORD97及以前版本WORD文档的病毒采用Word97做为第二前缀,格式是:Macro.Word97;凡是只感染WORD97以后版本WORD文档的病毒采用Word做为第二前缀,格式是:Macro.Word;凡是只感染EXCEL97及以前版本EXCEL文档的病毒采用Excel97做为第二前缀,格式是:Macro.Excel97;凡是只感染EXCEL97以后版本EXCEL文档的病毒采用Excel做为第二前缀,格式是:Macro.Excel,依此类推。该类病毒的公有特性是能感染OFFICE系列文档,然后通过OFFICE通用模板进行传播,如:著名的美丽莎(Macro.Melissa)。
6、后门病毒。后门病毒的前缀是:Backdoor。该类病毒的公有特性是通过网络传播,给系统开后门,给用户电脑带来安全隐患。如54很多朋友遇到过的IRC后门Backdoor.IRCBot
。
7、病毒种植程序病毒。这类病毒的公有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下,由释放出来的新病毒产生破坏。如:冰河播种者(Dropper.BingHe2.2C)、MSN射手(Dropper.Worm.Smibag)等。
8、破坏性程序病毒。破坏性程序病毒的前缀是:Harm。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒便会直接对用户计算机产生破坏。如:格式化C盘(Harm.formatC.f)、杀手命令(Harm.Command.Killer)等。
9、玩笑病毒。玩笑病毒的前缀是:Joke。也称恶作剧病毒。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒会做出各种破坏操作来吓唬用户,其实病毒并没有对用户电脑进行任何破坏。如:女鬼(Joke.Girlghost)病毒。
10、捆绑机病毒。捆绑机病毒的前缀是:Binder。这类病毒的公有特性是病毒作者会使用特定的捆绑程序将病毒与一些应用程序如QQ、IE捆绑起来,表面上看是一个正常的文件,当用户运行这些捆绑病毒时,会表面上运行这些应用程序,然后隐藏运行捆绑在一起的病毒,从而给用户造成危害。如:捆绑QQ(Binder.QQPass.QQBin)、系统杀手(Binder.killsys)等。
1、系统病毒。系统病毒的前缀为:Win32、PE、Win95、W32、W95等。这些病毒的一般公有的特性是可以感染Windows操作系统的
*.exe 和 *.dll 文件,并通过这些文件进行传播。如CIH病毒。
2、蠕虫病毒。蠕虫病毒的前缀是:Worm。这种病毒的公有特性是通过网络或者系统漏洞进行传播,很大部分的蠕虫病毒都有向外发送带毒邮件,阻塞网络的特性。比如冲击波(阻塞网络),小邮差(发带毒邮件)
等。
3、木马病毒、黑客病毒。木马病毒其前缀是:Trojan,黑客病毒前缀名一般为 Hack
。木马病毒的公有特性是通过网络或者系统漏洞进入用户的系统并隐藏,然后向外界泄露用户的信息,而黑客病毒则有一个可视的界面,能对用户的电脑进行远程控制。木马、黑客病毒往往是成对出现的,即木马病毒负责侵入用户的电脑,而黑客病毒则会通过该木马病毒来进行控制。现在这两种类型都越来越趋向于整合了。一般的木马如QQ消息尾巴木马
Trojan.QQ3344 ,还有大家可能遇见比较多的针对网络游戏的木马病毒如 Trojan.LMir.PSW.60
。这里补充一点,病毒名中有PSW或者什么PWD之类的一般都表示这个病毒有盗取密码的功能(这些字母一般都为“密码”的英文“password”的缩写)一些黑客程序如:网络枭雄(Hack.Nether.Client)等。
4、脚本病毒。脚本病毒的前缀是:Script。脚本病毒的公有特性是使用脚本语言编写,通过网页进行的传播的病毒,如红色代码(Script.Redlof)——可不是我们的老大代码兄哦。脚本病毒还会有如下前缀:VBS、JS(表明是何种脚本编写的),如欢乐时光(VBS.Happytime)、十四曰(Js.Fortnight.c.s)等。
5、宏病毒。其实宏病毒是也是脚本病毒的一种,由于它的特殊性,因此在这里单独算成一类。宏病毒的前缀是:Macro,第二前缀是:Word、Word97、Excel、Excel97(也许还有别的)其中之一。凡是只感染WORD97及以前版本WORD文档的病毒采用Word97做为第二前缀,格式是:Macro.Word97;凡是只感染WORD97以后版本WORD文档的病毒采用Word做为第二前缀,格式是:Macro.Word;凡是只感染EXCEL97及以前版本EXCEL文档的病毒采用Excel97做为第二前缀,格式是:Macro.Excel97;凡是只感染EXCEL97以后版本EXCEL文档的病毒采用Excel做为第二前缀,格式是:Macro.Excel,依此类推。该类病毒的公有特性是能感染OFFICE系列文档,然后通过OFFICE通用模板进行传播,如:著名的美丽莎(Macro.Melissa)。
6、后门病毒。后门病毒的前缀是:Backdoor。该类病毒的公有特性是通过网络传播,给系统开后门,给用户电脑带来安全隐患。如54很多朋友遇到过的IRC后门Backdoor.IRCBot
。
7、病毒种植程序病毒。这类病毒的公有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下,由释放出来的新病毒产生破坏。如:冰河播种者(Dropper.BingHe2.2C)、MSN射手(Dropper.Worm.Smibag)等。
8、破坏性程序病毒。破坏性程序病毒的前缀是:Harm。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒便会直接对用户计算机产生破坏。如:格式化C盘(Harm.formatC.f)、杀手命令(Harm.Command.Killer)等。
9、玩笑病毒。玩笑病毒的前缀是:Joke。也称恶作剧病毒。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒会做出各种破坏操作来吓唬用户,其实病毒并没有对用户电脑进行任何破坏。如:女鬼(Joke.Girlghost)病毒。
10、捆绑机病毒。捆绑机病毒的前缀是:Binder。这类病毒的公有特性是病毒作者会使用特定的捆绑程序将病毒与一些应用程序如QQ、IE捆绑起来,表面上看是一个正常的文件,当用户运行这些捆绑病毒时,会表面上运行这些应用程序,然后隐藏运行捆绑在一起的病毒,从而给用户造成危害。如:捆绑QQ(Binder.QQPass.QQBin)、系统杀手(Binder.killsys)等。
第3个回答 2013-07-10
从计算机病毒的基本类型来分,计算机病毒可以分为系统引导型病毒、可执行文件型病毒、宏病毒、混合型病毒、特洛伊木马型病毒和Internet语言病毒等等。
l 系统引导型病毒
系统引导型病毒在系统启动时,先于正常系统的引导将病毒程序自身装入到操作系统中,在完成病毒自身程序的安装后,该病毒程序成为系统的一个驻留内存的程序,然后再将系统的控制权转给真正的系统引导程序,完成系统的安装。表面上看起来计算机系统能够启动并正常运行,但此时,由于有计算机病毒程序驻留在内存,计算机系统已在病毒程序的控制之下了。
系统引导型病毒主要是感染软盘的引导扇区和硬盘的主引导扇区或DOS引导扇区,其传染方式主要是通过用被病毒感染的软盘启动计算机而传染的。只要用这些有系统引导型病毒的软件启动计算机,不管有没有引导成功,系统引导型病毒都将自动装入内存。而在这些由系统引导型病毒控制的系统下,将感染所有进行读、写操作的软盘和硬盘的引导扇区或主引导扇区,一旦硬盘感染了系统引导型病毒,那将感染所有在该系统中使用的软盘。这样,通过软盘作为传染的媒介,病毒就会广泛传播。
l 可执行文件型病毒
可执行文件型病毒依附在可执行文件或覆盖文件中,当病毒程序感染一个可执行文件时,病毒修改原文件的一些参数,并将病毒自身程序添加到原文件中。在被感染病毒的文件被执行时,由于病毒修改了原文件的一些参数,所以首先执行病毒程序的一段代码,这段病毒程序的代码主要功能是将病毒程序驻留在内存,以取得系统的控制权,从而可以完成病毒的复制和一些破坏操作,然后再执行原文件的程序代码,实现原来的程序功能,以迷惑用户。
可执行文件型病毒主要感染系统可执行文件(如DOS或WINDOWS系统的COM或EXE文件)或覆盖文件(如OVL文件)中,极少感染数据文件。其传染方式是当感染了病毒的可执行文件被执行或者当系统有任何读、写操作时,向外进行传播病毒。此时,病毒程序首先将要被感染的文件读入内存,判断其特定位置上是否有该病毒程序的标记,如果已经感染了就不再重复感染,如果没有感染,则将病毒程序写到该文件中。在完成病毒传染后,才去执行本来系统申请的功能。
l 宏病毒
宏病毒是利用宏语言编制的病毒,宏病毒充分利用宏命令的强大系统调用功能,实现某些涉及系统底层操作的破坏。宏病毒仅感染Windows系统下用Word、Excel、Access、PowerPoint等办公自动化程序编制的文档以及Outlook express邮件等,不会感染给可执行文件。
宏病毒是按以下方法进行传播的:
(1) 当打开一个带宏病毒的文件模板后,该模板可以通过执行其中的宏程序将自身所携带的病毒宏程序拷贝到办公自动化系统的通用模板中;
(2) 若使用带病毒的模板对文件进行操作时,可以将该文档文件重新存盘为带病毒模板文件,即由原来不带宏程序的纯文本文件转换为带宏病毒的模板文件。
以上两步循环就构成了宏病毒的传染机制。
l 混合型病毒
混合型病毒是以上几种的混合。混合型病毒的目的是为了综合利用以上3种病毒的传染渠道进行破坏。混合型病毒不仅传染可执行文件而且还传染硬盘主引导扇区,被这种病毒传染的病毒用FORMAT命令格式化硬盘都不能消除病毒。
混合型病毒的引导方式具有系统引导型病毒和可执行文件型病毒的特点。一般混合型病毒的原始状态依附在可执行文件上,通过这个文件作为载体而传播开来的。当文件执行时,如果系统上有硬盘就立刻感染硬盘的主引导扇区,以后由硬盘启动系统后,病毒程序就驻留在系统内存中,从而实现了由可执行文件型病毒向系统引导型病毒的转变。以后,这个驻留内存的病毒程序只对系统中的可执行文件进行感染,又实现了由系统引导型病毒向可执行文件型病毒的转变。当这个被感染的文件被复制到其他计算机中并被执行时,就会重复上述过程,导致病毒的传播。
l 特洛伊木马型病毒
特洛伊木马型病毒也叫“黑客程序”或后门病毒,属于文件型病毒的一种,但有其自身的特点。此种病毒分成服务器端和客户端两部分,服务器端病毒程序通过文件的复制、网络中文件的下载和电子邮件的附件等途径传送到要破坏的计算机系统中,一旦用户执行了这类病毒程序,病毒就会在每次系统启动时偷偷地在后台运行。当计算机系统联上Internet时,黑客就可以通过客户端病毒在网络上寻找运行了服务器端病毒程序的计算机,当客户端病毒找到这种计算机后,就能在用户不知晓的情况下使用客户端病毒指挥服务器端病毒进行合法用户能进行的各种操作,包括复制、删除、关机等,从而达到控制计算机的目的。这种病毒具有极大的危害性,在互联网日益普及的今天,必须要引起足够的重视,否则网上安全无从谈起。
l Internet语言病毒
Internet语言病毒是利用java、VB和ActiveX的特性来撰写的病毒,这种病毒虽不能破坏硬盘上的资料,但是如果用户使用浏览器来浏览含有这些病毒的网页,使用者就会在不知不觉中,让病毒进入计算机进行复制,并通过网络窃取宝贵的个人秘密信息或使计算机系统资源利用率下降,造成死机等现象。
l 系统引导型病毒
系统引导型病毒在系统启动时,先于正常系统的引导将病毒程序自身装入到操作系统中,在完成病毒自身程序的安装后,该病毒程序成为系统的一个驻留内存的程序,然后再将系统的控制权转给真正的系统引导程序,完成系统的安装。表面上看起来计算机系统能够启动并正常运行,但此时,由于有计算机病毒程序驻留在内存,计算机系统已在病毒程序的控制之下了。
系统引导型病毒主要是感染软盘的引导扇区和硬盘的主引导扇区或DOS引导扇区,其传染方式主要是通过用被病毒感染的软盘启动计算机而传染的。只要用这些有系统引导型病毒的软件启动计算机,不管有没有引导成功,系统引导型病毒都将自动装入内存。而在这些由系统引导型病毒控制的系统下,将感染所有进行读、写操作的软盘和硬盘的引导扇区或主引导扇区,一旦硬盘感染了系统引导型病毒,那将感染所有在该系统中使用的软盘。这样,通过软盘作为传染的媒介,病毒就会广泛传播。
l 可执行文件型病毒
可执行文件型病毒依附在可执行文件或覆盖文件中,当病毒程序感染一个可执行文件时,病毒修改原文件的一些参数,并将病毒自身程序添加到原文件中。在被感染病毒的文件被执行时,由于病毒修改了原文件的一些参数,所以首先执行病毒程序的一段代码,这段病毒程序的代码主要功能是将病毒程序驻留在内存,以取得系统的控制权,从而可以完成病毒的复制和一些破坏操作,然后再执行原文件的程序代码,实现原来的程序功能,以迷惑用户。
可执行文件型病毒主要感染系统可执行文件(如DOS或WINDOWS系统的COM或EXE文件)或覆盖文件(如OVL文件)中,极少感染数据文件。其传染方式是当感染了病毒的可执行文件被执行或者当系统有任何读、写操作时,向外进行传播病毒。此时,病毒程序首先将要被感染的文件读入内存,判断其特定位置上是否有该病毒程序的标记,如果已经感染了就不再重复感染,如果没有感染,则将病毒程序写到该文件中。在完成病毒传染后,才去执行本来系统申请的功能。
l 宏病毒
宏病毒是利用宏语言编制的病毒,宏病毒充分利用宏命令的强大系统调用功能,实现某些涉及系统底层操作的破坏。宏病毒仅感染Windows系统下用Word、Excel、Access、PowerPoint等办公自动化程序编制的文档以及Outlook express邮件等,不会感染给可执行文件。
宏病毒是按以下方法进行传播的:
(1) 当打开一个带宏病毒的文件模板后,该模板可以通过执行其中的宏程序将自身所携带的病毒宏程序拷贝到办公自动化系统的通用模板中;
(2) 若使用带病毒的模板对文件进行操作时,可以将该文档文件重新存盘为带病毒模板文件,即由原来不带宏程序的纯文本文件转换为带宏病毒的模板文件。
以上两步循环就构成了宏病毒的传染机制。
l 混合型病毒
混合型病毒是以上几种的混合。混合型病毒的目的是为了综合利用以上3种病毒的传染渠道进行破坏。混合型病毒不仅传染可执行文件而且还传染硬盘主引导扇区,被这种病毒传染的病毒用FORMAT命令格式化硬盘都不能消除病毒。
混合型病毒的引导方式具有系统引导型病毒和可执行文件型病毒的特点。一般混合型病毒的原始状态依附在可执行文件上,通过这个文件作为载体而传播开来的。当文件执行时,如果系统上有硬盘就立刻感染硬盘的主引导扇区,以后由硬盘启动系统后,病毒程序就驻留在系统内存中,从而实现了由可执行文件型病毒向系统引导型病毒的转变。以后,这个驻留内存的病毒程序只对系统中的可执行文件进行感染,又实现了由系统引导型病毒向可执行文件型病毒的转变。当这个被感染的文件被复制到其他计算机中并被执行时,就会重复上述过程,导致病毒的传播。
l 特洛伊木马型病毒
特洛伊木马型病毒也叫“黑客程序”或后门病毒,属于文件型病毒的一种,但有其自身的特点。此种病毒分成服务器端和客户端两部分,服务器端病毒程序通过文件的复制、网络中文件的下载和电子邮件的附件等途径传送到要破坏的计算机系统中,一旦用户执行了这类病毒程序,病毒就会在每次系统启动时偷偷地在后台运行。当计算机系统联上Internet时,黑客就可以通过客户端病毒在网络上寻找运行了服务器端病毒程序的计算机,当客户端病毒找到这种计算机后,就能在用户不知晓的情况下使用客户端病毒指挥服务器端病毒进行合法用户能进行的各种操作,包括复制、删除、关机等,从而达到控制计算机的目的。这种病毒具有极大的危害性,在互联网日益普及的今天,必须要引起足够的重视,否则网上安全无从谈起。
l Internet语言病毒
Internet语言病毒是利用java、VB和ActiveX的特性来撰写的病毒,这种病毒虽不能破坏硬盘上的资料,但是如果用户使用浏览器来浏览含有这些病毒的网页,使用者就会在不知不觉中,让病毒进入计算机进行复制,并通过网络窃取宝贵的个人秘密信息或使计算机系统资源利用率下降,造成死机等现象。
第4个回答 2010-07-31
计算机病毒种类
传统的计算机病毒分类是根据感染型态来区分,以下为各类型简介:
· 开机型
米开朗基罗病毒,潜伏一年,"硬"是要得(这个没看懂)
· 文件型
(1)非常驻型
Datacrime II 资料杀手-低阶格式化硬盘,高度破坏资料
(2)常驻型
Friday 13th黑色(13号)星期五-"亮"出底细
· 复合型
Flip 翻转-下午4:00 屏幕倒立表演准时开始
· 隐形飞机型
FRODO VIRUS(福禄多病毒)-"毒"钟文件配置表
· 千面人
PE_MARBURG -掀起全球"战争游戏"
· 文件宏
Taiwan NO.1 文件宏病毒-数学能力大考验
· 特洛伊木马病毒 VS.计算机蠕虫
" Explorezip探险虫" 具有「开机后再生」、「即刻连锁破坏」能力
· 黑客型病毒
Nimda 走后门、发黑色信件、瘫痪网络
认识计算机病毒与黑客
2.1开机型病毒 (Boot Strap Sector Virus):
开机型病毒是藏匿在磁盘片或硬盘的第一个扇区。因为DOS的架构设计, 使得病毒可以在每次开机时, 在操作系统还没被加载之前就被加载到内存中, 这个特性使得病毒可以针对DOS的各类中断 (Interrupt) 得到完全的控制, 并且拥有更大的能力进行传染与破坏。 @实例
Michelangelo米开朗基罗病毒-潜伏一年,"硬"是要得
发病日: 3月6日
发现日:1991.3
产地:瑞典(也有一说为台湾)
病征:米开朗基罗是一只典型的开机型病毒,最擅长侵入计算机硬盘机的硬盘分割区(Partition Table)和开机区(Boot Sector),以及软盘的开机区(Boot Sector),而且它会常驻在计算机系统的内存中,虎视眈眈地伺机再感染你所使用的软盘磁盘。米开朗基罗病毒感染的途径,事实上只有一种,那就是使用不当的磁盘开机,如果该磁盘正好感染了米开朗基罗,于是,不管是不是成功的开机,可怕的米开朗基罗病毒都已借机进入了你的计算机系统中的硬盘,平常看起来计算机都颇正常的,一到3月6日使用者一开机若出现黑画面,那表示硬盘资料已经跟你说 Bye Bye 了。
历史意义:文件宏病毒发迹前,连续数年蝉联破坏力最强的毒王宝座
Top
2.2文件型病毒 (File Infector Virus):
文件型病毒通常寄生在可执行文件(如 *.COM, *.EXE等)中。当这些文件被执行时, 病毒的程序就跟着被执行。文件型的病毒依传染方式的不同, 又分成非常驻型以及常驻型两种 :
(1) 非常驻型病毒(Non-memory Resident Virus) :
非常驻型病毒将自己寄生在 *.COM, *.EXE或是 *.SYS的文件中。当这些中毒的程序被执行时,就会尝试去传染给另一个或多个文件。
@实例:
Datacrime II 资料杀手-低阶格式化硬盘,高度破坏资料
发病日:10月12日起至12月31日
发现日:1989.3
产地:荷兰
病征:每年10月12日到12月31号之间,除了星期一之外DATA CRIME II 会在屏幕上显示:*DATA CRIME II VIRUS*
然后低阶格式化硬盘第0号磁柱 (CYLINDER0从HEAD 0~HEAD 8)FORMAT后,会听到BEEP一声当机,从此一蹶不振。
历史意义:虽然声称为杀手,但它已经快绝迹了
(2) 常驻型病毒(Memory Resident Virus) :
常驻型病毒躲在内存中,其行为就好象是寄生在各类的低阶功能一般(如 Interrupts),由于这个原因, 常驻型病毒往往对磁盘造成更大的伤害。一旦常驻型病毒进入了内存中, 只要执行文件被执行, 它就对其进行感染的动作, 其效果非常显着。将它赶出内存的唯一方式就是冷开机(完全关掉电源之后再开机)。
@实例:
Friday 13th黑色(13号)星期五-"亮"出底细
发病日: 每逢13号星期五
发现日:1987
产地:南非
病征:十三号星期五来临时,黑色星期五病毒会将任何一支你想执行的中毒文件删除。该病毒感染速度相当快,其发病的唯一征兆是A:磁盘驱动器的灯会一直亮着。十三号星期五病毒登记有案的变种病毒,如:Edge、Friday 13th-540C、Friday 13th-978、Friday13th-B、Friday 13th-C、Friday 13th-D、Friday 13th-NZ、QFresh、Virus-B等...。其感染的本质几乎大同小异,其中Friday 13th-C病毒,当它进行感染文件时,屏幕上会显示一行客套语:"We hope we haven''t inconvenienced you"
历史意义:为13号星期五的传说添加更多黑色成分
Top
2.3复合型病毒 (Multi-Partite Virus):
复合型病毒兼具开机型病毒以及文件型病毒的特性。它们可以传染 *.COM, *.EXE 文件,也可以传染磁盘的开机系统区(Boot Sector)。由于这个特性, 使得这种病毒具有相当程度的传染力。一旦发病,其破坏的程度将会非常可观!
@实例:
Flip 翻转-下午4:00 屏幕倒立表演准时开始
发病日:每月2日
发现日:1990.7
产地:瑞士(也有一说为西德)
病征:每个月 2 号,如果使用被寄生的磁盘或硬盘开机时,则在16 时至16时59分之间,屏幕会呈水平翻动。
历史意义:第一只使具有特异功能的病毒
Top
2.4隐型飞机式病毒 (Stealth Virus):
隐型飞机式病毒又称作中断截取者(Interrupt Interceptors)。顾名思义, 它通过控制DOS的中断向量,把所有受其感染的文件"假还原",再把"看似跟原来一模一样"的文件丢回给 DOS。
@实例
FRODO 福禄多 -"毒"钟文件配置表
别 名:4096
发现日:1990.1
发病日:9月22日-12月31日
产地:以色列
病征:4096病毒最喜欢感染.COM, .EXE和.OVL文件,顾名思义被感染的文件长度都会增加4,096 bytes。它会感染资料文件和执行文件(包括:COM、.EXE)和.OVL等覆盖文件。当执行被感染的文件时,会发现速度慢很多,因为FAT (文件配置表) 已经被破坏了。此外,9月22日-12月31日会导致系统当机。
历史意义:即使你用DIR 指令检查感染文件,其长度、日期都没有改变,果真是伪装秀的始祖。
Top
2.5千面人病毒 (Polymorphic/Mutation Virus):
千面人病毒可怕的地方, 在于每当它们繁殖一次, 就会以不同的病毒码传染到别的地方去。每一个中毒的文件中, 所含的病毒码都不一样, 对于扫描固定病毒码的防毒软件来说,无疑是一个严重的考验!有些高竿的千面人病毒,几乎无法找到相同的病毒码。
@实例
PE_MARBURG -掀起全球"战争游戏"
发病日:不一定(中毒后的3个月)
发现日:1998.8
产地:英国
病征:Marburg 病毒在被感染三个月后才会发作,若感染 Marburg 病毒的应用软件执行的时间刚好和最初感染的时间一样 (例如,中毒时间是9月15日上午11点,若该应用程序在12月15日上午11点再次被执行),则 Marburg 病毒就会在屏幕上显示一堆的 "X"。如附图。
历史意义:专挑盛行的计算机光盘游戏下毒,1998年最受欢迎的 MGM/EA「战争游戏」,因其中有一个文件意外地感染 Marburg 病毒,而在8 月迅速扩散。
感染 PE_ Marburg 病毒后的 3 个月,即会在桌面上出现一堆任意排序的 "X" 符号
2.6宏病毒 (Macro Virus):
宏病毒主要是利用软件本身所提供的宏能力来设计病毒, 所以凡是具有写宏能力的软件都有宏病毒存在的可能, 如Word、 Excel 、AmiPro 等等。
@实例:
Taiwan NO.1 文件宏病毒- 数学能力大考验
发病日:每月13日
发现日:1996.2
产地:台湾
病征:出现连计算机都难以计算的数学乘法题目,并要求输入正确答案,一旦答错,则立即自动开启20个文件文件,并继续出下一道题目。一直到耗尽系统资源为止。
历史意义:1.台湾本土地一只文件宏病毒。2. 1996年年度杀手,1997年三月踢下米开朗基罗,登上毒王宝座。3. 被列入ICSA(国际计算机安全协会)「In The Wild」病毒数据库。(凡难以驯服、恶性重大者皆会列入此黑名单)
2.7特洛伊木马病毒 VS.计算机蠕虫
特洛依木马( Trojan )和计算机蠕虫( Worm )之间,有某种程度上的依附关系,有愈来愈多的病毒同时结合这两种病毒型态的破坏力,达到双倍的破坏能力。
特洛伊木马程序的伪装术
特洛依木马( Trojan )病毒是近年崛起的新品种,为帮助各位读者了解这类病毒的真面目,我们先来看一段「木马屠城记」的小故事:
话说风流的特洛伊王子,在遇上美丽的有夫之妇希腊皇后后,竟无法自拔的将其诱拐回特洛伊国,此举竟引发了为期十年的特洛依大战。然而,这场历经九年的大战,为何在最后一年会竟终结在一只木马上呢?原来,眼见特洛伊城久攻不下,于是希腊人便特制了一匹巨大的木马,打算来个"木马屠城计"!希腊人在木马中精心安排了一批视死如归的勇士,借故战败撤退,以便诱敌上勾。果然,被敌军撤退喜讯给弄得神智不清的特洛伊人哪知是计,当晚便把木马拉进城中,打算来个欢天喜地的庆功宴。哪知道,就在大家兴高采烈喝酒欢庆之际,木马中的精锐诸将,早已暗中打开城门,一举来个里应外合的大抢攻。顿时之间,一个美丽的城市就变成了一堆瓦砾、焦土,而从此消失在历史中。
后来我们对于那些会将自己伪装成某种应用程序来吸引使用者下载或执行,并进而破坏使用者计算机资料、造成使用者不便或窃取重要信息的程序,我们便称之为「特洛伊木马型」或「特洛伊型」病毒。
特洛伊木马程序不像传统的计算机病毒一样会感染其它文件,特洛伊木马程序通常都会以一些特殊的方式进入使用者的计算机系统中,然后伺机执行其恶意行为,例如格式化碟、删除文件、窃取密码等。
计算机蠕虫在网络中匍匐前进
计算机蠕虫大家过去可能比较陌生,不过近年来应该常常听到,顾名思义计算机蠕虫指的是某些恶性程序代码会像蠕虫般在计算机网络中爬行,从一台计算机爬到另外一台计算机,方法有很多种例如透过局域网络或是 E-mail.最著名的计算机蠕虫案例就是" ILOVEYOU-爱情虫 "。例如:" MELISSA-梅莉莎" 便是结合"计算机病毒"及"计算机蠕虫"的两项特性。该恶性程序不但会感染 Word 的 Normal.dot(此为计算机病毒特性),而且会通过 Outlook E-mail 大量散播(此为计算机蠕虫特性)。
事实上,在真实世界中单一型态的恶性程序其实愈来愈少了,许多恶性程序不但具有传统病毒的特性,更结合了"特洛伊木马程序"、"计算机蠕虫"型态来造成更大的影响力。一个耳熟能详的案例是"探险虫"(ExploreZip)。探险虫会覆盖掉在局域网络上远程计算机中的重要文件(此为特洛伊木马程序特性),并且会透过局域网络将自己安装到远程计算机上(此为计算机蠕虫特性)。
@实例:
" Explorezip探险虫" 具有「开机后再生」、「即刻连锁破坏」能力
发病日: 不一定
发现日:1999.6.14
产地:以色列
病征:通过电子邮件系统传播的特洛依病毒,与梅莉莎不同之处是这只病毒除了会传播之外,还具有破坏性。计算机受到感染后,其它使用者寄电子邮件给已受到感染的用户。该受到感染的计算机会利用Microsoft的MAPI功能在使用者不知情的状况下,自动将这个病毒"zipped_files.exe"以电子邮件的附件的方式寄给送信给这部计算机的用户。对方收到的信件内容如下:Hi <Recipient Name>!I received your email and I shall send you a reply ASAP.Till then, take a look at the attached zipped docs.问候语也有可能是Bye, Sincerely, All或是Salutation等。当使用者在不知情的情况下执行TROJ_EXPLOREZIP时,这只病毒会出现如下的假信息"Cannot open file: it does not appear to be a valid archive. If this file is part of a ZIP format backup set, insert the last disk of the backup set and try again. Please press F1 for help."一旦使用者执行了这个病毒,它会存取使用者的C:到Z:磁盘驱动器,寻找以下扩展名的文件,并将所找到的文件以0来填空。造成使用者资料的损失。.c (c source code files).cpp (c++ source code files).h (program header files).asm (assembly source code).doc (Microsoft Word).xls (Microsoft Excel).ppt (Microsoft PowerPoint)
历史意义:
· 开机后再生,即刻连锁破坏
--传统病毒:立刻关机,重新开机,停止它正进行的破坏行动--探险虫:不似传统病毒,一旦重新开机,即寻找网络上的下个受害者
2.8 黑客型病毒
-走后门、发黑色信件、瘫痪网络
自从 2001七月 CodeRed红色警戒利用 IIS 漏洞,揭开黑客与病毒并肩作战的攻击模式以来,CodeRed 在病毒史上的地位,就如同第一只病毒 Brain 一样,具有难以抹灭的历史意义。
如同网络安全专家预料的,CodeRed 将会成为计算机病毒、计算机蠕虫和黑客"三管齐下"的开山鼻祖,日后的病毒将以其为样本,变本加厉地在网络上展开新型态的攻击行为。果不其然,在造成全球 26.2 亿美金的损失后, 不到 2 个月同样攻击 IIS 漏洞的Nimda 病毒,其破坏指数却远高于 CodeRed。 Nimda 反传统的攻击模式,不仅考验着 MIS 人员的应变能力,更使得传统的防毒软件面临更高的挑战。
继红色代码之后,出现一只全新攻击模式的新病毒,透过相当罕见的多重感染管道在网络上大量散播,包含: 电子邮件、网络资源共享、微软IIS服务器的安全漏洞等等。由于 Nimda 的感染管道相当多,病毒入口多,相对的清除工作也相当费事。尤其是下载微软的 Patch,无法自动执行,必须每一台计算机逐一执行,容易失去抢救的时效。
每一台中了Nimda 的计算机,都会自动扫描网络上符合身份的受害目标,因此常造成网络带宽被占据,形成无限循环的 DoS阻断式攻击。另外,若该台计算机先前曾遭受 CodeRed 植入后门程序,那么两相挂勾的结果,将导致黑客为所欲为地进入受害者计算机,进而以此为中继站对其它计算机发动攻势。
类似Nimda威胁网络安全的新型态病毒,将会是 MIS 人员最大的挑战。"
实例:Nimda
发现日:2001.9
发病日:随时随地
产地:不详
病征:通过eMail、网络芳邻、程序安全漏洞,以每 15 秒一次的攻击频率,袭击数以万计的计算机,在 24 小时内窜升为全球感染率第一的病毒
历史意义:
计算机病毒与黑客并肩挑衅,首创猛爆型感染先例,不需通过潜伏期一台计算机一台计算机感染,瞬间让网络上的计算机几乎零时差地被病毒攻击
认识计算机病毒与黑客
防止计算机黑客的入侵方式,最熟悉的就是装置「防火墙 」(Firewall),这是一套专门放在 Internet 大门口 (Gateway) 的身份认证系统,其目的是用来隔离 Internet 外面的计算机与企业内部的局域网络,任何不受欢迎的使用者都无法通过防火墙而进入内部网络。有如机场入境关口的海关人员,必须核对身份一样,身份不合者,则谢绝进入。否则,一旦让恐怖份子进入国境破坏治安,要再发布通缉令逮捕,可就大费周章了。
一般而言,计算机黑客想要轻易的破解防火墙并入侵企业内部主机并不是件容易的事,所以黑客们通常就会用采用另一种迂回战术,直接窃取使用者的帐号及密码,如此一来便可以名正言顺的进入企业内部。而 CodeRed、Nimda即是利用微软公司的 IIS网页服务器操作系统漏洞,大肆为所欲为。
--宽带大开方便之门
CodeRed 能在短时间内造成亚洲、美国等地 36 万计算机主机受害的事件,其中之一的关键因素是宽带网络(Broadband)的"always-on" (固接,即二十四小时联机)特性特性所打开的方便之门。
宽带上网,主要是指 Cable modem 与 xDSL这两种技术,它们的共同特性,不单在于所提供的带宽远较传统的电话拨接为大,同时也让二十四小时固接上网变得更加便宜。事实上,这两种技术的在本质上就是持续联机的,在线路两端的计算机随时可以互相沟通。
当 CodeRed 在 Internet 寻找下一部服务器作为攻击发起中心时,前提必须在该计算机联机状态方可产生作用,而无任何保护措施的宽还用户,"雀屏中选"的机率便大幅提升了。
当我们期望Broadband(宽带网络)能让我们外出时仍可随时连上家用计算机,甚至利用一根小手指头遥控家中的电饭锅煮饭、咖啡炉煮咖啡时,同样的,黑客和计算机病毒也有可能随时入侵到我们家中。计算机病毒可能让我们的马桶不停地冲水,黑客可能下达指令炸掉家里的微波炉、让冰箱变成烤箱、甚至可能利用家用监视摄影机来监视我们的一举一动。唯有以安全为后盾,有效地阻止黑客与病毒的觊觎,才能开启宽带网络的美丽新世界。
计算机及网络家电镇日处于always-on的状态,也使得计算机黑客有更多入侵的机会。在以往拨接上网的时代,家庭用户对黑客而言就像是一个移动的目标,非常难以锁定,如果黑客想攻击的目标没有拨接上网络,那幺再厉害的黑客也是一筹莫展,只能苦苦等候。相对的,宽带上网所提供的二十四小时固接服务却让黑客有随时上下其手的机会,而较大的带宽不但提供家庭用户更宽广的进出渠道,也同时让黑客进出更加的快速便捷。过去我们认为计算机防毒与防止黑客是两回事(见表一),然而 CodeRed却改写了这个的定律,过去黑客植入后门程序必须一台计算机、一台计算机地大费周章的慢慢入侵,但CodeRed却以病毒大规模感染的手法,瞬间即可植入后门程序,更加暴露了网络安全的严重问题
传统的计算机病毒分类是根据感染型态来区分,以下为各类型简介:
· 开机型
米开朗基罗病毒,潜伏一年,"硬"是要得(这个没看懂)
· 文件型
(1)非常驻型
Datacrime II 资料杀手-低阶格式化硬盘,高度破坏资料
(2)常驻型
Friday 13th黑色(13号)星期五-"亮"出底细
· 复合型
Flip 翻转-下午4:00 屏幕倒立表演准时开始
· 隐形飞机型
FRODO VIRUS(福禄多病毒)-"毒"钟文件配置表
· 千面人
PE_MARBURG -掀起全球"战争游戏"
· 文件宏
Taiwan NO.1 文件宏病毒-数学能力大考验
· 特洛伊木马病毒 VS.计算机蠕虫
" Explorezip探险虫" 具有「开机后再生」、「即刻连锁破坏」能力
· 黑客型病毒
Nimda 走后门、发黑色信件、瘫痪网络
认识计算机病毒与黑客
2.1开机型病毒 (Boot Strap Sector Virus):
开机型病毒是藏匿在磁盘片或硬盘的第一个扇区。因为DOS的架构设计, 使得病毒可以在每次开机时, 在操作系统还没被加载之前就被加载到内存中, 这个特性使得病毒可以针对DOS的各类中断 (Interrupt) 得到完全的控制, 并且拥有更大的能力进行传染与破坏。 @实例
Michelangelo米开朗基罗病毒-潜伏一年,"硬"是要得
发病日: 3月6日
发现日:1991.3
产地:瑞典(也有一说为台湾)
病征:米开朗基罗是一只典型的开机型病毒,最擅长侵入计算机硬盘机的硬盘分割区(Partition Table)和开机区(Boot Sector),以及软盘的开机区(Boot Sector),而且它会常驻在计算机系统的内存中,虎视眈眈地伺机再感染你所使用的软盘磁盘。米开朗基罗病毒感染的途径,事实上只有一种,那就是使用不当的磁盘开机,如果该磁盘正好感染了米开朗基罗,于是,不管是不是成功的开机,可怕的米开朗基罗病毒都已借机进入了你的计算机系统中的硬盘,平常看起来计算机都颇正常的,一到3月6日使用者一开机若出现黑画面,那表示硬盘资料已经跟你说 Bye Bye 了。
历史意义:文件宏病毒发迹前,连续数年蝉联破坏力最强的毒王宝座
Top
2.2文件型病毒 (File Infector Virus):
文件型病毒通常寄生在可执行文件(如 *.COM, *.EXE等)中。当这些文件被执行时, 病毒的程序就跟着被执行。文件型的病毒依传染方式的不同, 又分成非常驻型以及常驻型两种 :
(1) 非常驻型病毒(Non-memory Resident Virus) :
非常驻型病毒将自己寄生在 *.COM, *.EXE或是 *.SYS的文件中。当这些中毒的程序被执行时,就会尝试去传染给另一个或多个文件。
@实例:
Datacrime II 资料杀手-低阶格式化硬盘,高度破坏资料
发病日:10月12日起至12月31日
发现日:1989.3
产地:荷兰
病征:每年10月12日到12月31号之间,除了星期一之外DATA CRIME II 会在屏幕上显示:*DATA CRIME II VIRUS*
然后低阶格式化硬盘第0号磁柱 (CYLINDER0从HEAD 0~HEAD 8)FORMAT后,会听到BEEP一声当机,从此一蹶不振。
历史意义:虽然声称为杀手,但它已经快绝迹了
(2) 常驻型病毒(Memory Resident Virus) :
常驻型病毒躲在内存中,其行为就好象是寄生在各类的低阶功能一般(如 Interrupts),由于这个原因, 常驻型病毒往往对磁盘造成更大的伤害。一旦常驻型病毒进入了内存中, 只要执行文件被执行, 它就对其进行感染的动作, 其效果非常显着。将它赶出内存的唯一方式就是冷开机(完全关掉电源之后再开机)。
@实例:
Friday 13th黑色(13号)星期五-"亮"出底细
发病日: 每逢13号星期五
发现日:1987
产地:南非
病征:十三号星期五来临时,黑色星期五病毒会将任何一支你想执行的中毒文件删除。该病毒感染速度相当快,其发病的唯一征兆是A:磁盘驱动器的灯会一直亮着。十三号星期五病毒登记有案的变种病毒,如:Edge、Friday 13th-540C、Friday 13th-978、Friday13th-B、Friday 13th-C、Friday 13th-D、Friday 13th-NZ、QFresh、Virus-B等...。其感染的本质几乎大同小异,其中Friday 13th-C病毒,当它进行感染文件时,屏幕上会显示一行客套语:"We hope we haven''t inconvenienced you"
历史意义:为13号星期五的传说添加更多黑色成分
Top
2.3复合型病毒 (Multi-Partite Virus):
复合型病毒兼具开机型病毒以及文件型病毒的特性。它们可以传染 *.COM, *.EXE 文件,也可以传染磁盘的开机系统区(Boot Sector)。由于这个特性, 使得这种病毒具有相当程度的传染力。一旦发病,其破坏的程度将会非常可观!
@实例:
Flip 翻转-下午4:00 屏幕倒立表演准时开始
发病日:每月2日
发现日:1990.7
产地:瑞士(也有一说为西德)
病征:每个月 2 号,如果使用被寄生的磁盘或硬盘开机时,则在16 时至16时59分之间,屏幕会呈水平翻动。
历史意义:第一只使具有特异功能的病毒
Top
2.4隐型飞机式病毒 (Stealth Virus):
隐型飞机式病毒又称作中断截取者(Interrupt Interceptors)。顾名思义, 它通过控制DOS的中断向量,把所有受其感染的文件"假还原",再把"看似跟原来一模一样"的文件丢回给 DOS。
@实例
FRODO 福禄多 -"毒"钟文件配置表
别 名:4096
发现日:1990.1
发病日:9月22日-12月31日
产地:以色列
病征:4096病毒最喜欢感染.COM, .EXE和.OVL文件,顾名思义被感染的文件长度都会增加4,096 bytes。它会感染资料文件和执行文件(包括:COM、.EXE)和.OVL等覆盖文件。当执行被感染的文件时,会发现速度慢很多,因为FAT (文件配置表) 已经被破坏了。此外,9月22日-12月31日会导致系统当机。
历史意义:即使你用DIR 指令检查感染文件,其长度、日期都没有改变,果真是伪装秀的始祖。
Top
2.5千面人病毒 (Polymorphic/Mutation Virus):
千面人病毒可怕的地方, 在于每当它们繁殖一次, 就会以不同的病毒码传染到别的地方去。每一个中毒的文件中, 所含的病毒码都不一样, 对于扫描固定病毒码的防毒软件来说,无疑是一个严重的考验!有些高竿的千面人病毒,几乎无法找到相同的病毒码。
@实例
PE_MARBURG -掀起全球"战争游戏"
发病日:不一定(中毒后的3个月)
发现日:1998.8
产地:英国
病征:Marburg 病毒在被感染三个月后才会发作,若感染 Marburg 病毒的应用软件执行的时间刚好和最初感染的时间一样 (例如,中毒时间是9月15日上午11点,若该应用程序在12月15日上午11点再次被执行),则 Marburg 病毒就会在屏幕上显示一堆的 "X"。如附图。
历史意义:专挑盛行的计算机光盘游戏下毒,1998年最受欢迎的 MGM/EA「战争游戏」,因其中有一个文件意外地感染 Marburg 病毒,而在8 月迅速扩散。
感染 PE_ Marburg 病毒后的 3 个月,即会在桌面上出现一堆任意排序的 "X" 符号
2.6宏病毒 (Macro Virus):
宏病毒主要是利用软件本身所提供的宏能力来设计病毒, 所以凡是具有写宏能力的软件都有宏病毒存在的可能, 如Word、 Excel 、AmiPro 等等。
@实例:
Taiwan NO.1 文件宏病毒- 数学能力大考验
发病日:每月13日
发现日:1996.2
产地:台湾
病征:出现连计算机都难以计算的数学乘法题目,并要求输入正确答案,一旦答错,则立即自动开启20个文件文件,并继续出下一道题目。一直到耗尽系统资源为止。
历史意义:1.台湾本土地一只文件宏病毒。2. 1996年年度杀手,1997年三月踢下米开朗基罗,登上毒王宝座。3. 被列入ICSA(国际计算机安全协会)「In The Wild」病毒数据库。(凡难以驯服、恶性重大者皆会列入此黑名单)
2.7特洛伊木马病毒 VS.计算机蠕虫
特洛依木马( Trojan )和计算机蠕虫( Worm )之间,有某种程度上的依附关系,有愈来愈多的病毒同时结合这两种病毒型态的破坏力,达到双倍的破坏能力。
特洛伊木马程序的伪装术
特洛依木马( Trojan )病毒是近年崛起的新品种,为帮助各位读者了解这类病毒的真面目,我们先来看一段「木马屠城记」的小故事:
话说风流的特洛伊王子,在遇上美丽的有夫之妇希腊皇后后,竟无法自拔的将其诱拐回特洛伊国,此举竟引发了为期十年的特洛依大战。然而,这场历经九年的大战,为何在最后一年会竟终结在一只木马上呢?原来,眼见特洛伊城久攻不下,于是希腊人便特制了一匹巨大的木马,打算来个"木马屠城计"!希腊人在木马中精心安排了一批视死如归的勇士,借故战败撤退,以便诱敌上勾。果然,被敌军撤退喜讯给弄得神智不清的特洛伊人哪知是计,当晚便把木马拉进城中,打算来个欢天喜地的庆功宴。哪知道,就在大家兴高采烈喝酒欢庆之际,木马中的精锐诸将,早已暗中打开城门,一举来个里应外合的大抢攻。顿时之间,一个美丽的城市就变成了一堆瓦砾、焦土,而从此消失在历史中。
后来我们对于那些会将自己伪装成某种应用程序来吸引使用者下载或执行,并进而破坏使用者计算机资料、造成使用者不便或窃取重要信息的程序,我们便称之为「特洛伊木马型」或「特洛伊型」病毒。
特洛伊木马程序不像传统的计算机病毒一样会感染其它文件,特洛伊木马程序通常都会以一些特殊的方式进入使用者的计算机系统中,然后伺机执行其恶意行为,例如格式化碟、删除文件、窃取密码等。
计算机蠕虫在网络中匍匐前进
计算机蠕虫大家过去可能比较陌生,不过近年来应该常常听到,顾名思义计算机蠕虫指的是某些恶性程序代码会像蠕虫般在计算机网络中爬行,从一台计算机爬到另外一台计算机,方法有很多种例如透过局域网络或是 E-mail.最著名的计算机蠕虫案例就是" ILOVEYOU-爱情虫 "。例如:" MELISSA-梅莉莎" 便是结合"计算机病毒"及"计算机蠕虫"的两项特性。该恶性程序不但会感染 Word 的 Normal.dot(此为计算机病毒特性),而且会通过 Outlook E-mail 大量散播(此为计算机蠕虫特性)。
事实上,在真实世界中单一型态的恶性程序其实愈来愈少了,许多恶性程序不但具有传统病毒的特性,更结合了"特洛伊木马程序"、"计算机蠕虫"型态来造成更大的影响力。一个耳熟能详的案例是"探险虫"(ExploreZip)。探险虫会覆盖掉在局域网络上远程计算机中的重要文件(此为特洛伊木马程序特性),并且会透过局域网络将自己安装到远程计算机上(此为计算机蠕虫特性)。
@实例:
" Explorezip探险虫" 具有「开机后再生」、「即刻连锁破坏」能力
发病日: 不一定
发现日:1999.6.14
产地:以色列
病征:通过电子邮件系统传播的特洛依病毒,与梅莉莎不同之处是这只病毒除了会传播之外,还具有破坏性。计算机受到感染后,其它使用者寄电子邮件给已受到感染的用户。该受到感染的计算机会利用Microsoft的MAPI功能在使用者不知情的状况下,自动将这个病毒"zipped_files.exe"以电子邮件的附件的方式寄给送信给这部计算机的用户。对方收到的信件内容如下:Hi <Recipient Name>!I received your email and I shall send you a reply ASAP.Till then, take a look at the attached zipped docs.问候语也有可能是Bye, Sincerely, All或是Salutation等。当使用者在不知情的情况下执行TROJ_EXPLOREZIP时,这只病毒会出现如下的假信息"Cannot open file: it does not appear to be a valid archive. If this file is part of a ZIP format backup set, insert the last disk of the backup set and try again. Please press F1 for help."一旦使用者执行了这个病毒,它会存取使用者的C:到Z:磁盘驱动器,寻找以下扩展名的文件,并将所找到的文件以0来填空。造成使用者资料的损失。.c (c source code files).cpp (c++ source code files).h (program header files).asm (assembly source code).doc (Microsoft Word).xls (Microsoft Excel).ppt (Microsoft PowerPoint)
历史意义:
· 开机后再生,即刻连锁破坏
--传统病毒:立刻关机,重新开机,停止它正进行的破坏行动--探险虫:不似传统病毒,一旦重新开机,即寻找网络上的下个受害者
2.8 黑客型病毒
-走后门、发黑色信件、瘫痪网络
自从 2001七月 CodeRed红色警戒利用 IIS 漏洞,揭开黑客与病毒并肩作战的攻击模式以来,CodeRed 在病毒史上的地位,就如同第一只病毒 Brain 一样,具有难以抹灭的历史意义。
如同网络安全专家预料的,CodeRed 将会成为计算机病毒、计算机蠕虫和黑客"三管齐下"的开山鼻祖,日后的病毒将以其为样本,变本加厉地在网络上展开新型态的攻击行为。果不其然,在造成全球 26.2 亿美金的损失后, 不到 2 个月同样攻击 IIS 漏洞的Nimda 病毒,其破坏指数却远高于 CodeRed。 Nimda 反传统的攻击模式,不仅考验着 MIS 人员的应变能力,更使得传统的防毒软件面临更高的挑战。
继红色代码之后,出现一只全新攻击模式的新病毒,透过相当罕见的多重感染管道在网络上大量散播,包含: 电子邮件、网络资源共享、微软IIS服务器的安全漏洞等等。由于 Nimda 的感染管道相当多,病毒入口多,相对的清除工作也相当费事。尤其是下载微软的 Patch,无法自动执行,必须每一台计算机逐一执行,容易失去抢救的时效。
每一台中了Nimda 的计算机,都会自动扫描网络上符合身份的受害目标,因此常造成网络带宽被占据,形成无限循环的 DoS阻断式攻击。另外,若该台计算机先前曾遭受 CodeRed 植入后门程序,那么两相挂勾的结果,将导致黑客为所欲为地进入受害者计算机,进而以此为中继站对其它计算机发动攻势。
类似Nimda威胁网络安全的新型态病毒,将会是 MIS 人员最大的挑战。"
实例:Nimda
发现日:2001.9
发病日:随时随地
产地:不详
病征:通过eMail、网络芳邻、程序安全漏洞,以每 15 秒一次的攻击频率,袭击数以万计的计算机,在 24 小时内窜升为全球感染率第一的病毒
历史意义:
计算机病毒与黑客并肩挑衅,首创猛爆型感染先例,不需通过潜伏期一台计算机一台计算机感染,瞬间让网络上的计算机几乎零时差地被病毒攻击
认识计算机病毒与黑客
防止计算机黑客的入侵方式,最熟悉的就是装置「防火墙 」(Firewall),这是一套专门放在 Internet 大门口 (Gateway) 的身份认证系统,其目的是用来隔离 Internet 外面的计算机与企业内部的局域网络,任何不受欢迎的使用者都无法通过防火墙而进入内部网络。有如机场入境关口的海关人员,必须核对身份一样,身份不合者,则谢绝进入。否则,一旦让恐怖份子进入国境破坏治安,要再发布通缉令逮捕,可就大费周章了。
一般而言,计算机黑客想要轻易的破解防火墙并入侵企业内部主机并不是件容易的事,所以黑客们通常就会用采用另一种迂回战术,直接窃取使用者的帐号及密码,如此一来便可以名正言顺的进入企业内部。而 CodeRed、Nimda即是利用微软公司的 IIS网页服务器操作系统漏洞,大肆为所欲为。
--宽带大开方便之门
CodeRed 能在短时间内造成亚洲、美国等地 36 万计算机主机受害的事件,其中之一的关键因素是宽带网络(Broadband)的"always-on" (固接,即二十四小时联机)特性特性所打开的方便之门。
宽带上网,主要是指 Cable modem 与 xDSL这两种技术,它们的共同特性,不单在于所提供的带宽远较传统的电话拨接为大,同时也让二十四小时固接上网变得更加便宜。事实上,这两种技术的在本质上就是持续联机的,在线路两端的计算机随时可以互相沟通。
当 CodeRed 在 Internet 寻找下一部服务器作为攻击发起中心时,前提必须在该计算机联机状态方可产生作用,而无任何保护措施的宽还用户,"雀屏中选"的机率便大幅提升了。
当我们期望Broadband(宽带网络)能让我们外出时仍可随时连上家用计算机,甚至利用一根小手指头遥控家中的电饭锅煮饭、咖啡炉煮咖啡时,同样的,黑客和计算机病毒也有可能随时入侵到我们家中。计算机病毒可能让我们的马桶不停地冲水,黑客可能下达指令炸掉家里的微波炉、让冰箱变成烤箱、甚至可能利用家用监视摄影机来监视我们的一举一动。唯有以安全为后盾,有效地阻止黑客与病毒的觊觎,才能开启宽带网络的美丽新世界。
计算机及网络家电镇日处于always-on的状态,也使得计算机黑客有更多入侵的机会。在以往拨接上网的时代,家庭用户对黑客而言就像是一个移动的目标,非常难以锁定,如果黑客想攻击的目标没有拨接上网络,那幺再厉害的黑客也是一筹莫展,只能苦苦等候。相对的,宽带上网所提供的二十四小时固接服务却让黑客有随时上下其手的机会,而较大的带宽不但提供家庭用户更宽广的进出渠道,也同时让黑客进出更加的快速便捷。过去我们认为计算机防毒与防止黑客是两回事(见表一),然而 CodeRed却改写了这个的定律,过去黑客植入后门程序必须一台计算机、一台计算机地大费周章的慢慢入侵,但CodeRed却以病毒大规模感染的手法,瞬间即可植入后门程序,更加暴露了网络安全的严重问题