鬼影病毒(计算机病毒)
计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。
计算机病毒是一个程序或一段可执行代码,就像生物病毒一样具有自我繁殖、互相传染以及激活再生等生物病毒特征。计算机病毒有独特的复制能力,它们能够快速蔓延,又常常难以根除。计算机病毒能把自身附着在各种类型的文件上,当文件被复制或从一个用户传送到另一个用户时,它们就随同文件一起蔓延开来。
实际上,计算机病毒就是人类通过研究病毒仿生学,作用于计算机,通过计算机指令或者程序代码,破坏计算机系统从而获得对病毒制造者来说有牟利价值的信息的工具手段。
综上所述,计算机病毒并不神秘,因为它只是一段计算机指令或者程序代码,也就是说只要您学过一门计算机语言,就拥有编写计算机病毒的语言基础,但是没有编写病毒的能力,因为对计算机病毒的逻辑原理、运行规则没有一定的认知。
一、计算机病毒的起源与发展
谈及计算机病毒的起源,不得不提及享有伟大数学家、现代计算机创始人名誉的约翰·冯·诺伊曼(John von Neumann),他在1945年提交了改进ENIAC(Electronic Numerical Integrator And Calculator)设计方案,引入了运算器、逻辑控制装置、存储器、输入和输出设备的概念,并且于1949年发表的一篇学术论文《自我繁衍的自动机理论》(Theory of Self-Reproducing Automata)中提出计算机程序能够在内存中进行自我复制,这就为计算机病毒的控制设备以及在内存中运行、复制奠定了坚实的理论基础。
在1960年初,贝尔实验室的三个年轻程序员用汇编语言玩起了一个游戏,也就是著名的“磁芯大战”——运用汇编语言编写的破坏对手的程序,表现出了病毒的感染性,也体现出计算机病毒概念的雏形。
1977年托马斯·捷·瑞安(Thomas.J.Ryan)的科幻小说《P-1的春天》(The Adolescence of P-1),描绘出病毒在计算机中相互感染并最终控制了7000台计算机的灾难情节,并且把这种病毒第一次称为“计算机病毒”。
1983年11月3日,美国南加州大学的学生弗雷德·科恩(Fred Cohen),后来被誉为“计算机病毒之父”,于VAX11/750计算机系统,也就是UNIX系统下编写并运行了一个具有自我复制功能,可在计算机间传染令操作系统死机的程序。他紧接着于一周后又进行了5次实验,得出了计算机病毒确实存在的结论。他的导师伦·艾德勒曼(Len Adleman)将它命名为计算机病毒。科恩通过不懈地研究与思考,于1987年发表了一篇轰动世界的博士论文《计算机病毒》,该论文第一次从真正意义上提出了计算机病毒的概念。
1986年,巴基斯坦擅长软件编写的两兄弟为了打击盗版软件的使用者,编写了世界上最早在个人计算机上广泛传播的病毒——巴基斯坦病毒(C-Brain),也是世界上第一例具有真正意义的计算机病毒。该病毒运行于DOS系统下,功能是当用户非法拷贝软件时,“吃掉”用户硬盘的剩余空间。
1987至1989年,针对DOS系统的病毒(黑色星期五、IBM圣诞树等)在世界范围内流行,我国也出现了能够感染硬盘和软盘引导区的stoned病毒,该病毒体代码中有明显的标志——Your PC is now Stoned! LEGALISE MARIJUANA!,该病毒也称为“大麻病毒”。
20世纪90年代,随着Windows系统的普及,Windows系统下的病毒也是愈来愈多,其中著名的有1996年的宏病毒和1998年的CIH病毒。
宏病毒主要感染对象为微软公司的Office办公软件,如Word、Excel等,一旦打开感染了宏病毒的文档,其中具有病毒感染效应的宏就会被执行,宏病毒就会转移到计算机中,寄生在Normal模板上,并且会带有恶意地阻止用户正常使用Office软件,该病毒主要借助存在于Internet上的文档进行传播。
CIH病毒的危害更加巨大,它对于Windows 95/98系统拥有毁灭性的破坏力。CIH病毒针对Win32系统,感染EXE文件,属于文件型病毒,于每年的4月26日(CIH V1.2)、6月26日(CIH V1.3)、每月的26日(CIH V1.4)运行发作,它将破坏硬盘数据,同时会对某些主板上的Flash Rom中的BIOS进行破坏,使物理硬盘损坏或主板损坏,最终导致计算机无法正常启动,运行。
就在1998年底,Happy99网络蠕虫病毒——完全通过Internet传播的病毒诞生。该病毒通过邮件传播,病毒运行后,屏幕上出现绚丽烟花效果,并显示Happy New Year 1999!!的标题,以庆祝1999年的到来,并于后台悄悄运行,干扰邮件的正常收发。
随后在1999年3月,梅丽莎病毒(Melissa,创作于1998年春天,最早可以通过邮件传播的病毒)爆发,这是世界上第一例以邮件方式进行传播的病毒。邮件收件人会收到标题主要为Important Message From ×××(×××为用户名),内容为Here is that document you asked for ... don't show anyone else;-)的邮件,一旦收件人打开邮件,潜伏在文档中的宏病毒梅丽莎就会发作,自动向用户通讯录的前50位好友复制发送携带病毒文档的邮件。
2000年2月,一种名为分布式拒绝服务攻击(DDOS)的攻击方式大规模爆发,先后使Yahoo、亚马逊、CNN等网站崩溃瘫痪。同年名为“爱虫”(Love letter)的由VBS脚本语言编写的病毒通过邮件大肆传播,病毒以邮件传播的方式又达到一个新的高度。相比于梅丽莎病毒而言,其破坏性更大,该病毒在利用微软的Outlook软件传播病毒的同时,还可以利用ActiveX控件对计算机用户的本地硬盘文件进行读写操作。
2001年,蠕虫“红色代码”与“尼达姆”相继爆发,前者被称为最昂贵的病毒之一,因其利用微软Microsoft IIS Web服务器的漏洞(0day)对计算机进行攻击,并且取得计算机的最高权限。尼达姆病毒不仅利用漏洞还主要以邮件形式进行传播,入侵了约830万台计算机,造成经济损失高达5.3亿美元,给缺乏邮件信息安全意识的计算机用户们上了生动的一课,网络蠕虫引发的安全问题自此得到了人们的重视。同时,国内知名远程控制软件“灰鸽子”被制作了出来,谁也没有想到,原本用于家庭公司的正常监控软件会在4年后成为卷席中国互联网安全界的罪魁祸首。
2003年,冲击波病毒(Blaster)席卷全球,它利用RPC漏洞攻击TCP135号端口,获得操作系统的最高权限,进而控制宿主机,对其隐私进行非法窃取。据计算机系统安全及服务公司赛门铁克(Symantec)安全反应感应器网络的样本显示,全球至少有12.4万台使用微软窗口软件的计算机遭受感染。计算机防毒软件厂商“趋势科技”(TrendMicro)的专家说,“冲击波”病毒可能感染了全球一两亿台计算机。
2004年,同样是利用漏洞进行攻击传播的震荡波(Sasser)病毒肆虐互联网,利用Lsass漏洞进行传播,开启中招用户计算机的128个线程去攻击其他计算机用户,同样造成了巨大的经济损失。也是在这一年内,第一例基于手机塞班系统的蠕虫病毒面世,这就是Cabir蠕虫病毒,这种病毒攻击对象为诺基亚S60系列、Symbian操作系统的手机,并且利用蓝牙漏洞进行传播,自此手机病毒也走进人们的视野。
2005年,各类病毒层出不穷。据某反病毒监测中心数据显示,从2005年1月到10月,一共截获或监测到的病毒达到50 179个,其中木马、蠕虫、黑客病毒占其中的91%,以盗取用户有价账号(如网银、QQ、网游)的木马病毒为主,多达2000多种,如果算上变种则就要超过一万种,平均每天有30个病毒出现。远程控制软件“灰鸽子”(Win32.Hack.Huigezi)被各大杀毒软件列为年度十大病毒之一,“灰鸽子”名声大噪。庞大的数据也明确地表明计算机病毒进入了一个快速增长的爆发期。
2006年11月,感染能力与破坏能力极强的“熊猫烧香”病毒深深地印入了每一位计算机用户的心中。熊猫烧香本质是一个经过多次变种的蠕虫病毒,感染能力极强,用户系统正常的文件几乎都会遭到病毒感染,而用户系统中所有.exe可执行文件的图标都会被篡改成举着三根香的大熊猫,这也是熊猫烧香病毒名称的来源。它也会通过网站/局域网来传播,因此熊猫烧香病毒的传播速度极快,在短短几个小时内就有几千台计算机感染该病毒。虽然它经过多次变种,但熊猫烧香病毒的破坏能力也不可忽视,计算机用户的信息会遭到窃取,硬盘数据也会遭受到破坏,病毒会删除扩展名gho的文件,使得ghost软件无法恢复操作系统,同样还会杀掉各类杀毒软件的进程与线程,致使杀毒软件无效,可谓危害极大。2012年1月,伴随着新年的来临,熊猫烧香的变种病毒金猪报喜现身于互联网,它和熊猫烧香病毒不同的是,金猪报喜病毒将文件图标变成“金猪报喜”,借春节来临人们相互祝贺的时机大肆传播。由于其具有熊猫烧香的本质,故熊猫烧香病毒专杀工具就可以清除该病毒的威胁,因此没有造成巨大经济损失。
2007年,据某反病毒监测网数据统计,他们公司共截获新病毒样本917 839个,比前一年增加了70.7%。其中木马病毒580 992个,后门病毒194 581个,两者之和超过77万个,占总体病毒的84.5%。其中利用U盘等移动存储设备进行传播的病毒泛滥,以帕虫(AV终结者,AV is anti-virus)病毒、大小姐病毒为代表,这些病毒的主要目的是入侵系统,破坏杀毒软件正常运行与盗取网游、网银等账号,从中牟取非法利益。
2008年,病毒传播方式的重点从移动存储设备转移到了“网页挂马”的形式,用户通过浏览被上传了病毒的网页,或者下载了含有病毒的文件从而感染病毒,因广大计算机用户缺乏网络安全的防范意识,以及杀毒软件对于含有病毒网页的检查程度不够而导致用户中招的比例大大增加。这也正警告着维护网页平台的安全人员应及时地填补网页中的漏洞,计算机用户对于网络安全的认识也亟待提高。
2009年,“网页挂马”与钓鱼网站激增,这种成本低、收入颇高的黑色产业链日渐成型,其中钓鱼网站主要以各大网络公司活动为诈骗诱饵,如腾讯QB充值、网易点卡充值,以及以福利彩票、电视节目中奖信息等,吸引用户填写个人账户等信息,从而骗取用户的合法财产。随着网络游戏产业的日益兴旺,基于网络游戏制作的外挂软件也纷纷投入市场,这些软件往往捆绑着木马病毒,在用户运行外挂软件非法盈利的同时,用户本身的利益也受到了木马编写者的侵害,可谓是螳螂捕蝉黄雀在后。第一例基于手机系统的木马病毒(间谍软件,Mobile spy)已经渗透到世界各地手机用户的手机中,相比形形色色的计算机病毒而言,Mobile spy无疑是更加可怕,首先该软件在当时几乎可以寄生、隐藏在任意一部手机中,其次就是它强大的功能——拍照、录像、录音、定位、短信监控等。由于手机安全领域的空白,使得由此间谍软件带来的损失无法估计,这也警示着开拓手机安全领域、研制保护手机的安全软件的任务刻不容缓!
2010年,用户感染计算机病毒的比例为60%,相比前一年的70.51%有所下降,形成下降趋势的局面,一方面得益于反病毒技术的逐步完善,另一方面得益于对计算机用户防治病毒知识的普及。而病毒的攻击针对的目标也转移至网银、网购等用户,实行专用户针对性攻击。然而Web网站安全形势依旧严峻,新的0day不断被挖掘出,网站维护人员修补漏洞不及时,使得很多网站依旧能被轻而易举地入侵、挂马,当用户访问页面的时候,病毒会利用用户系统内的漏洞完成入侵。一种新的攻击模式APT攻击借“震网病毒”(Stuxnet)震惊全球,APT(Advanced Persistent Threat),即长时间可间断攻击,具有强烈的针对性,通常带有浓烈的政治、利益色彩。“震网病毒”由美国及以色列情报部门开发,针对全球各大能源工程进行攻击的病毒,该病毒也可以说是信息化战场第一例投入应用的病毒,其中伊朗受其影响最为严重。在一次攻击中,伊朗的纳坦兹铀浓缩基地至少有1/5的离心机因感染该病毒而被迫关闭。
果不其然,由于Web安全并没有得到足够的重视,在接下来的两年内网购木马出现了爆发式的增长。网购木马在后台悄悄运行并且监控计算机用户,当计算机用户通过网购平台交易时,木马进行交易劫持,也就是当前的交易页面会偷偷被病毒跳转到指定网址或者修改后台账户指向黑客账户,当然先前的交易也就神不知鬼不觉地被取消了,其中“支付大盗”“浮云”与“刺客”最有代表性。2012年的“毒王”依旧是基于Windows操作系统平台的“鬼影”系列病毒,“鬼影”具有的“小强”特性使它位列榜首。“鬼影”有极强的生存能力,它能捆绑下载AV终结者等针对杀毒软件的病毒程序,并且将主代码寄存在MBR(硬盘主引导记录)中。这样,就算是重装了系统,病毒依然会运行生效。同样,由于安卓系统开源的特性,安卓病毒有成指数函数增长的趋势,恶意扣费和信息泄露是病毒主要的两大功能,并且于2012年出现寄生于微信等平台的僵尸程序(手机僵尸病毒,通过向其他人自动发送含有病毒链接的短信、消息进行传播),手机安全形势不容乐观。
从2013到2015年,病毒的主要进攻方向已经明朗,第一是移动终端,第二则是网络支付服务。目前在移动终端中,由于安卓系统的开源性以及大部分APP没有进行严格地审核,导致病毒大肆发展与传播,并且随着二维码、微信支付等方式的产生,利用扫码、支付等漏洞的病毒正源源不断地被开发出来。同样,iOS用户也绝不能掉以轻心,虽然APP在App Store中需要经过严格审核,但是2014年11月,一个名为WireLurker的病毒感染了约35万的中国苹果用户。该病毒通过寄生在第三方软件商店“麦芽地”中,当用户在Mac/PC平台使用“麦芽地”通过USB连接iOS设备下载盗版软件时,病毒就会顺着这条数据线,从计算机入侵到移动设备中,并且自动下载恶意软件,无论是否越狱。当然,广大iOS用户不必因此害怕,但却要因此而警惕起来,不要贪图便宜而去下载危险未知的第三方盗版软件,也不要去轻易越狱,病毒总是潜藏在未知中。不容置疑,在网络交易平台所带来有巨大利益的这块大蛋糕的趋势下,被金钱蒙蔽了双眼的黑客也许正酝酿着给予互联网交易一个巨大的冲击。毫无疑问,未来物联网将成为新时代的主流科技,而伴随着物联网的逐渐发展,黑客隐患更加不能被忽视,也许在将来的物联网时代,科幻游戏《看门狗》中的病毒程序就会成为现实。
二、计算机病毒的特点、分类与目的
1、计算机病毒的特点
通过上面计算机病毒的发展史,我们可以从中总结出计算机病毒的特性。
(1)传染性
计算机病毒就如同生物病毒一般,既可以在计算机系统内进行文件之间的传染,又可以在计算机与计算机之间传染。传染的媒介可以是物理硬件,如U盘、移动硬盘等移动存储设备,也可以是通过虚拟网络传输文件、邮件等方式进行传染。
(2)破坏性
通常来说,计算机病毒几乎都带有一定的对计算机系统、程序、硬件的破坏能力。破坏能力主要体现在篡改目标文件、破坏系统程序、盗取账号密码等方面。病毒的威胁能力并不取决于病毒的破坏性,而是决定于病毒的隐蔽性。
(3)隐蔽性
病毒的隐蔽性是决定其能否长久存活并且发挥作用的决定性因素。病毒的隐蔽性体现在:①对于计算机用户而言,病毒能够神不知鬼不觉地在后台悄悄运行,并且一般不会做出影响计算机正常运行的行为,能够很好地隐藏而不被计算机用户发现;②对计算机杀毒软件而言,病毒通过加壳免杀等方式绕过杀毒软件的主动防御以及手动查杀。一旦病毒做到了这两点,那么这个病毒的隐蔽性就是极好的,同时威胁性也是极大的。
(4)潜伏性
病毒的潜伏性则是指当病毒寄生在宿主机内并不会立刻发作,而是当通过用户或应用程序触发某种特定的条件时,病毒才会运行。
(5)潜在性
计算机病毒会随着科技的发展而发展,伴随着新兴应用的产生而产生,因此计算机病毒对于任何一个科技、应用来说,都会有潜在的风险,只要有黑客想要获得某种利益,那么具有针对性的病毒便会被研发出来,所以病毒具有潜在性。
2、计算机病毒的常见类型
目前常见的计算机病毒主要有以下几种类型。
前缀带有W32/Win32、PE名称,称作Windows系统病毒,以感染.exe和.dll文件为主。
前缀中带有Trojan,也就是常见的木马病毒,通常会盗取用户的个人信息。
前缀中带有Hack,黑客病毒,功能以远程控制为主。
前缀中带有Marco,宏病毒,感染Office文件。
前缀中带有Backdoor,后门病毒,通过TCP/UDP协议,利用CMD命令行入侵宿主计算机。
前缀中带有Harm,破坏病毒,对计算机系统及文件进行破坏,如格式化硬盘。
前缀中带有joke,玩笑病毒,主要以恶搞为主。
前缀中带有Binder,捆绑病毒,捆绑在其他正常文件上,比如捆绑QQ.exe,则为Binder.QQ.exe。
3、计算机病毒的目的
展示技术能力,如熊猫烧香,“××神器”。
出于利益目的,如APT攻击,木马病毒。
用于军事,如1999年科索沃战争,南联盟使用包括计算机病毒等手段实施网络攻击北约军事情报网络,在一定程度上延缓了美国和北约其他国家对南联盟的空袭进程。