1960年代初,美国麻省理工学院的一些青年研究人员,在做完工作后,利用业务时间玩一种他们自己创造的电脑游戏。做法是某个人编制一段小程序,然后输入到电脑中运行,并销毁对方的游戏程序。而这也可能就是电脑病毒的雏形。
[编辑] 运行环境以及传播途径
由于世界操作系统桌面环境90%的市场都由是使用微软Windows系列产品[4] ,所以病毒作者纷纷把病毒攻击对象选为Windows。制作病毒者首先应该确定要攻击的操作系统版本有何漏洞,这才是他所写的病毒能够利用的关键,而Windows没有行之有效的固有安全功能,且用户常以管理员权限运行未经安全检查的软件,这也为Windows下病毒的泛滥提供了温床。对于Linux、Mac OS等操作系统,使用的人群比较少,病毒一般不容易扩散。大多病毒发布作者的目的有多种,包括恶作剧、想搞破坏、报复及想出名与对研究病毒有特殊嗜好。
病毒主要通过网络浏览以及下载,电子邮件以及可移动磁盘等途径迅速传播。[5]
[编辑] 命名
以下表格所示是国际上对病毒命名惯例的前缀释义,DOS下的病毒一般无前缀:
前缀
含义
WM
Word6.0、Word95宏病毒
WM97
Word97宏病毒
XM
Excel5.0、Excel95宏病毒
X97M
Excel5.0和Excel97版本下发作
XF
Excel程序病毒
AM
Access95宏病毒
AM97M
Access97宏病毒
W95
Windows95、98病毒
Win
Windows3.x病毒
W32
32位病毒,感染所有32位Windows系统
WINT
32位Windows病毒,只感染Windows NT
Trojan/Troj
特洛伊木马
VBS
VBScript程序语言编写的病毒
VSM
感染 Visio VBA(Visual Basic for Applications)宏或script的宏或script病毒
JS
JScript编程语言编写的病毒
PE
32位寻址的Windows病毒
OSX
Mac OSX的病毒
中间部分指的是病毒的英文名,而后缀一般是变种代号。
[编辑] 特征
在计算机科学里,电脑病毒是类似生物病毒一样的程序,它会复制自己并传播到其他宿主,并对宿主造成损害。宿主也是程序,通常是操作系统,从而进一步传染到其他程序、其他的电脑。电脑病毒在传播期间一般会隐蔽自己,由特定的条件触发,并开始产生破坏。
电脑病毒具有的不良特征有传播性、隐蔽性、感染性、潜伏性、可激发性[6]、表现性或破坏性,通常表现两种以上所述的特征就可以认定该程序是病毒。
电脑病毒的生命周期为开发期→传染期→潜伏期→发作期→发现期→消化期→消亡期。[5][7]
[编辑] 主要特征详解
[编辑] 传播性
病毒一般会自动利用25电子邮件端口传播,利用对象为微软操作系统捆绑的Outlook的某个漏洞。将病毒自动复制并群发给存储的通讯录名单成员。邮件标题较为吸引人点击,大多利用社会工程学如“我爱你”这样家人朋友之间亲密的话语,以降低人的警戒性。如果病毒制作者再应用脚本漏洞,将病毒直接嵌入邮件中,那么用户一点邮件标题打开邮件就会中病毒。
[编辑] 隐蔽性
一般的病毒仅在数KB左右,这样除了传播快速之外,隐蔽性也极强。部分病毒使用“无进程”技术或插入到某个系统必要的关键进程当中,所以在任务管理器中找不到它的单独运行进程。而病毒自身一旦运行后,就会自己修改自己的文件名并隐藏在某个用户不常去的系统文件夹中,这样的文件夹通常有上千个系统文档,如果凭手工查找很难找到病毒。而病毒在运行前的伪装技术也不得不值得我们关注,将病毒和一个吸引人的文档捆绑合并成一个文档,那么运行正常吸引他的文档时,病毒也在我们的操作系统中悄悄的运行了。
[编辑] 感染性
某些病毒具有感染性,比如感染中毒用户电脑上的可执行文件,如exe、bat、scr、com格式,通过这种方法达到自我复制,对自己生存保护的目的。通常也可以利用网络共享的漏洞,复制并传播给邻近的电脑用户群,使邻里通过路由器上网的电脑或网吧的电脑的多台电脑的程序全部受到感染。
[编辑] 潜伏性
部分病毒有一定的“潜伏期”,在特定的日子,如某个节日或者星期几按时爆发。如1999年破坏BIOS的CIH病毒就在每年的4月26日爆发。如同生物病毒一样,这使电脑病毒可以在爆发之前,以最大幅度散播开去。
[编辑] 可激发性
根据病毒作者的“需求”,设置触发病毒攻击的“玄机”。如CIH病毒的制作者陈盈豪曾打算设计的病毒,就是“精心”为简体中文Windows系统所设计的。病毒运行后会主动检测中毒者操作系统的语言,如果发现操作系统语言为简体中文,病毒就会自动对电脑发起攻击,而语言不是简体中文版本的Windows,那么你即使运行了病毒,病毒也不会对你的电脑发起攻击或者破坏。[8]
[编辑] 表现性
病毒运行后,如果按照作者的设计,会有一定的表现特征:如CPU占用率100%,在用户无任何操作下读写硬盘或其他磁盘数据,蓝屏死机,鼠标右键无法使用等。但这样明显的表现特征,反倒帮助被感染病毒者发现自己已经感染病毒,并对清除病毒很有帮助,隐蔽性就不存在了。
[编辑] 破坏性
某些威力强大的病毒,运行后直接格式化用户的硬盘数据,更为厉害一些可以破坏引导扇区以及BIOS,已经在硬件环境造成了相当大的破坏。
[编辑] 分类
病毒类型根据中国国家电脑病毒应急处理中心发表的报告统计,占近45%的病毒是木马程序,蠕虫占病毒总数的25%以上,占15%以上的是脚本病毒,其余的病毒类型分别是:文档型病毒、破坏性程序和宏病毒。
[编辑] 木马/僵尸网络
主条目:特洛伊木马
一般也叫远程监控软件,如果木马能连通的话,那么可以说已经得到了远程电脑的全部操作权限,操作远程电脑与操作自己电脑没什么大的区别,这类程序可以监视被控用户的摄像头与截取密码。而Windows NT以后的版本自带的“远程桌面连接”,如果被不良用户利用的话,那么也与木马没什么区别。
主条目:僵尸网络
用户一旦中毒,就会成为“丧尸”或被称为“肉鸡”,成为黑客手中的“机器人”,通常黑客或脚本小孩(script kids)可以利用数以万计的“丧尸”发送大量伪造包或者是垃圾数据包对预定目标进行拒绝服务攻击,造成被攻击目标瘫痪。
[编辑] 有害软件
主条目:蠕虫病毒
蠕虫病毒漏洞利用类,也是我们最熟知的病毒,通常在全世界范围内大规模爆发的就是它了。如针对旧版本未打补丁的Windows XP的冲击波病毒和震荡波病毒。有时与僵尸网络配合,主要使用缓存溢出技术。
主条目:灰色软件
间谍软件和流氓软件,是部分不良网络公司出品的一种收集用户浏览网页习惯而制订自己广告投放策略的软件。这种软件本身对电脑的危害性不是很大,只是中毒者隐私遭到泄露被收集走和一旦安装上它就无法正常删除卸载了。比如对Internet Explorer的广告软件会自动修改并锁定用户缺省主页以及加载广告公司的工具条。
主条目:恶意软件
恶作剧软件,如破坏性很大的“格盘炸弹”,运行程序后自动格式化硬盘,原本只为“愚人”目的,但这种恶意程序运行后就会对用户重要数据造成很大的损失。与此相同的还有文档感染器(File infector)以及在DOS下的根扇区病毒。
[编辑] 脚本病毒
主条目:宏病毒
宏病毒的感染对象为Microsoft开发的办公系列软件。Microsoft Word,Excel这些办公软件本身支持运行可进行某些文档操作的命令,所以也被Office文档中含有恶意的宏病毒所利用。openoffice.org对Microsoft的VBS宏仅进行编辑支持而不运行,所以含有宏病毒的MS Office文档在openoffice.org下打开后病毒无法运行。
[编辑] 文件型病毒
文件型病毒通常寄居于可执行文件(扩展名为.EXE或.COM的文件),当被感染的文件被运行,病毒便开始破坏电脑。
[编辑] 免杀技术以及新特征
主条目:免杀技术
主条目:特征码
免杀是指:对病毒的处理,使之躲过杀毒软件查杀的一种技术。通常病毒刚从病毒作者手中传播出去前,本身就是免杀的,甚至可以说“病毒比杀毒软件还新,所以杀毒软件根本无法识别它是病毒”,但由于传播后部分用户中毒向杀毒软件公司举报的原因,就会引起安全公司的注意并将之特征码收录到自己的病毒库当中,病毒就会被杀毒软件所识别。
病毒作者可以通过对病毒进行再次保护如使用汇编加花指令或者给文档加壳就可以轻易躲过杀毒软件的病毒特征码库而免于被杀毒软件查杀。
美国的Norton Antivirus、McAfee、PC-cillin,俄罗斯的Kaspersky Anti-Virus,斯洛伐克的NOD32等产品在国际上口碑较好,但杀毒、查壳能力都有限,目前病毒库总数量也都仅在数十万个左右。
自我更新性是近年来病毒的又一新特征。病毒可以借助于网络进行变种更新,得到最新的免杀版本的病毒并继续在用户感染的计算机上运行,比如熊猫烧香病毒的作者就创建了“病毒升级服务器”,在最勤时一天要对病毒升级8次,比有些杀毒软件病毒库的更新速度还快,所以就造成了杀毒软件无法识别病毒。
除了自身免杀自我更新之外,很多病毒还具有了对抗它的“天敌”杀毒软件和防火墙产品反病毒软件的全新特征,只要病毒运行后,病毒会自动破坏中毒者计算机上安装的杀毒软件和防火墙产品,如病毒自身驱动级Rootkit保护强制检测并退出杀毒软件进程,可以过主流杀毒软件“主动防御”和穿透软、硬件还原的机器狗[9],自动修改系统时间导致一些杀毒软件厂商的正版认证作废以致杀毒软件作废,从而病毒生存能力更加强大。
免杀技术的泛滥使得同一种原型病毒理论上可以派生出近乎无穷无尽的变种,给依赖于特征码技术检测的杀毒软件带来很大困扰。近年来,国际反病毒行业普遍开展了各种前瞻性技术研究,试图扭转过分依赖特征码所产生的不利局面。目前比较有代表性产品的是基于虚拟机技术的启发式扫瞄软件,代表厂商NOD32,Dr.Web,和基于行为分析技术的主动防御软件,代表厂商中国的微点主动防御软件等。
[编辑] 防范
修补操作系统以及其捆绑的软件的漏洞
主条目:Microsoft Update
安装系统以及其捆绑的软件如Internet Explorer、Windows Media Player的漏洞安全补丁,以操作系统Windows为例Windows NT以及以下版本可以在Microsoft Update更新系统,Windows 2000SP2以上,Windows XP以及Windows 2003等版本可以用系统的“自动更新”程序下载补丁进行安装。设置一个比较强的系统密码,关闭系统默认网络共享,防止局域网入侵或弱口令蠕虫传播。定期检查系统配置实用程序启动选项卡情况,并对不明的Windows服务予以停止。 安装并及时更新杀毒软件与防火墙产品 保持最新病毒库以便能够查出最新的病毒,如一些反病毒软件的升级服务器每小时就有新病毒库包可供用户更新。而在防火墙的使用中应注意到禁止来路不明的软件访问网络。由于免杀以及进程注入等原因,有个别病毒很容易穿过杀毒以及防火墙的双重防守,遇到这样的情况就要注意到使用特殊防火墙来防止进程注入,以及经常检查启动项、服务。一些特殊防火墙可以“主动防御”以及注册表实时监控,每次不良程序针对电脑的恶意操作都可以实施拦截阻断。 不要点来路不明连接以及运行不明程序[10] 来路不明的连接,很可能是蠕虫病毒自动通过电子邮件或即时通讯软件发过来的,如QQ病毒之一的QQ尾巴,大多这样信息中所带连接指向都是些利用IE浏览器漏洞的网站,用户访问这些网站后不用下载直接就可能会中更多的病毒。另外不要运行来路不明的程序,如一些“性诱惑”的文件名骗人吸引人去点击,点击后病毒就在系统中运行了。
洞察加满建议加力 笔不加力打不死人的 就断招还是舒服的 一般搞套8挂套 加力和根的套最好了 笔也属于血少职业 JS又把笔的必闪给改了 现在装备不是顶级牛的 都是吃不消玩的 本人82F装备一般和区里的89天地笔打 居然打不过我 玉女忽视闪避 对笔和棍子那是天敌了 所以装备选根力是不错的选择 谢谢顶个
