知識科普 |計算機病毒的前世今生

計算機病毒傳播速度快、自我複制能力強，是對當今網絡安全、資料安全影響非常惡劣的惡意軟體，本文通過對計算機病毒的逐層梳理與分析，便于安全從業者和非安全從業者了解計算機病毒、認識計算機病毒，對安全從業者在安全防禦能力建設中有所補充，對非安全從業者在意識形态上加深對計算機病毒的認識。

系列一：計算機病毒的前世今生-有“代碼”就有“病毒”

01 計算機病毒發展簡史

1. 計算機病毒初期的攻擊目标（1986~1989年）：

主要是感染磁盤引導扇區/感染可執行檔案（感染特征比較明顯）。

2. 第二代計算機病毒的攻擊目标（1989年後，出現混合型病毒）：

▽此病毒既可感染磁盤引導扇區，又可感染可執行檔案；

▽此病毒具有隐蔽的方法駐留記憶體和感染目标；

▽此病毒擁有自我保護措施。

3. 計算機病毒突破地域限制（遠端網絡興起、遠端通路服務開通）：

▽Word宏病毒成為病毒主流；

▽病毒将網際網路作為主要傳播途徑；

▽傳播速度快、隐蔽性強、破壞性大等特點。

02 計算機病毒的共性基礎知識

1. 計算機病毒分類：

●常見病毒分類：蠕蟲病毒、木馬病毒、Flame病毒、MSN性感雞病毒、千年蟲病毒、極虎病毒、勒索病毒。

●按存在媒體分類：引導型病毒、檔案型病毒、混合型病毒；

●按連結方式分類：源碼型病毒、嵌入型病毒、作業系統型病毒；

2. 計算機病毒特性：

包括繁殖性、破壞性、傳染性、潛伏性、隐蔽性、可觸發性等；

3. 計算機病毒感染方式：

●通過使用外界被感染的軟碟；

●通過硬碟感染與傳播；

●通過U盤感染與傳播；

●通過CD光牒感染與傳播；

●通過網絡感染與傳播；

●通過電子郵件感染與傳播；

●通過網頁感染與傳播；

●通過聊天工具和下載下傳軟體感染與傳播等。

4. 計算機病毒感染對象：

計算機、計算機檔案、磁盤啟動扇區、系統引導扇區。

5. 常見類型病毒特性分析

——蠕蟲類病毒：

蠕蟲類病毒是一種可以自我複制的代碼，并通過網絡傳播，通常無需人為幹預就能傳播。完全控制計算機後會把這台計算機作為宿主進行掃描感染其他計算機，被新入侵的計算機又會成為新的宿主繼續掃描并感染其他計算機（即：呈“爆發式”增長）。此類病毒主要的工作流程是首先蠕蟲程式随機選取某一段IP位址，接着對這一位址段的主機掃描，當掃描到有漏洞的計算機系統後，将蠕蟲主體遷移到目标主機。然後，蠕蟲程式進入被感染的系統，對目标主機進行現場處理。同時，蠕蟲程式生成多個副本，重複上述流程。

蠕蟲類病毒會用各種方法收集目标主機的資訊，找到可利用的漏洞或弱點，針對目标主機的漏洞或缺陷，采取相應的技術攻擊主機，直到獲得主機的管理者權限。對搜集來的資訊進行分析，找到可以有效利用的資訊。如果有現成的漏洞可以利用，上網找到該漏洞的攻擊方法，如果有攻擊代碼就直接進行COPY，用該代碼取得權限；如果沒有現成的漏洞可以利用，就用根據搜集的資訊試探猜測使用者密碼，另一方面試探研究分析其使用的系統，争取分析出一個可利用的漏洞。然後利用擷取的權限在主機上安裝後門、跳闆、控制端、螢幕等等，清楚日志、進入計算機完成任務。

——木馬類病毒：

木馬類病毒是特定的編寫程式，将控制程式計生于被控制的計算機系統中，裡應外合，對被感染木馬病毒的計算機實施操作。一般的木馬病毒程式主要是尋找計算機後門，伺機竊取被控計算機中密碼和重要檔案等。木馬病毒可對被控計算機實施監控、資料修改等非法操作。同時，木馬病毒具有隐蔽性、欺騙性、頑固性、危害性等特點。

木馬病毒基于用戶端和服務端的通信、監控程式。用戶端的程式用于黑客遠端控制，可以發出控制指令，接收服務端傳來的消息。服務端程式運作在被控制計算機上，一般隐藏在被控計算機中，可以接收用戶端發來的指令并執行，将用戶端需要的資訊發回。推理可看出木馬病毒可發作的必要條件是用戶端和服務端必須建立起基于IP位址和端口号的網絡通信。藏匿在服務端的木馬程式一旦被觸發執行，就會不斷将通信的IP位址和端口号發送給用戶端。用戶端利用服務端木馬程式通信的IP位址和端口号，在用戶端和服務端建立起一個通信鍊路。用戶端的黑客便可以利用這條通信鍊路來控制服務端的計算機。木馬病毒的攻擊方式一般為向目标群發釣魚郵件，引誘使用者打開附件；U盤傳染；計算機系統的.lnk漏洞、Windows鍵盤檔案漏洞、列印緩沖漏洞等。

03 “臭名昭著”的病毒盤點

現如今，電腦已被運用到各行各業中，計算機和計算機網絡已經成為人們生活中重要的組成部分，而病毒會對計算機資料的破壞和篡改，盜取會造成嚴重的網絡與資料安全問題，影響使用效益。那麼計算機病毒有哪些危害，以下進行了列舉：

◆激發病毒會造成危害的角度：大部分計算機病毒被激發後會直接破壞計算機的重要資料、重要資訊，會直接破壞CMOS設定或者删除重要檔案，會格式化磁盤或者改寫目錄去，會用“垃圾”資料來改寫檔案等；

◆消耗記憶體危害的角度：很多病毒在活動狀态下是常駐記憶體的，一些檔案型病毒在短時間内能夠感染大量檔案，每個檔案都會進行不同程度的加長，是以會造成磁盤空間的嚴重浪費；

◆對使用者的心理壓力危害：計算機病毒造成的影響及心理壓力甚廣，時刻會使使用者擔心遭受了病毒的入侵，但有些情況可能也僅僅是計算機的正常現象（如：當機、運作異常等），由于使用者對病毒的恐懼會使其懷疑種了計算機病毒的入侵。是以，計算機病毒給使用者心理帶來的壓力是很重要的危害後果，需要深刻認識臭名昭著的計算機病毒，才能建好心理防線。

以下為對曆史上一些“臭名昭著”病毒的介紹：

Flame病毒

■Flame病毒：一種後門程式和木馬病毒，同時具有蠕蟲病毒（即：以網絡和電子郵件為主要傳播途徑進行複制和傳播）的特點，隻要操控者發出指令就能自我複制；

■攻擊形式：監測網絡流量、擷取截屏畫面、記錄音頻對話、截取鍵盤輸入等，并将資料傳送至操控者手中；

■計算機感染呈現的現狀：自動分析自身網絡流量規律、自動錄音、自動記錄使用者密碼、自動記錄敲鍵盤規律等，并統統打包發送給遠端操控病毒伺服器；

■Flame病毒特性：複雜性（即：使用5種不同加密算法 、3種不同壓縮技術和至少5種不同的檔案格式、使用Lua語言編寫代碼）、選擇性（即：對攻擊目标具有選擇性）、潛伏性；

■Flame病毒收集資料利用媒體：如鍵盤、螢幕、麥克風、移動儲存設備、網絡、Wi-Fi、藍牙、USB和系統程序等；

■計算機是否已感染Flame病毒 ：

（一）搜尋計算機是否存在~DEB93D.tmp檔案（如存在則可能感染了Flame病毒）；

（二）檢查系統資料庫HKLMSYSTEM\_CurrentControlSet\Control\Lsa\Authentication Packages，如發現mssecmgr.ocx或authpack.ocx，則說明計算機已被感染；

（三）如果在%windir%\system32\目錄下發現以下任一檔案，也能說明計算機可能被感染：mssecmgr.ocx、advnetcfg.ocx、msglu32.ocx、nteps32.ocx、soapr32.ocx、ccalc32.sys、boot32drv.sys。……

MSN性感雞病毒：

■MSN：全稱Microsoft Service Network（微軟公司旗下的門戶網站）；

■病毒屬性：是一種蠕蟲病毒；

■感染症狀：系統自動跳出燒雞圖檔、釋放名為rbot後門程式、計算機調制靜音模式、登入MSN自動給好友發送郵件等；

■MSN小尾巴（Worm.MSNFunny）：預先發送一條網站廣告消息，接着再發送一個病毒副本，使用者在不知情的情況下，一旦運作了發送來的病毒副本，就會導緻中毒；

■傳播特點：（一）需要利用及時通信工具MSN進行傳播；（二）利用微軟三大漏洞（即：WebDay漏洞、沖擊波漏洞、震蕩波漏洞）；（三）該病毒可破解系統弱密碼（如：111、ABC、123等）；

■病毒應對方法：可在任務管理器裡把winhost.exe、winis.exe、msnus.exe、dnsserv.exe結束，再到系統資料庫把win32=winhost.exe删除。

千年蟲病毒：

■千年蟲病毒：是計算機系統的時間變換問題，由早期計算機的設計漏洞引起，該漏洞在計算機更普及的西方國家影響範圍更大；

■病毒由來：由以前的作業系統開發者為了節省存儲空間所導緻（如：記錄時間使用兩位記錄法，導緻目前為2000年，在計算機看來還處在1900年）；

■病毒最早出現時間：1999年4月9日開始出現（即：采用兩位記錄法，數字串99表示檔案結束、永久性過期、删除等含義。計算機删除檔案時會把遇到99等數字串判定為過期檔案執行了删除操作）；

■應對方法：合理利用軟體工程學（包括：計劃、需求分析、設計、編碼、測試、營運、評價等）。

極虎病毒：

■爆發時間：2010年春節放假之前出現并在2月8日全面爆發；

■病毒屬性：混合病毒（由磁碟機、AV終結者、中華吸血鬼、貓廯下載下傳器為一體的混合病毒）。（一）磁碟機病毒（dummycom病毒）：2007年出現的一種蠕蟲病毒，感染使用者的EXE檔案，破壞力不強、但更新頻次很快；（二）AV終結者（又名爬蟲）：是一系列破壞系統安全模式、植入木馬下載下傳程度的病毒，意在反擊防毒軟體；（三）中華吸血鬼：主要通過網頁挂馬和U盤傳播，侵入使用者系統之後能夠關閉多種防毒軟體，并下載下傳大量病毒，破壞系統檔案；（四）貓廯下載下傳器病毒：計算機在感染病毒時會極大機率伴随網遊賬号被盜現象，對使用者的虛拟财産影響巨大；

■病毒特點：附帶病毒種類最多、清楚難度最高、破壞系統程度最大、傳播方式最特别、可造成反複感染、擁有自保護驅動對抗防毒軟體、病毒持續更新、可感染計算機所有可執行檔案；

l傳播途徑：（一）網頁挂馬，可利用0day等漏洞廣泛傳播；（二）U盤、手機、數位相機等移動裝置；（三）區域網路，通過區域網路共享缺陷以及弱密碼進行内網滲透；（四）軟體捆綁及欺騙下載下傳；（五）感染的網頁檔案；（六）可執行檔案；（七）壓縮檔案；（八）系統檔案夾中建立usp10.dll和lpk.dll；（九）替換正常服務，如：appmgmts.dll、qmgr.dll、xmlprov.dll等；（十）删除主程式（如：booter.exe），建立後門，利用iexplore.exe重新下載下傳；

■感染症狀：開機提示系統檔案丢失、防毒軟體失效（無法主動防禦）、計算機非常卡頓（系統運作速度變慢、CPU占用了比較高）、桌面IE圖示被感染、反複報毒等；

■作亂方法：破壞系統檔案、替換系統檔案、攻擊各種防毒軟體、感染所有可執行檔案、聯網下載下傳大量盜号/廣告類軟體等；

■應對方法：（一）預防為主。如：安裝防毒軟體、不浏覽不健康或可疑網站、持續檢查程式進行掃毒、不随意下載下傳軟體等；（二）硬碟格式化：如感染已達到很嚴重程度，需将整個硬碟格式化後使用CD光牒重裝系統。

（本文作者：杭州美創科技有限公司 王澤）