本文章包含下面部分:
①不同病毒如何感染计算机 ②病毒如何避免检测 ③蠕虫的感染方法
④病毒的虚妄和恶作剧 ⑤更多地了解病毒和蠕虫
①不同病毒如何感染计算机
病毒使用下列的某种或某些方法感染计算机:
● 感染程序文件
● 感染软盘的引导扇区
● 使用字处理程序或电子表格的宏功能感染文档
传播感染文件的病毒
文件型病毒只感染程序,如WordPerfect或Microsoft Excel。每当运行一个被感染的程序时,文件性病毒就会传播。传播文件感染病毒的两个最常见的方式是通过一个可移动的盘(如软盘、Zip盘,甚至是CD),或通过电子邮件。
1. 寄生程序病毒
当病毒感染文件时,它有三种选择:它可以把自己附加到文件的开始或结尾,或者它把自己植入中间(如果病毒删除了它正在感染的文件的部分内容,就称为重写病毒) 。
当病毒把自身附加到文件的开始或结尾时,它会改变文件的大小,通常不会破坏被感染的文件。这种病毒称为寄生程序病毒,通过文件大小的变化,可以轻易发现这种病毒(见图5-1)。虽然可以通过浏览文件,发现文件大小的变化,但您最可能做的是用反病毒程序检测受病毒感染的文件。
图5-1 寄生程序病毒的工作方式
2. 重写文件病毒
重写病毒危险性更大一些。因为它们用自己的代码替换了部分程序代码,从物理上改变了所感染的文件,所以它们可以破坏或摧毁文件。如果运行被重写病毒感染的程序,该程序通常无法工作。重写病毒因为感染文件时不改变文件大小,常常会逃过检测(见图5-2)。
图5-2 重写文件病毒的工作方式
3. 切尔诺贝利病毒
1999年4月26日,在韩国爆发的一种病毒感染了多达1百万台的计算机,结果造成超过2.5亿元的损失。这种病毒的绰号是“切尔诺贝利病毒”(或CIH病毒),编写者是年仅24岁的陈盈豪,这是有史以来破坏性最大的病毒之一。
这种病毒能感染32位的Windows 95及以上的可执行文件,但只能在Windows 95/ 98/ME下运行。如果运行一个被感染文件,病毒会常驻计算机的内存,并感染计算机访问的每个文件。
为了不被检测到,CIH病毒从不改变它感染的任何文件的大小。相反,它搜索受感染文件的空闲空间,把自己分解为几个小的片段,然后把这些片段插到未使用的空间中。
CIH病毒现在主要流传三个变种。CIH 1.2和1.3在4月26日发作(这是前苏联切尔诺贝利核事故发生的日子),CIH 1.4在每个月的26日都发作。
当CIH病毒发作时,它进行两种不同的攻击。第一种攻击用随机数据重写硬盘,直到计算机崩溃,最终阻止计算机从硬盘或软盘引导,并且使硬盘上被重写的数据几乎无法恢复。第二种攻击以存储在计算机的闪存BIOS(基本输入输出系统,在计算机中负责控制所有系统设备,包括硬盘驱动器、串口和并口、键盘)中的数据为目标。解决这个问题需要替换或重新编写BIOS。
虽说每种反病毒程序都能防止CIH病毒的侵害,但每个月的26日,还是会有一些公司的数据被删掉。
传播引导病毒
引导病毒只感染磁盘的引导扇区,每个磁盘的引导扇区告诉计算机如何使用这个磁盘。每当从被感染的硬盘或可移动盘(软盘、Zip盘、CD等)引导(或访问这些盘)时,引导病毒就会传播。由于每个盘都有一个引导扇区,包含指示计算机如何使用该盘的指令,引导病毒也会感染任何可移动的存储设备。
当打开计算机时,计算机首先查看磁盘驱动器中是否有软盘。如果有,计算机读取软盘的引导扇区。如果驱动器中的软盘已经受到了引导病毒的感染,这个引导病毒现在就会感染硬盘,并且可以传播到从此时起插入计算机的任何一张软盘(见图5-3)。如果驱动器中没有软盘,计算机使用硬盘的引导扇区,这称为主引导记录(MBR)。
图5-3 引导病毒的工作方式
也可以从CD引导,这意味着如果引导病毒在制作CD时感染了CD,有可能每次从被感染的CD引导时,引导病毒都会传播。
1. 米开朗基罗病毒
1992年,米开朗基罗病毒成为第一种被世界媒体广泛报道的病毒。当主要计算机制造商Leading Edge偶然售出了几百台感染了米开朗基罗病毒的计算机时,病毒恐慌开始了。这是另一种引导病毒。在一个月之内,两个软件制造商DaVinci System和Access Software也相继售出受到米开朗基罗病毒感染的磁盘。
处于某些奇怪的原因,媒体迅速地盯上了米开朗基罗病毒的故事,并且到处传扬歇斯底里的情绪,警告计算机用户该病毒会在米开朗基罗本人的诞生日这一天即3月6日破坏硬盘。《Houston Chronicle》把这种病毒称为“灾难大师”。《USA Today》警告说“星期五会有数以千计的计算机崩溃。”《华盛顿邮报》的标题也颇为恐怖:“致命病毒将在明日造成一场浩劫。”
对受感染计算机的估计数字有很大的出入,低的是5千台计算机,高的是5百万台。同时,反病毒软件商向陷入恐慌的公众售出了几千套反病毒程序。当3月6日到来时,全世界的计算机用户严阵以待即将来临的攻击,却什么事也没发生。
虽然米开朗基罗病毒确实存在,也确实攻击了几台计算机,但其危险性远远未到媒体所形容的程度。一些专家声称如果媒体没有对公众提出警告,那么米开朗基罗病毒的灾难性会证明比现在更大。其他专家则说米开朗基罗病毒压根就没有广泛的传播性,媒体的夸张宣称只不过是肥了那些反病毒软件商。
无论是什么原因,1992年的米开朗基罗病毒大恐慌确实使公众第一次意识到了病毒的威胁。每年一到3月6日,软件商都会报告反病毒软件的销售激增,这可乐坏了它们的股东。
传播多元复合型病毒
文件型病毒和引导病毒都是既有优点也有缺点。文件感染病毒只能在运行被感染程序时传播。如果病毒恰好感染了一个很少使用的文件,那么程序也许会被感染,但病毒可能永远也不会传播与造成破坏。有些计算机可能感染了好几年,而从来没有出现过任何问题。
同理,引导病毒只在从受感染的软盘或硬盘引导时才传播。如果不引导或使用被感染的盘,那么病毒就不能传播。
为了增加其传播机会,有些病毒综合了文件型病毒和引导病毒的特点。这些病毒被称为多元复合型病毒,能感染文件或引导扇区,或两者都感染。虽然这样增加了感染计算机的机会,但由于反病毒程序能在更多的地方找到它们,这使得它们更易于被检测到。它们编写起来也比较复杂,所以让人担心的多元复合型病毒也比较少。
1. Natas病毒
Natas (Satan这个词反着拼写)病毒是一种比较常见的多元复合型病毒,最初是在墨西哥肆虐。Natas可以感染硬盘和软盘上的文件和引导扇区,同时也会修改自己的外貌,以躲避反病毒软件的检测。
除了比较常见、破坏性较强之外,Natas还有一个轶闻,它是由一个绰号为“牧师”的黑客编写的,而这个黑客后来跑到了Norman Data Defense Systems(一家反病毒公司)做起了咨询工作。该公司后来决定他们不能信任一个知名的编写病毒的人,让他走人了,但这是在整个反病毒界大声抗议,并发誓他们决不会降格到雇佣一个编写病毒的人来帮助编写反病毒软件之后。
传播宏病毒
宏病毒只感染具体程序创建的文件,如用Microsoft Word创建的文档,或用Microsoft Excel创建的电子表格。宏病毒在加载受感染的文件(如受感染的Word文档)时传播。
和用汇编语言、C/C++、BASIC或Pascal编写的其他类型的病毒不同的是,宏病毒是用某一具体程序的宏编程语言编写的。虽然大多数的宏病毒是用Microsoft的宏语言Visual Basic for Applications(VBA)编写的,但有些早期的宏病毒是用WordBasic编写的,Word Basic是Micrsoft Word的一种较早的宏编程语言。
宏病毒感染定义文档的页边距、字体和一般格式设置的模板。每次从被宏病毒感染的模板创建一个新的文档,宏病毒就试图感染另一个模板和新创建的文档。
因为大多数人都是共享文档文件,而不是模板文件,宏病毒非常聪明地把被感染的文档转换为模板文件,同时还保留它们普通文档文件的外观。所以当您认为您是在打开一个文档进行编辑时,实际上您打开的是一个模板。
尽管宏病毒非常普遍,但它们只限于感染Microsoft产品,如Word、Excel或PowerPoint创建的文档(至少在写作本书时是如此)。虽然有人试着编写了感染WordPro或WordPerfect文档的宏病毒,但这些宏病毒的传播并不是那么容易,因为WordPro或WordPerfect文档是在一个单独的文件中存储它们的宏。对比之下,当把一个Word或Excel文档文件复制到软盘,或通过网络、Internet复制Word或Excel文档文件时,就会自动地在一个文件中既复制了文档,又复制了宏。这给了宏病毒传播的机会。
1. Concept宏病毒
世界上的第一个宏病毒Concept可以感染Windows和苹果机上的Microsoft Word文档。这个病毒是用Microsoft Word 6.0中的宏语言编写的,但它也能感染其他Word版本创建的文档。
看起来编写Concept宏病毒是为了证明确实可以用宏编程语言编写病毒。因此,Concept宏病毒只是显示一个对话框,宣示它的存在,并不故意破坏磁盘上的任何文件。
2. Melissa病毒
把宏病毒编程再往前推一步就是Melissa病毒,它在1999年初作为历史上传播最快的病毒而上了报纸的头条。这种病毒感染Word文档,然后使用VBA宏命令读取Microsoft Outlook(Microsoft Office中的一个电子邮件程序)的地址簿。
然后,Melissa病毒创建一个电子邮件消息,把它发送给Outlook地址簿中的前50个地址,每条消息的主题是“Important Message From”(后面是用户的名字),正文中是“Here is that document you asked for…don’t show anyone else;-).”然后病毒把受感染的Word文档的一个副本作为该电子邮件消息的附件发送。
收件人一打开被感染的Word文档,病毒就传播到收件人的计算机,然后重复上述的过程,通过邮件把自己发送到那个人的地址簿中的另外50个人的信箱。
如果窥视宏病毒的源代码,就会发现下面的消息:
'WORD/Melissa written by Kwyjibo
'Works in both Word 2000 and Word 97
'Worm? Macro Virus? Word 97 Virus? Word 2000 Virus? You Decide!
'Word -> Email | Word 97 <-> Word 2000 . . . it’s a new age!
最初的Melissa病毒不进行任何破坏,但后来的变体会删除文件,造成损失。