A. 計算機病毒的發展史
電腦病毒最初的歷史,可以追溯至一九八二年。當時,電腦病毒這個名詞還未正式被定義。該年,Rich Skerta 撰寫了一個名為"Elk Cloner"的電腦程式,使其成為了電腦病毒史上第一種感染個人電腦(Apple II )的電腦病毒,它以軟磁碟作傳播媒介,破壞程度可說是相當輕微,受感染電腦只會在螢光幕上顯示一段小小的詩句:
"It will get on all your disks
It will infiltrate your chips
Yes it's Cloner!
It will stick to you like glue
It will modify ram too
Send in the Cloner!"
1984 ― 電腦病毒正式被定義
Fred Cohen於一九八四發表了一篇名為"電腦病毒 ― 理論與實驗(Computer Viruses ― Theory and Experiments)"的文章,當中除了為"電腦病毒"一詞下了明確的定義外,也描述了他與其他專家對電腦病毒研究的實驗成果。
1986 ― 首種廣泛傳播於MS-DOS 個人電腦系統的電腦病毒
首宗惡意並廣泛傳播的電腦病毒始於一九八六年,該種電腦病毒名為"腦(Brain) ",由兩位巴基斯坦籍的兄弟所編寫,能破壞電腦的起動區(boot-sector),亦被視為第一隻能透過自我隱藏來逃避偵測的病毒。
1987 ― 檔案感染型病毒 (Lehigh 和 聖誕蟲 Christmas Worm)
一九八七年,Lehigh 病毒於美國Lehigh 大學被發現,是首隻檔案感染型病毒(File infectors)。檔案感染型病毒主要通過感染 .COM 檔案和 .EXE檔案,來破壞資料、損毀檔案配置表(FAT)或在染毒檔案執行的過程中感染其它程式。
1988 ― 首種Macintosh 電腦病毒的出現以及CERT組織的成立
第一種襲擊麥金塔(Macintosh)電腦的病毒 MacMag在這年出現,而"互聯網蟲"(Internet Worm) 亦引起了第一波的互聯網危機。同年,世界第一隊電腦保安事故應變隊伍(Computer Security Response Team)成立並不斷發展,也就演變成為今天著名的電腦保安事故應變隊伍協調中心(CERTR Coordination Center ,簡稱CERTR/CC)。
1990 ― 首個病毒交流布告欄上線和防毒產品的出現
首個病毒交流布告欄(Virus Exchange Bulletin Board Service, 簡稱VX BBS)於保加利亞上線,藉以給病毒編程者交換病毒程式碼及心得。同年,防毒產品如McAfee Scan等開始粉墨登場。
1995 ― 巨集病毒的出現
在windows 95 作業平台初出現時,運行於DOS作業系統的電腦病毒仍然是電腦病毒的主流,而這些以DOS為本的病毒往往未能復制到windows 95 作業平台上運行。不過,正當電腦用家以為可以松一口氣的時候,於一九九五年年底,首種運行於 MS-Word工作環境的巨集病毒(Macro Virus),也正式面世。
1996 ― Windows 95 繼續成為襲擊目標, Linux 作業平台也不能倖免
這年,巨集病毒Laroux成為首隻侵襲MS Excel 檔案的巨集病毒。而Staog 則是首隻襲擊Linux 作業平台的電腦病毒。
1998 - Back Orifice
Back Orifice 讓駭客透過互聯網在未授權的情況下遙距操控另一部電腦,此病毒的命名也開了微軟旗下的Microsoft's Back Office產品一個玩笑。
1999 ― 梅莉莎 (Melissa) 及 CIH 病毒
梅莉莎為首種混合型的巨集病毒 —它透過襲擊MS Word作台階,再利用MS Outlook及Outlook Express內的地址簿,將病毒透過電子郵件廣泛傳播。該年四月,CIH 病毒爆發,全球超過6000萬台電腦被破壞。
2000 ― 拒絕服務 (Denial of Service) 和戀愛郵件 (Love Letters) "I Love You"
是次拒絕服務襲擊規模很大,致使雅虎、亞馬遜書店等主要網站服務癱瘓。同年,附著"I Love You"電郵傳播的Visual Basic 腳本病毒檔更被廣泛傳播,終令不少電腦用戶明白到小心處理可疑電郵的重要性。該年八月,首隻運行於Palm 作業系統的木馬(Trojan) 程式―"自由破解(Liberty Crack)",也終於出現了。這個木馬程式以破解Liberty (一個運行於Palm 作業系統的Game boy 模擬器)作誘餌,致使用戶在無意中把這病毒透過紅外線資料交換或以電郵的形式在無線網中把病毒傳播。
2002 ― 強勁多變的混合式病毒: 求職信(Klez) 及 FunLove
"求職信"是典型的混合式病毒,它除了會像傳統病毒般感染電腦檔案外,同時亦擁有蠕蟲(worm) 及木馬程式的特徵。它利用了微軟郵件系統自動運行附件的安全漏洞,藉著耗費大量的系統資源,造成電腦運行緩慢直至癱瘓。該病毒除了以電子郵件作傳播途徑外,也可透過網路傳輸和電腦硬碟共享把病毒散播。
自一九九九年開始,Funlove 病毒已為伺服器及個人電腦帶來很大的煩腦,受害者中不乏著名企業。一旦被其感染,電腦便處於帶毒運行狀態,它會在創建一個背景工作線程,搜索所有本地驅動器和可寫入的網路資源,繼而在網路中完全共享的文件中迅速地傳播。
2003 ― 沖擊波 (Blaster) and 大無極 (SOBIG)
"沖擊波"病毒於八月開始爆發,它利用了微軟作業系統Windows 2000 及Windows XP的保安漏洞,取得完整的使用者許可權在目標電腦上執行任何的程式碼,並透過互聯網,繼續攻擊網路上仍存有此漏洞的電腦。由於防毒軟體也不能過濾這種病毒,病毒迅速蔓延至多個國家,造成大批電腦癱瘓和網路連接速度減慢。
繼"沖擊波"病毒之後,第六代的"大無極"電腦病毒(SOBIG.F)肆虐,並透過電子郵件擴散。該"大無極" 病毒不但會偽造寄件人身分,還會根據電腦通訊錄內的資料,發出大量以 『Thank you!', 『Re: Approved' 等為主旨的電郵外,此外,它也可以驅使染毒的電腦自動下載某些網頁,使編寫病毒的作者有機會竊取電腦用戶的個人及商業資料。
2004― 悲慘命運(MyDoom)、網路天空(NetSky)及震盪波(Sasser)
"悲慘命運"病毒於一月下旬出現,它利用電子郵件作傳播媒介,以"Mail Transaction Failed"、"Mail Delivery System"、"Server Report"等字眼作電郵主旨,誘使用戶開啟帶有病毒的附件檔。受感染的電腦除會自動轉寄病毒電郵外,還會令電腦系統開啟一道後門,供駭客用作攻擊網路的仲介。它還會對一些著名網站(如SCO及微軟)作分散式拒絕服務攻擊 (Distributed Denial of Service, DDoS),其變種更阻止染毒電腦訪問一些著名的防毒軟體廠商網站。由於它可在三十秒內寄出高達一百封電子郵件,令許多大型企業的電子郵件服務被迫中斷,在電腦病毒史上,其傳播速度創下了新紀錄。
防毒公司都會以A、B、C等英文字母作為同一隻病毒變種的命名。網路天空(NetSky)這種病毒,被評為史上變種速度最快的病毒,因為它自二月中旬出現以來,在短短的兩個月內,其變種的命名已經用盡了26個英文字母,接踵而至的是以雙碼英文字母名稱如NetSky.AB。它透過電子郵件作大量傳播,當收件人運行了帶著病毒的附件後,病毒程式會自動掃瞄電腦硬碟及網路磁碟機來搜集電郵地址,透過自身的電郵發送引擎,轉發偽冒寄件者的病毒電郵,而且病毒電郵的主旨、內文及附件檔案名稱都是多變的。
"震盪波"病毒與較早前出現的沖擊波病毒雷同,都是針對微軟視窗作業系統的保安漏洞,也不需依賴電子郵件作傳播媒介。它利用系統內的緩沖溢位漏洞,導致電腦連續地重新開機並不斷感染互聯網上其他電腦。以短短18天的時間,它取代了沖擊波,創下了修補程式公布後最短攻擊周期紀錄
現在人都知道有電腦病毒,不過,你真正地了解它嗎?希望本文能夠讓你更深刻地認識病毒,提高我們的安全意識。
一、病毒的定義
電腦病毒與醫學上的「病毒」不同,它不是天然存在的,是某些人利用電腦軟、硬體所固有的脆弱性,編制具有特殊功能的程序。由於它與生物醫學上的「病毒」同樣有傳染和破壞的特性,因此這一名詞是由生物醫學上的「病毒」概念引申而來。
從廣義上定義,凡能夠引起電腦故障,破壞電腦數據的程序統稱為電腦病毒。依據此定義,諸如邏輯炸彈,蠕蟲等均可稱為電腦病毒。在國內,專家和研究者對電腦病毒也做過不盡相同的定義,但一直沒有公認的明確定義。
二、病毒的命名
病毒的命名沒有固定的方法,有的按病毒第一次出現的地點來命名,如「ZHENJIANG_JES」其樣本最先來自鎮江某用戶。也有的按病毒中出現的人名或特徵字元,如「ZHANGFANG—1535」,「DISK KILLER」, 「上海一號」。有的按病毒發作時的症狀命名,如「火炬」,「蠕蟲」。當然,也有按病毒發作的時間來命名的,如「NOVEMBER 9TH」在11月9日發作。有些名稱包含病毒代碼的長度,如「PIXEL.xxx」系列,「 KO.xxx」等體。
三、電腦病毒的發展趨勢
在病毒的發展史上,病毒的出現是有規律的,一般情況下一種新的病毒技術出現後,病毒迅速發展,接著反病毒技術的發展會抑制其流傳。同時,操作系統進行升級時,病毒也會調整為新的方式,產生新的病毒技術。總的說來,病毒可以分為以下幾個發展階段:
1.DOS引導階段
1987年,電腦病毒主要是引導型病毒,具有代表性的是「小球」和「石頭」病毒。由於,那時的電腦硬體較少,功能簡單,一般需要通過軟盤啟動後使用。而引導型病毒正是利用了軟盤的啟動原理工作,修改系統啟動扇區,在電腦啟動時首先取得控制權,減少系統內存,修改磁碟讀寫中斷,影響系統工作效率,在系統存取磁碟時進行傳播。
2.DOS可執行階段
1989年,可執行文件型病毒出現,它們利用DOS系統載入執行文件的機制工作,如「耶路撒冷」,「星期天」等病毒。可執行型病毒的病毒代碼在系統執行文件時取得控制權,修改DOS中斷,在系統調用時進行傳染,並將自己附加在可執行文件中,使文件長度增加。1990年,發展為復合型病毒,可感染COM和EXE 文件。
3.伴隨體型階段
1992年,伴隨型病毒出現,它們利用DOS載入文件的優先順序進行工作。具有代表性的是「金蟬」病毒,它感染EXE文件的同時會生成一個和EXE同名的擴展名為COM伴隨體;它感染COM文件時,改為原來的COM 文件為同名的EXE文件,在產生一個原名的伴隨體,文件擴展名為COM。這樣,在DOS載入文件時,病毒會取得控制權,優先執行自己的代碼。該類病毒並不改變原來的文件內容,日期及屬性,解除病毒時只要將其伴隨體刪除即可,非常容易。其典型代表的是「海盜旗」病毒,它在得到執行時,詢問用戶名稱和口令,然後返回一個出錯信息,將自身刪除。
4.變形階段
1994年,匯編語言得到了長足的發展。要實現同一功能,通過匯編語言可以用不同的方式進行完成,這些方式的組合使一段看似隨機的代碼產生相同的運算結果。而典型的多形病毒—幽靈病毒就是利用這個特點,每感染一次就產生不同的代碼。例如「一半」病毒就是產生一段有上億種可能的解碼運算程序,病毒體被隱藏在解碼前的數據中,查解這類病毒就必須能對這段數據進行解碼,加大了查毒的難度。多形型病毒是一種綜合性病毒,它既能感染引導區又能感染程序區,多數具有解碼演算法,一種病毒往往要兩段以上的子程序方能解除。
5.變種階段
1995年,在匯編語言中,一些數據的運算放在不同的通用寄存器中,可運算出同樣的結果,隨機的插入一些空操作和無關命令,也不影響運算的結果。這樣,某些解碼演算法可以由生成器生成不同的變種。其代表作品—「病毒製造機」VCL,它可以在瞬間製造出成千上萬種不同的病毒,查解時不能使用傳統的特徵識別法,而需要在宏觀上分析命令,解碼後查解病毒,大大提高了復雜程度。
6.網路、蠕蟲階段
1995年,隨著網路的普及,病毒開始利用網路進行傳播,它們只是以上幾代病毒的改進。在Windows操作系統中,「蠕蟲」是典型的代表,它不佔用除內存以外的任何資源,不修改磁碟文件,利用網路功能搜索網路地址,將自身向下一地址進行傳播,有時也在網路伺服器和啟動文件中存在。
7.窗口階段
1996年,隨著Windows的日益普及,利用Windows進行工作的病毒開始發展,它們修改(NE,PE)文件,典型的代表是DS.3873,這類病毒的急智更為復雜,它們利用保護模式和API調用介面工作,解除方法也比較復雜。
8.宏病毒階段
1996年,隨著MS Office功能的增強及盛行,使用Word宏語言也可以編制病毒,這種病毒使用類Basic 語言,編寫容易,感染Word文件文件。由於Word文件格式沒有公開,這類病毒查解比較困難。
9.互聯網、感染郵件階段
1997年,隨著網際網路的發展,各種病毒也開始利用網際網路進行傳播,一些攜帶病毒的數據包和郵件越來越多,如果不小心打開了這些郵件,電腦就有可能中毒。
10.爪哇、郵件炸彈階段
1997年,隨著互聯網上Java的普及,利用Java語言進行傳播和資料獲取的病毒開始出現,典型的代表是JavaSnake病毒。還有一些利用郵件伺服器進行傳播和破壞的病毒,例如Mail-Bomb病毒,它就嚴重影響網際網路的效率。
四、病毒的演化及發展過程
當前電腦病毒的最新發展趨勢主要可以歸結為以下幾點:
1.病毒在演化
任何程序和病毒都一樣,不可能十全十美,所以一些人還在修改以前的病毒,使其功能更完善,病毒在不斷的演化,使殺毒軟體更難檢測。
2.千奇百怪病毒出現
現在操作系統很多,因此,病毒也瞄準了很多其他平台,不再僅僅局限於Microsoft Windows平台了。
3.越來越隱蔽
一些新病毒變得越來越隱蔽,同時新型電腦病毒也越來越多,更多的病毒採用復雜的密碼技術,在感染宿主程序時,病毒用隨機的演算法對病毒程序加密,然後放入宿主程序中,由於隨機數演算法的結果多達天文數字,所以,放入宿主程序中的病毒程序每次都不相同。這樣,同一種病毒,具有多種形態,每一次感染,病毒的面貌都不相同,猶如一個人能夠「變臉」一樣,檢測和殺除這種病毒非常困難。同時,製造病毒和查殺病毒永遠是一對矛盾,既然殺毒軟體是殺病毒的,而就有人卻在搞專門破壞殺病毒軟體的病毒,一是可以避過殺病毒軟體,二是可以修改殺病毒軟體,使其殺毒功能改變。因此,反病毒還需要很多專家的努力!
B. 當前計算機病毒有哪些新的發展
隨著計算機技術的發展,計算機病毒也在不斷發展,計算機病毒與反病毒技術就象敵我雙方一樣在相互牽制的過程中使自身不斷發展壯大,而且從目前情況來看,計算機病毒總是主動的一方,我們在被動防禦和抵抗中。
計算機病毒將呈現新的發展趨勢:在給我們帶來很多方便和幫助的同時,互聯網、區域網已經成為計算機病毒傳播的主要途徑;在與反病毒技術的斗爭中,計算機病毒的變形速度和破壞力不斷地提高;混合型病毒的出現令以前對計算機病毒的分類和定義逐步失去意義,也使反病毒工作更困難了;病毒的隱蔽性更強了,不知不覺「中毒」帶來的後果更嚴重;人們使用最多的一些軟體將成為計算機病毒的主要攻擊對象。
一、計算機網路(互聯網、區域網)成為計算機病毒的主要傳播途徑,使用計算機網路逐漸成為計算機病毒發作條件的共同點
計算機病毒最早只通過文件拷貝傳播,當時最常見的傳播媒介是軟盤和盜版光碟。隨著計算機網路的發展,目前計算機病毒可通過計算機網路利用多種方式(電子郵件、網頁、即時通訊軟體等)進行傳播。計算機網路的發展有助於計算機病毒的傳播速度大大提高,感染的范圍也越來越廣。可以說,網路化帶來了計算機病毒傳染的高效率。這一點以「沖擊波」和「震盪波」的表現最為突出。以「沖擊波」為例,沖擊波是利用RPC DCOM緩沖溢出漏洞進行傳播的互聯網蠕蟲。它能夠使遭受攻擊的系統崩潰,並通過互聯網迅速向容易受到攻擊的系統蔓延。 它會持續掃描具有漏洞的系統,並向具有漏洞的系統的135埠發送數據,然後會從已經被感染的計算機上下載能夠進行自我復制的代碼MSBLAST.EXE,並檢查當前計算機是否有可用的網路連接。如果沒有連接,蠕蟲每間隔10秒對Internet連接進行檢查,直到Internet 連接被建立。一旦Internet連接建立,蠕蟲會打開被感染的系統上的4444埠,並在埠69進行監聽,掃描互聯網,嘗試連接至其他目標系統的135埠並對它們進行攻擊。與以前計算機病毒給我們的印象相比,計算機病毒的主動性(主動掃描可以感染的計算機)、獨立性(不再依賴宿主文件)更強了。
二、計算機病毒變形(變種)的速度極快並向混合型、多樣化發展
「震盪波」大規模爆發不久,它的變形病毒就出現了,並且不斷更新,從變種A到變種F的出現,時間不用一個月。在人們忙於撲殺「震盪波」的同時,一個新的計算機病毒應運而生—-「震盪波殺手」,它會關閉「震盪波」等計算機病毒的進程,但它帶來的危害與「震盪波」類似:堵塞網路、耗盡計算機資源、隨機倒計時關機和定時對某些伺服器進行攻擊。在反病毒服務提供商Sophos公布的一份報告中稱,今年5月份互聯網上出現的各類新的蠕蟲病毒種類數量創下30個月以來的新高,共出現了959種新病毒,創下了自2001年12月份以來的新高。這959種新病毒中包括了之前一些老病毒的新變種。計算機病毒向混合型、多樣化發展的結果是一些病毒會更精巧,另一些病毒會更復雜,混合多種病毒特徵,如紅色代碼病毒(Code Red)就是綜合了文件型、蠕蟲型病毒的特性,這種發展趨勢會造成反病毒工作更加困難。2004年1月27日,一種新型蠕蟲病毒在企業電子郵件系統中傳播,導致郵件數量暴增,從而阻塞網路。不同反病毒廠商將其命名為Novarg、Mydoom、SCO炸彈、諾威格、小郵差變種等,該病毒採用的是病毒和垃圾郵件相結合的少見戰術,不知情用戶的推波助瀾使得這種病毒的傳播速度似乎比近來其他幾種病毒的傳播速度要快。
三、運行方式和傳播方式的隱蔽性
9月14日,微軟安全中心發布了9月漏洞安全公告。其中MS04-028所提及的GDI+漏洞,危害等級被定為「嚴重」。瑞星安全專家認為,該漏洞涉及GDI+組件,在用戶瀏覽特定JPG圖片的時候,會導致緩沖區溢出,進而執行病毒攻擊代碼。該漏洞可能發生在所有的Windows操作系統上,針對所有基於IE瀏覽器內核的軟體、Office系列軟體、微軟.NET開發工具,以及微軟其它的圖形相關軟體等等,這將是有史以來威脅用戶數量最廣的高危漏洞。這類病毒(「圖片病毒」)有可能通過以下形式發作:1、群發郵件,附帶有病毒的JPG圖片文件;2、 採用惡意網頁形式,瀏覽網頁中的JPG文件、甚至網頁上自帶的圖片即可被病毒感染;3、通過即時通信軟體(如QQ、MSN等)的自帶頭像等圖片或者發送圖片文件進行傳播。
在被計算機病毒感染的計算機中,你可能只看到一些常見的正常進程如svchost、taskmon等,其實它是計算機病毒進程。今年6月初,一部與哈里.波特相關的電影分別在美國和英國開始放映。接著,英國某安全公司就發出警告稱,「網路天空」蠕蟲病毒正在藉助科幻角色哈里.波特而死灰復燃。安全公司指出, Netsky.P蠕蟲病毒變種感染的用戶大幅度增加,原因是它能夠將自己偽裝成與哈里·波特相關的影片文件、游戲或圖書引誘用戶下載。「藍盒子(Worm.Lehs)」、「V寶貝(Win32.Worm.BabyV)」病毒和 「斯文(Worm.Swen)」病毒,都是將自己偽裝成微軟公司的補丁程序來進行傳播的。這些偽裝令人防不勝防。你不會不從計算機網路上下載任何東西吧?包括你感興趣的相關資料、影片、歌曲?至於在主題中使用漂亮的詞句吸引你打開電子郵件以便計算機病毒的入侵,已經是很常見的計算機病毒偽裝了。此外,一些感染QQ、MSN等即時通訊軟體的計算機病毒會給你一個十分吸引的網址,只要你瀏覽這個網址的網頁,計算機病毒就來了。
四、利用操作系統漏洞傳播
操作系統是聯系計算機用戶和計算機系統的橋梁,也是計算機系統的核心,目前應用最為廣泛的是WINDOWS系列的操作系統。2003年的「蠕蟲王」、「沖擊波」和2004年的「震盪波」、前面所提到的「圖片病毒」都是利用WINDOWS系統的漏洞,在短短的幾天內就對整個互聯網造成了巨大的危害。開發操作系統是個復雜的工程,出現漏洞及錯誤是難免的,任何操作系統就是在修補漏洞和改正錯誤的過程中逐步趨向成熟和完善。但這些漏洞和錯誤就給了計算機病毒和黑客一個很好的表演舞台。
隨著DOS操作系統使用率的減少,感染DOS操作系統的計算機病毒也將退出歷史舞台;隨著WINDOWS操作系統使用率的增加,針對WINDOWS操作系統的計算機病毒將成為主流。
五、計算機病毒技術與黑客技術將日益融合
因為它們的最終目的是一樣的:破壞。嚴格來說,木馬和後門程序並不是計算機病毒,因為它們不能自我復制和擴散。但隨著計算機病毒技術與黑客技術的發展,病毒編寫者最終將會把這兩種技術進行了融合。瑞星全球反病毒監測網率先截獲一個可利用QQ控制的木馬,並將其命名為「QQ叛徒」(Trojan.QQbot.a)病毒。據介紹,這是全球首個可以通過QQ控制系統的木馬病毒,還會造成強制系統重啟、被迫下載病毒文件、抓取當前系統屏幕等危害。 2003年11月中旬爆發的「愛情後門」最新變種T病毒,就具有蠕蟲、黑客、後門等多種病毒特性,殺傷力和危害性都非常大。Mydoom蠕蟲病毒是通過電子郵件附件進行傳播的,當用戶打開並運行附件內的蠕蟲程序後,蠕蟲就會立即以用戶信箱內的電子郵件地址為目標向外發送大量帶有蠕蟲附件的欺騙性郵件,同時在用戶主機上留下可以上載並執行任意代碼的後門。這些計算機病毒或許就是計算機病毒技術與黑客技術融合的雛形。
六、物質利益將成為推動計算機病毒發展的最大動力
從計算機病毒的發展史來看,對技術的興趣和愛好是計算機病毒發展的源動力。但越來越多的跡象表明,物質利益將成為推動計算機病毒發展的最大動力。2004年6月初,我國和其他國家都成功截獲了針對銀行網上用戶帳號和密碼的計算機病毒。金山毒霸成功截獲網銀大盜最新變種B,該變種會盜取更多銀行的網上帳號和密碼,可能會造成巨大的經濟損失;德國信息安全聯邦委員會(BSI)提醒廣大的計算機用戶,日前他們發現一種新的互聯網病毒「Korgo」,Korgo病毒與上一個月瘋狂肆虐的「震盪波」病毒頗為相似,但它的主要攻擊目標是銀行賬戶和信用卡信息。其實不僅網上銀行,網上的股票賬號、信用卡賬號、房屋交易乃至游戲賬號等都可能被病毒攻擊,甚至網上的虛擬貨幣也在病毒目標范圍之內。比較著名的有「快樂耳朵」、「股票竊密者」等,還有很多不知名,因此是更可怕的病毒。針對網路游戲的計算機病毒在這一點表現更為明顯,網路游戲帳號和數以千元甚至萬元的虛擬裝備莫明其妙地轉到了他人手中。
如今,不少銀行都提供網上驗證或密碼鑰匙,用戶千萬不要只圖節省費用而冒失去巨大資金風險。買密碼鑰匙或數字證書是相當必要的。
C. 計算機網路病毒有哪些特點
計算機病毒具有以下幾個特點:(1)寄生性 計算機病毒寄生在其他程序之中,當執行這個程序時,病毒就起破壞作用,而在未啟動這個程序之前,它是不易被人發覺的。(2)傳染性 計算機病毒不但本身具有破壞性,更有害的是具有傳染性,一旦病毒被復制或產生變種,其速度之快令人難以預防。傳染性是病毒的基本特徵。在生物界,病毒通過傳染從一個生物體擴散到另一個生物體。在適當的條件下,它可得到大量繁殖,井使被感染的生物體表現出病症甚至死亡。同樣,計算機病毒也會通過各種渠道從已被感染的計算機擴散到未被感染的計算機,在某些情況下造成被感染的計算機工作失常甚至癱瘓。與生物病毒不同的是,計算機病毒是一段人為編制的計算機程序代碼,這段程序代碼一旦進入計算機並得以執行,它就會搜尋其他符合其傳染條件的程序或存儲介質,確定目標後再將自身代碼插入其中,達到自我繁殖的目的。只要一台計算機染毒,如不及時處理,那麼病毒會在這台機子上迅速擴散,其中的大量文件(一般是可執行文件)會被感染。而被感染的文件又成了新的傳染源,再與其他機器進行數據交換或通過網路接觸,病毒會繼續進行傳染。 正常的計算機程序一般是不會將自身的代碼強行連接到其他程序之上的。而病毒卻能使自身的代碼強行傳染到一切符合其傳染條件的未受到傳染的程序之上。計算機病毒可通過各種可能的渠道,如軟盤、計算機網路去傳染其他的計算機。當您在一台機器上發現了病毒時,往往曾在這台計算機上用過的軟盤已感染上了病毒,而與這台機器相聯網的其他計算機也許也被該病毒染上了。是否具有傳染性是判別一個程序是否為計算機病毒的最重要條件。 病毒程序通過修改磁碟扇區信息或文件內容並把自身嵌入到其中的方法達到病毒的傳染和擴散。被嵌入的程序叫做宿主程序。(3)潛伏性 有些病毒像定時炸彈一樣,讓它什麼時間發作是預先設計好的。比如黑色星期五病毒,不到預定時間一點都覺察不出來,等到條件具備的時候一下子就爆炸開來,對系統進行破壞。一個編制精巧的計算機病毒程序,進入系統之後一般不會馬上發作,可以在幾周或者幾個月內甚至幾年內隱藏在合法文件中,對其他系統進行傳染,而不被人發現,潛伏性愈好,其在系統中的存在時間就會愈長,病毒的傳染范圍就會愈大。 潛伏性的第一種表現是指,病毒程序不用專用檢測程序是檢查不出來的,因此病毒可以靜靜地躲在磁碟或磁帶里呆上幾天,甚至幾年,一旦時機成熟,得到運行機會,就又要四處繁殖、擴散,繼續為害。潛伏性的第二種表現是指,計算機病毒的內部往往有一種觸發機制,不滿足觸發條件時,計算機病毒除了傳染外不做什麼破壞。觸發條件一旦得到滿足,有的在屏幕上顯示信息、圖形或特殊標識,有的則執行破壞系統的操作,如格式化磁碟、刪除磁碟文件、對數據文件做加密、封鎖鍵盤以及使系統死鎖等。(4)隱蔽性 計算機病毒具有很強的隱蔽性,有的可以通過病毒軟體檢查出來,有的根本就查不出來,有的時隱時現、變化無常,這類病毒處理起來通常很困難。(5)破壞性 計算機中毒後,可能會導致正常的程序無法運行,把計算機內的文件刪除或受到不同程度的損壞。(6)可觸發性 病毒因某個事件或數值的出現,誘使病毒實施感染或進行攻擊的特性稱為可觸發性。為了隱蔽自己,病毒必須潛伏,少做動作。如果完全不動,一直潛伏的話,病毒既不能感染也不能進行破壞,便失去了殺傷力。病毒既要隱蔽又要維持殺傷力,它必須具有可觸發性。病毒的觸發機制就是用來控制感染和破壞動作的頻率的。病毒具有預定的觸發條件,這些條件可能是時間、日期、文件類型或某些特定數據等。病毒運行時,觸發機制檢查預定條件是否滿足,如果滿足,啟動感染或破壞動作,使病毒進行感染或攻擊;如果不滿足,使病毒繼續潛伏。
D. 計算機網路技術的現狀及發展趨勢
這些年來中國信息技術的變革也是全球信息產業變革調整的一個重要的組成部分。20世紀90年代是全球電信和IT產業迅速發展的時期,這一發展過程實際上遠遠超過了當時國民經濟和社會進步的整體速度。結果是中國電信網路的發展非常普及,現在電話的用戶數(包括行動電話)超過了5億戶。從全球來講,美國電信產業從1984年AT&T分解之後開始產生了巨大的變革,美國的迅速發展導致電信設備的研製、電信網路的建設已經遠遠超過了當時信息應用的消耗量,使網路設備和網路基礎設施大量過剩,直接的結果是導致大量的電信公司陷入了破產或經營不善的境地。
在我國可看到這樣幾個趨勢:一個就是電視、計算機和其他消費家電的融合以及信息技術與通信領域技術的融合,使傳統通信領域的游戲規則和競爭格局發生了根本的改變。我們國家已經由原來以中國電信一家獨大的狀態演變成幾家大運營商在網路運營方面共同競爭的狀態,在信息服務方面有多家信息服務提供運營商在進行全方位的競爭;產業間融合的趨勢正逐步加快,創造了更多的產業發展機會,產業融合使整個消費電子類產品已經成為各個企業爭奪非常集中的焦點,如智能手機、數字電視、移動電視和數碼產品等。剛才我談到了美國、英國等一些國家,如沃達豐、BT等,因在電信方面過分的投入,以及後來在管治政策方面出現嚴重問題,主要是在移動牌照拍賣方面導致企業負擔沉重,使得這些電信運營企業不得不低價變賣他們的通信網路。這反過來給了中國、日本、韓國這些後發展起來的IT大國很好的機會。最近中國網通集團收購了環球亞洲電訊的整體網路,中國運營商不僅僅在國內提供電信服務,也在立足於面向未來,逐步開始向全球提供電信服務和網路接入服務,這也是一個很好的趨勢。從信息技術來講,全球的IT製造業逐步向中國轉化,一個是由於中國有廉價的勞動力,再一個就是近些年中國工人的水平和整個IT技術水平的迅速提高,使得中國作為全球IT製造業基地的形象正逐步地確立起來。從IT業市場來講,中國已經成為全球最大的IT產業市場,吸引全世界的設備製造商、終端製造商、技術的研發機構將關注的焦點放到了中國地區。新技術的應用在中國取得了快速的增長,如大家普遍使用的快閃記憶體只用了兩年時間就迅速應用起來。還有象QQ,QQ實際上是廣東電信的一個課題組研究的一個小項目——即時通信,去年已經突破了5個億的收入,在互聯網上產生的巨大的影響。
在面向全球的信息技術產業變革和調整的過程當中,中國信息產業保持比較理性和穩健的步伐,使中國電信運營商在全球動盪的情況下保持了持續的增長。中國互聯網信息服務提供商在全球IT產業陷入冰河期的時候僅僅經過一年多的時間就已經開始從谷底走出來,進入一個春天。中國設備製造商在全球IT業不景氣的情況下,能夠迅速抓住時機,現在在互聯網的高、中、低端設備方面擁有了自主知識產權的產品,為我們下一步的發展確立了很好的基礎和地位。另外,中國這幾年網路設備的快速增長,包括終端市場,在今後一兩年內還會保持持續增長,而且這種持續是受前幾年增長的帶動。在前不久我們有一個分析,在今年年底明年年初,中國網民將近達到一個億。這第一個一個億是比較容易實現的,達到二個億就比較難了。這就需要城市的應用、互聯網的應用、IT技術的應用以及網路與大家的工作生活結合起來成為大家必不可少的一部分時才有可能達到。在達到第二個億之後,要達到第三個或第四個億就非常費勁。因為從整體上來講,國民收入、國民經濟的整體發展水平必須達到相適應的一個地步,互聯網的發展依託於國民經濟的整體發展水平,而我們現在實際上是超前於國民經濟發展。從未來來看,我們應該很清楚,當網民數量達到第三個億或第四個億,當網路運營商建設網路規模時,互聯網的發展也會受到國民經濟整體發展水平的影響。現在建設的IPv4的網路僅僅是中國電信在國內的帶寬總量就超過了2500個G,這是一個非常大的數量,上面可承載的信息內容和可以為公眾提供的服務是非常大的。2500個G的概念是如果家庭上網使用專用1兆的帶寬,那麼它可為2500萬用戶提供服務。實際上大家使用的都是共享帶寬,而且日常家庭上網的基本功用已經基本滿足大家的使用。在2005、2006年之後,IPv4網路建設的速度也將放緩。同時大家可以看到,IPv6的建設正在逐步展開,幾大運營商,包括教育網、科技網等等都已經參與到IPv6實驗網的建設當中去。隨著實驗的進行,商用實驗網將很快推出,按照中國電信、網通、移動這幾大運營商習慣來看,推出的速度會非常快。我們初步估計在2010年前後,IPv6將占據國內互聯網的主流。同時大家應該看到IPv4不會退出這個市場,在相當長的一個時期內兩種制式都會保留。因為在網路設備上,IP v4、IPv6雙棧路由器已經非常普遍,高端路由器的開發已經非常成熟,因此使用IPv6不會影響IPv4業務的開展。
我們返回來看,10年來中國互聯網的發展成績巨大、輝煌。互聯網給中國的老百姓提供了一個了解世界的信息平台,在這個信息平台上,由中國的網民、中國的老百姓自己去選擇了解什麼東西。在傳統上,我們所接受的信息從報紙、廣播、電視到互相交流所得到信息都是單向式的。從幾千年的傳統觀念來講,大家接受信息的模式是大家很關注、很相信、很接受自上而下的信息傳遞方式。但互聯網的出現使人們具有一個平等的平面的獲取信息的渠道,獲取信息又使人們認識到什麼是信息,哪些信息是自己所需要的。同時人們獲取信息時會發現在發布信息、獲取信息過程當中自己應該擁有的權力,進而人們發現了自己在社會當中應該擁有的權力。我覺得這是互聯網對中國社會和普通老百姓在思維、意識和創新的觀念上帶來的巨大改變。現在大家以平常心態看待網上出現的QQ、ICQ或網上社區,而在10年前我們看待這些新鮮事務的時候首先要看這些是不是政府認可的或者是不是大家的公共觀念可以接受的。現在,我們對於創新的想法,對於創新的意識和觀念與以往具有本質的不同。網路給予大家一種在網上平等交流、平等溝通、平等獲取信息的權力,而這種權力是以往任何一種媒體不具備的,也不能夠給予中國老百姓的。它從根本上改變了中國人幾千年根深蒂固的封建意識帶給大家的思維定勢。互聯網的發展真正能夠使中國13億人的智慧為中國的未來發展創造出無窮的力量。這種平等的平台為大家提供了實現的機會。
同時我們應該看到互聯網的迅速發展帶來許多問題。我們在網路資源方面非常緊張,只有5000萬的資源,卻有將近1個億的用戶。通過向APNIC、Verisign申請,我們已經與Verisign公司達成協議,將Verisign的一個伺服器移至中國境內,這對於我們國內互聯網的互通具有十分重要的意義。
在互聯網的資源、互聯網市場經營模式、管理方面、業務規范、上網行為規范等方面都存在一些問題。我們國內的從業者在互聯網的發展過程中在不斷地探索如何找到適合自己的經營模式,如何找到適合自己發展的生存方式。在前不久的互聯網大會上,各方面的專家和業界的精英與領袖們都在這方面進行針鋒相對的探索,在網上也有熱烈的反映。另一方面,政府制訂信息網路化發展的政策也是一個逐步探索逐步成熟的過程。我們很早就明確了「積極發展、加強管理、趨利避害、為我所用」這樣一個方針,但在具體執行過程中,網上的許多業務仍然存在主管部門的職能交叉、分工不清的問題,也導致網路發展和管理當中出現了一些問題,這也是政府從國家整體戰略上對互聯網管理和互聯網發展逐步思索、探索得越來越清楚的過程。在制定政策、法規、行為規范方面會有更加成熟、寬松和適合網路發展的政策和措施出台。
網路安全方面的問題應該是非常嚴重的,黑客攻擊行為、網上盜竊、網上欺詐、網路病毒這些問題非常多。網路運營商的經營已經形成了大家比較固定的觀念,比較有保障。但信息服務提供商盈利模式相對來說比較單調,這會影響他們長期的發展和服務的提供。網上的垃圾信息和有害信息還比較多。今年6月10日,我們開通了中國互聯網協會的新聞信息服務工作委員會,開通了違法和不良信息的舉報中心網站。網站開通之後,全社會產生了積極的響應,我們及時向相關政府主管部門匯報了情況,十幾個部委聯合採取了對於網上不良信息尤其色情網站色情信息的治理。這適應了社會公眾和網民的需要,也是社會共同的呼聲。協會對反垃圾郵件也開展了工作,包括推動政府立法、組織技術交流、加強國際合作。在7月初我們有一個統計,全球垃圾郵件的頭號輸出國是美國,它的垃圾郵件數量佔73%到74%;全球垃圾郵件伺服器頭號大國是中國,因為用戶收到垃圾郵件當中74%是從中國的郵件伺服器傳遞給他們的。我昨天剛剛得到一個統計數字,經過政府、企業和行業組織的治理,垃圾郵件伺服器頭號大國已經不是中國而是韓國了,韓國已經佔到全球垃圾郵件伺服器的47%,中國已從73%、74%下降到31%。這是政府、業內、行業組織採取了大量的行動之後取得了一定的成果,尤其是省及市、縣級的相關部門對伺服器和IDC機房進行檢查之後取得了成效。
現在中文信息資源還存在很大不足。前兩年曾有一個口號,是某家公司做過廣告——「到2007年中文將成為網上第一大語言」,而現在網上中文信息資源只佔全球3%,即使每年翻倍,到2007年也達不到目標。我們希望國內信息服務提供商、信息資源的開發者加快信息資源開發,不論是從網上信息陣地的佔領、為下一代青少年服務、提供網路業務等諸多角度來講,我們現在必須加快信息資源的開發與利用,尤其是網路科普聯盟組織的青少年健康網路行活動中介紹的網上博物館、網上圖書館等這類網上應用。將來要加大投入,加大在這方面的開發,一方面要通過違法不良信息舉報制止有害信息對青少年成長中的侵蝕,另一方面也要向他們提供有益的健康的信息,讓他們在成長過程中獲得有益的知識,這樣互聯網才能得到健康的發展。
網上行為也要逐步地進行規范。美國這種網上自由、無管理、無法律的觀念還是深入人心的,深入全球的,大家曾認為互聯網上的任何行為就不應該受到任何規范,不應該有管理。現在出現的問題使大家越來越多地意識到確實需要對網上行為進行規范和管理。網上行為同樣應該遵守現實生活中的道德規范,同樣應該受現實社會規則的約束,網上出現的網路濫用行為是利用了網上的優良特質,從業者、行業組織、政府還需要採取進一步的行動。我們在9月2日公布了中國互聯網協會的互聯網公共電子郵件服務規范,可以說這是國內乃至全世界第一個在互聯網應用方面提出的從業規范。我們與國際上也進行了多次溝通,電子郵件雖然是最普及的應用,但解決垃圾郵件問題非常復雜,涉及到網路的管理、技術、規范。美國在今年1月1日公布了反垃圾郵件法案之後,垃圾郵件反而以每月2%的比率持續上漲,這說明沒有同業的積極參與和各個方面的積極支持配合,僅靠法律是不能解決這些問題的。所以我們公布的電子郵件規范力圖在互聯網的應用服務領域立下第一個規矩,供應商清楚電子郵件服務應有質量和保證;用戶在享受電子郵件服務時,不論是收費的還是免費的,了解自己的義務和權力,使大家能夠在這方面建立起規范的意識。現已有14家企業書面明確表示他們自願參與和遵守服務規范,這些企業提供服務的用戶數已經佔到了國內電子郵件注冊用戶數的80%以上,這件事情還要持續深入地推進下去。電子郵件服務規范是一個起步,我們還會在互聯網上的其它各個方面逐步規范服務,讓互聯網用戶相信網上提供的服務是可以信賴的,使互聯網不再是家長的敵人。在網路變得可信和讓人放心之後,家長和老師才能放心讓孩子自由地在網上沖浪。
網路濫用行為已經是全球化的一個趨勢。現在已形成國際垃圾郵件發送者組織,由垃圾郵件的製造者、訂單採集者、他的合夥人一起通過這種方式將垃圾郵件發送給世界各地,規避各國已經制訂的反垃圾郵件法律。例如,他們從美國接受全球訂單,搜集整理電子郵件地址,再發到加拿大中介人那裡,由中介人分配訂單並制訂結算辦法,中介人再把訂單發到中國或韓國,由他的合作者或代理人通過在國內注冊的大量域名和虛擬主機轉發垃圾郵件回美國。轉發回美國的目的就是為了規避美國國內已經制訂的法律。垃圾郵件僅僅是其中的一個問題,網上的濫用行為使互聯網上全球化和國際性的犯罪組織正逐步形成。所以在這個階段我們要在反對網上濫用行為的立法、管理和政策等一系列方面加快採取措施。隨著垃圾郵件的出現,又出現了一些反垃圾郵件組織,他們公布黑名單,試圖把垃圾郵件擋在自己的郵箱用戶之外,但由於公布黑名單在全球沒有形成一個統一的規范和基本規則,所以公布的黑名單在很多情況下是公布了大量的IP地址段。中國互聯網協會也在公布黑名單,是哪一個地址發了垃圾郵件就公布哪一個地址。而Spamhaus和Spamcop這些組織公布的黑名單是一段一段的地址段,這些地址段中有可能包括128個、256個甚至幾萬個中國的IP地址,他認為在這些IP地址段中有一些相連的地址發出了垃圾郵件,所以整個地址段都被當作是垃圾郵件的發送源。全世界幾十萬個郵件服務商就會根據他公布的IP地址把中國這個地址段的信息全部屏蔽掉。在這個網段上我們確實有個別用戶,比如幾個或十幾個用戶發送了垃圾郵件,其結果是導致這個網段上幾十萬甚至上百萬用戶正常的郵件通信被中斷。所以我們既要制定反垃圾郵件的政策,又要向國際呼籲和反復溝通,反對公布地址段的辦法。因為在地址資源分配時對中國就不公平,我們有大量的動態IP地址在使用,這不僅僅是對中國,對發展中國家都是不公平的。七月份我們參與ITU會議時,尚比亞代表站起來就說反對垃圾郵件的行為我們支持,但是現在出現發達國家向發展中國家轉嫁垃圾郵件的問題。尚比亞全國的IP地址已經全部被列入黑名單,它所有的對外通信已經全部被阻斷了。發達國家有很充足的IP地址,它並不擔心某一地址段有問題,而且它很少使用動態IP。只有IP地址不充足的國家才面臨這些問題,這不公平也不公正。互聯網上盡管有很多好的東西,但是有許多東西是大家平常不會遇到的,背後是國與國之間經濟利益、各個方面利益的沖突。
未來比較明顯的趨勢是寬頻業務和各種移動終端的普及,如可照相手機越來越多,實際上這對網路帶寬和頻譜產生了巨大的需求。整個寬頻的建設和應用將進一步推動網路的整體發展。IPv6和網格等下一代互聯網技術的研發和建設將在今後取得比較明顯的進展。另一方面,從去年我們組織「中國互聯網發展報告」的過程中看到,中國互聯網的製造業在網路設備方面的研發已經取得了很多突破,包括現在在高、中、低端路同器產品方面都已經有具有自主知識產權的產品出現。我們現在有許多郵件服務商、技術提供商在網路標准方面進行積極的研究和開發。這個方面是我們在國際方面要加強的內容。另一方面是互聯網和傳統產業更加緊密地結合起來,這種結合隨著電子政務的普及、隨著相關法律措施的完善,象前一段時間通過的電子簽名法,逐步使得電子商務真正能夠在建立了社會信用機制的基礎之上開展起來。大量電子社區的出現也使互聯網的應用也越來越廣泛。互聯網經營和生存的模式也將更加豐富。互聯網產業的從業者以今後的發展具有堅定的信息。從以往看,大家在網上更多的是瀏覽信息、使用電子郵件、玩網路游戲,把互聯網更多地當作自己的一個高級的信息技術玩具,隨著互聯網的發展,玩具能夠變成工具,成為人們日常生活、工作離不開的工具。電子政務的推進會推動這樣一個進程。網路服務會逐步規范化,這個規范是一個長期的過程,不是一兩天就能實現的,也不是政府下達文件指令或行業組織號召一下就能實現的,它需要從業者的認識,當大家都意識到,當大家都規范起來並能夠在這個產業里很好地生存時,這個規范才有實際的價值。網路的應用也更加開放,這個開放指的是各個方面,包括社會事務方面,有許多政府網站已經將其事務到網站上去,如徵求意見、地方基層選舉等,這些使網路的應用更加開放和多樣化。盡管對網路安全技術的研究越來越深入,但是網路自身的特點,即它的簡單性、便宜性,使得它的安全問題仍然很突出。尤其是IPv6出現以後,它的安全性、服務質量會有更大提高,在將來一段時間針對IPv6的網路安全問題也會出現。我們希望網路信息要人為本,尤其是今年互聯網大會的一個主題是構建一個繁榮誠信的互聯網,互聯網做為一個信息平台它的用戶主流50%以上是30歲以下青少年,那麼為青少年建設的網路應該是一個可信、健康的網路,它應該成為青少年成長過程中的朋友和助手。科普網站和提供精神食糧信息資源開發的單位在這方面還要做大量的工作。希望學校老師、家長成為應用互聯網的行家裡手,不應該害怕使用互聯網。現在孩子對互聯網的使用要比家長熟練,這也是家長不讓孩子上網的一個重要原因。我們希望將來家長了解哪些網站對孩子是有益的,能夠指導他們瀏覽什麼樣的網站。這樣,學校老師和家長對互聯網學習將成為熱潮。PFP業務將來對網路結構和網路安全會產生重大影響,這是互聯網技術開發和政策管制部門所關心的。網路教育將是下一個互聯網業務的熱點問題,網路搜索,大容量電子郵件,電子商務平台,移動互聯網,無線區域網,網路資源信息開發等業務都將成為互聯網業務的熱點問題。功能比較強大的個人終端以及共享信息資源這些將來會出現。
參考資料:http://www.kepu629.cn/showthread.asp?id=49&thistype=%D1%A7%CA%F5%BD%BB%C1%F7
E. 網路病毒過濾規則 國外發展趨勢
防火牆包過濾技術發展趨勢 。2. 防火牆的體系結構發展趨勢 。3. 防火牆的系統管理發展趨勢 防火牆的系統管理也有一些發展趨勢,主要體現在以下幾個方面: (1). 首先是集中式管理,分布式和分層的安全結構是將來的趨勢。集中式管理可以降低管理成本,並保證在大型網路中安全策略的一致性。快速響應和快速防禦也要求採用集中式管理系統。目前這種分布式防火牆早已在Cisco(思科)、3Com等大的網路設備開發商中開發成功,也就是目前所稱的"分布式防火牆"和"嵌入式防火牆"。關於這一新技術在本篇下面將詳細介紹。(2). 強大的審計功能和自動日誌分析功能。這兩點的應用可以更早地發現潛在的威脅並預防攻擊的發生。日誌功能還可以管理員有效地發現系統中存的安全漏洞,及時地調整安全策略等各方面管理具有非常大的幫助。不過具有這種功能的防火牆通常是比較高級的,早期的靜態包過濾防火牆是不具有的(3). 網路安全產品的系統化 隨著網路安全技術的發展,現在有一種提法,叫做"建立以防火牆為核心的網路安全體系"。因為我們在現實中發現,僅現有的防火牆技術難以滿足當前網路安全需求。通過建立一個以防火牆為核心的安全體系,就可以為內部網路系統部署多道安全防線,各種安全技術各司其職,從各方面防禦外來入侵。如現在的IDS設備就能很好地與防火牆一起聯合。一般情況下,為了確保系統的通信性能不受安全設備的影響太大,IDS設備不能像防火牆一樣置於網路入口處,只能置於旁路位置。而在實際使用中,IDS的任務往往不僅在於檢測,很多時候在IDS發現入侵行為以後,也需要IDS本身對入侵及時遏止。顯然,要讓處於旁路偵聽的IDS完成這個任務又太難為,同時主鏈路又不能串接太多類似設備。在這種情況下,如果防火牆能和IDS、病毒檢測等相關安全產品聯合起來,充分發揮各自的長處,協同配合,共同建立一個有效的安全防範體系,那麼系統網路的安全性就能得以明顯提升。目前主要有兩種解決辦法:一種是直接把IDS、病毒檢測部分直接"做"到防火牆中,使防火牆具有IDS和病毒檢測設備的功能;另一種是各個產品分立,通過某種通訊方式形成一個整體,一旦發現安全事件,則立即通知防火牆,由防火牆完成過濾和報告。目前更看重後一種方案,因為它實現方式較前一種容易許多。分布式防火牆技術在前面已提到一種新的防火牆技術,即分布式防火牆技術已在逐漸興起,並在國外一些大的網路設備開發商中得到了實現,由於其優越的安全防護體系,符合未來的發展趨勢,所以這一技術一出現便得到許多用戶的認可和接受。下面我們就來介紹一下這種新型的防火牆技術。因為傳統的防火牆設置在網路邊界,外於內、外部互聯網之間,所以稱為"邊界防火牆(Perimeter Firewall)"。隨著人們對網路安全防護要求的提高,邊界防火牆明顯感覺到力不從心,因為給網路帶來安全威脅的不僅是外部網路,更多的是來自內部網路。但邊界防火牆無法對內部網路實現有效地保護,除非對每一台主機都安裝防火牆,這是不可能的。基於此,一種新型的防火牆技術,分布式防火牆(Distributed Firewalls)技術產生了。它可以很好地解決邊界防火牆以上的不足,當然不是為每對路主機安裝防火牆,而是把防火牆的安全防護系統延伸到網路中各對台主機。一方面有效地保證了用戶的投資不會很高,另一方面給網路所帶來的安全防護是非常全面的我們都知道,傳統邊界防火牆用於限制被保護企業內部網路與外部網路(通常是互聯網)之間相互進行信息存取、傳遞操作,它所處的位置在內部網路與外部網路之間。實際上,所有以前出現的各種不同類型的防火牆,從簡單的包過濾在應用層代理以至自適應代理,都是基於一個共同的假設,那就是防火牆把內部網路一端的用戶看成是可信任的,而外部網路一端的用戶則都被作為潛在的攻擊者來對待。而分布式防火牆是一種主機駐留式的安全系統,它是以主機為保護對象,它的設計理念是主機以外的任何用戶訪問都是不可信任的,都需要進行過濾。當然在實際應用中,也不是要求對網路中每對台主機都安裝這樣的系統,這樣會嚴重影響網路的通信性能。它通常用於保護企業網路中的關鍵結點伺服器、數據及工作站免受非法入侵的破壞
F. 我國計算機病毒犯罪研究現狀,急用!!!!
計算機病毒(Computer Virus)是指編制或在計算機程序中插入破壞計算機功能或毀壞數據,影響計算機使用並能自我復制的一種指令或程序代碼。它具有可隱藏性、可傳播性、可潛伏性、可激發性和巨大危害性等特徵。特別是在網路環境下,計算機病毒更易於傳播,其危害性更大。因而,本文試圖從這一角度出發探討在網路環境下製作、傳播計算機病毒犯罪的現狀、成因及因此應採取的立法對策。
一、網路環境下製作、傳播計算機病毒犯罪的現狀
計算機病毒最早產生於美國電報電話公司的貝爾實驗室,目前全世界已發現的計算機病毒已達上萬種之多。我國自1989年發現病毒,迄今已發現的病毒數以千計,其中也有許多「國產」病毒。隨著計算機網路技術的發展,網路在提供信息共享與便捷的同時,也為計算機病毒的傳播提供了良好的環境,因而其破壞性更為巨大。在當今網路環境下計算機病毒的犯罪趨勢主要表現為:
1.計算機病毒犯罪在網路環境下帶來的經濟損失呈上升趨勢。計算機病毒產生之初,人們對其危害性往往認識不清,自1988年下半年莫里斯(Morris)製作的「網際網路蠕蟲」病毒致使美國軍方計算機網路全面癱瘓,其經濟損失達六千萬美元後,人們才開始關注它。隨著網路的民用化,網路取得了突飛猛進的發展,給人們帶來信息的便利,展示了21世紀信息社會的巨大魅力。但計算機病毒似乎與網路「形影相連」,給人們巨大的警示:網路不是凈土。
1999年「曼里沙」(Melissa)病毒藉助英特網通過電子郵件而造成全世界大批網路癱瘓。同年4月26日爆發的「CIH」病毒對全球六千多萬台計算機造成嚴重損害,僅我國的經濟損失便超過億元人民幣。2000年5月4日「愛蟲」病毒再次泛濫全球,其經濟損失高達百億美元。上列數據表明,計算機病毒犯罪的經濟危害觸目驚心。
2.網路環境下製作、傳播計算機病毒犯罪破案率低,犯罪黑數呈現擴張態勢。據調查,世界各國尤其是發達國家的計算機犯罪問題嚴重,通過國際互聯網製作、傳播計算機病毒犯罪急劇增多,每年以400%的速度遞增,而被發現的犯罪只佔其中的4%,被刑事起訴的僅佔1%。隨著計算機在我國的普及與應用,互聯網獲得了飛速發展,計算機病毒犯罪也日益成為社會危害性最大、最凶惡的犯罪之一,而破獲率極低。
3.計算機病毒犯罪在網路環境下給國家安全、社會公共安全帶來日趨嚴重的挑戰。由於政府上網工程的完成。許多企業、公用事業單位在互聯網上建有自己的網站或與之聯結在一起,因此,計算機病毒在互聯網上的泛濫對國家安全、社會公共安全產生了前所未有的危害。首先,它嚴重威脅了國家安全,有些敵對勢力利用計算機病毒攻擊政府重要部門的計算機系統,有些人侵的計算機病毒泄露國家機密。如某一游擊隊利用E-mail病毒攻擊斯里蘭卡駐某大使館,使該使館在相當一段時間內不能使用E-mail。再如海灣戰爭期間,美國就曾利用計算機病毒通過互聯網破壞了伊拉克的重要軍事指揮系統。其次,它危及社會公共安全。當計算機病毒侵入供電公司的計算機系統時,它將使供電中斷,可能導致醫院正在進行的手術的失敗;它可使通訊混亂,使交通停滯……如我國發生的上海某通訊公司因病毒發作而使其尋呼機客戶信息全部丟失或破壞,致使其不能正常運行。
二、網路環境下計算機病毒犯罪激增之成因
1.網路空間(Cyberspace)為計算機病毒的製作、傳播提供了更好的外部環境。網路是一個沒有城牆,甚至沒有物質存在的虛擬空間,它將全世界的人際關系、財富、權力、企業和政府以數據存在的方式和即時流通與互動的形式聯系在一起,它已逐漸融入人們的生活,在這里,你可以通過它成為現實生活的一部分。每天在互聯網上流動的信息是難以統計的。其傳播速度也是非常之快,這些都是計算機病毒造成巨大損失的原因之一。當今,由於宏病毒的出現與互聯網的優良環境,E-mail已成為計算機病毒傳播的主要方式之一,如「曼里沙」病毒、「愛蟲」病毒等。「曼里沙」病毒藉助於互聯網通過電子郵件傳播,該病毒能從收件用戶的通信簿上選擇50個地址並復制50份發出去,帶病毒的電子郵件只需看五次,即可感染上億台計算機。此外,病毒交換電子廣告牌、病毒交換網。病毒分配站點、病毒分配機器人和文件伺服器出現,是製作、傳播計算機病毒犯罪在網路環境下的「溫床」和「助推器」。
2.在網路環境下,計算機病毒犯罪的調查取證更為困難。計算機犯罪的證據只存在於虛擬的空間中,是以儲存器內部的數字形式表現的,由於它在計算機系統中銷毀或自然刪除是極為容易的;有些罪證只是幾比特(Byte)信息圖案;並且互聯網聯接了世界各地的計算機,異地作案的可能性很大,在這種情況下取證則難上加難。第二,計算機病毒一般具有潛伏期和可誘發性,如CIH病毒在每年的4月26日發作便是一個例子。因此,在病毒發作之前,犯罪者有足夠的時間銷毀證據。在互聯網上沖浪的人們所關心的一般只是其獲取的信息,較少注意計算機內部數據的變化;而病毒對計算機的入侵在外表看來可與正常一樣。第三,犯罪者製作、傳播計算機病毒可以通過計算機技術隱匿自己的身份,加之互聯網廣泛使用匿名伺服器,因而偵破犯罪很困難。第四,計算機病毒犯罪稱為「白領犯罪」、「高智力犯罪」,犯罪者一般掌握了高超的計算機技術,這需要司法機關必須具有足夠的專業知識的人員才有可能進行偵查取證;而這在我國當前的司法隊伍中是一個亟待解決的問題。
3.網路環境下人們對本罪的認識存在模糊。電子計算機病毒犯罪自產生之日起,便呈現出低齡態勢,其中許多是未滿18周歲甚至不滿16周歲的青少年,並且許多行為人也並不把自己的行為看作「犯罪」,而是一種挑戰。這樣一來,即便是破獲犯罪,其所面臨的刑事起訴又是非常少了。
4.網路給傳統法律帶來巨大的挑戰,法律的不完善性也為犯罪提供了條件。網路給人們帶來了一個嶄新的世界,展示了新世紀的巨大魅力,但互聯網誕生的時間不長,民用化至今才短短十多年,在這種情況下,法律管制的滯後是難免的,對一藉助互聯網製作、傳播計算機病毒所產生的巨大危害認識不足,從而導致打擊不力也是其泛濫的另一重要原因。
三、我國法律中「製作、傳播計算機病毒罪」概述
1.我國刑法的規定
我國1997年刑法第286條第3款規定了「製作、傳播計算機病毒等破壞性程序罪」,它是指故意製作、傳播計算機病毒等破壞性程序,影響計算機系統正常運行,後果嚴重的行為。根據該款規定,犯有本罪的,處五年以下有期徒刑或者拘役;後果特別嚴重的,處五年以上有期徒刑。(1)刑法第286條規定的是「破壞計算機信息系統罪」,第三款通常稱為「製作、傳播破壞性計算機程序罪」。(2)本罪為結果犯。本罪須其行為影響計算機系統正常運行,且後果嚴重。後果嚴重一般包括二類:造成了重大的經濟損失;危害了國家安全和公共安全;造成了人身傷亡事故等。(3)本罪主體為一般主體。絕大多數是精通程序設計的技術人員。(4)本罪主觀須為故意,過失行為不構成本罪,既無過失又無故意的行為不構成本罪,純為自我娛樂或善意圖的也不構成本罪。(5)本罪的刑事措施主要有兩種:有期徒刑和拘役。
2.《全國人民代表大會常務委員會關於維護互聯網安全運行的決定》(以下簡稱《決定》)的規定。
面對日趨嚴重互聯犯罪,2000年12月28日通過的《決定》具有重要的意義。《決定》第一條第二款對在互聯網「故意製作、傳播計算機病毒等破壞性程序」的行為進行了規范。根據該條,網路環境下的該種行為構成犯罪的,應依據我國刑法第286條第3款的規定追究刑事責任。由此看出,本罪的犯罪構成,除客觀上增加了「危害互聯網的運行安全」外,與刑法第286條第3款的規定沒有實質不同。
四、網路環境下我國法律規定的局限性及其立法完善之思考
由於計算機病毒的強再生性、可傳播性等特徵,隨著互聯網的日趨廣泛化、社會化,製作。傳播計算機病毒的破壞性是難以估計的。由於我國法律規范滯後,人們認識不清,往往不利於打擊犯罪。在網路環境下,我國現行刑法第286條第3款更顯其局限性。
1.罪名。刑法第286條規定的犯罪按最高人民法院的司法解釋為「破壞計算機信息系統罪」,它其實包括破壞計算機信。急系統功能罪、破壞計算機信息系統數據及應用程序罪、製作、傳播計算機病毒等破壞性程序罪。很明顯,該罪名不足以威懾犯罪者,不足以引起人們對計算機病毒危害性的認識。首先,製作、傳播計算機病毒等破壞性程序罪與前二者之間存在著不同的性質。計算機病毒犯罪是針對不特定的計算機信息系統的功能、數據及應用程序,在網路環境下因其易於傳播等原因,其危害性往往大於針對特定的計算機信息系統犯罪。其次,製作傳播計算機病毒罪與製作、傳播計算機破壞性程序罪也應區分規定。刑法第286條第三款規定的「破壞性程序」之范圍除了計算機病毒外,還有其他非病毒的破壞性程序,它主要指特洛伊木馬術(Trojan horse)、邏輯炸彈(Logic bombs)、寄生術(Worms Similar to Zapping)、野兔(Rabbit)等,它們與病毒的主要區別在於後者往往缺乏自我復制能力或不具有感染性,因而後者的破壞性可能只針對特定的計算機,如針對非法使用盜版的用戶等,其影響可能少於前者。因此,兩者之間存在重要區別,似乎分別規定為科學。第三,獨立的「製作、傳播計算機病毒罪」有助於人們認識計算機病毒的巨大危害,警誡犯罪者控制其行為。從社會道德壓力來看,該罪名的確立,有助於人們提高對計算機病毒的認識態度,有助於人們採取各種安全技術措施保護自己的信息系統免於破壞,有助於形成對犯罪者的外部道德壓力。從犯罪者本身來看,盡管其犯罪動機多種多樣,或顯示才華,成防止非法拷貝,或出於政治軍事目的,或為獲取不當利益,或是惡作劇,但許多人都認為其行為不是犯罪,或認為其犯罪成本很低,甚至為零。在網路環境下,犯罪者則因其行為不易覺察,偵查取證非常困難,法律處罰不重致使計算機病毒犯罪越演越烈,獨立的法律規定能增大犯罪者的心理壓力,提高其預期的犯罪成本。第四,無論是美國的單行特別法規定,德國集中章節規定還是日本的分散規范,製作、傳播計算機病毒罪都是一個獨立的罪名,由於計算機犯罪的獨特性,特別法或專有章節規范具有合理性。我國刑法關於計算機犯罪的條文過少,因此應該在相關章節中將刑法第286條第3款單獨設立為一條規范。基於上述理由,製作、傳播計算機病毒罪的獨立並將刑法第286條第3款分為兩款予以規定是切實可行的。
2.本罪為結果犯,存在著不合理性。計算機病毒具有潛伏性,它是指計算機病毒侵入系統後,除對程序、文件或系統進行感染外,一段時間不產生任何破壞活動。計算機病毒的潛伏期有的很長,有的較易外露,前者的破壞性因其不露聲色而更為巨大。通過網路傳播的計算機病毒罪必須要有嚴重後果的出現。因此,本罪只存在即遂狀態,而不存在犯罪預備、未遂和中止狀態的問題。這是明顯不合理的。此其一。第二、根據該款的規定,該罪的構成必須是行為人的行為影響了計算機系統的正常運行,造成嚴重後果。如果病毒只是在於刪掉或破壞計算機存儲的一般數據,很明顯,它不影響計算機系統的正常運行。根據本款,該種行為是不能構成本罪的,但很難說這種病毒設有造成用戶的損失。
3.刑罰措施存在單一性的缺陷。如前所述,我國刑法對製作、傳播計算機病毒罪的刑罰措施主要規定了自由刑即有期徒刑和拘役兩種,這種單一刑罰措施不利於遏制網路環境下日趨嚴重的病毒犯罪。第一,本罪主體可分為貪利型(利用計算機病毒謀取不當利益)、無聊型(顯示所謂才華或惡作劇)以及政治型(出於政治、軍事目的人因此,為有效打擊這些犯罪,有必要針對不同的類型適用不同的刑罰措施,即還應規定財產刑和資格刑。(1)財產刑,主要包括罰金和沒收財產,它意在增加犯罪者在犯罪時對經濟上的預期成本,通過倍比罰金制度懲戒與預防犯罪,剝奪財產以消除再犯的物質基礎;(2)資格刑,指剝奪犯罪者的從業資格,禁止其進入互聯網或者從事互聯網經營的活動,從而防止其再犯。第二,網路環境下的本罪適用財產刑和資格刑,與本罪主體的特徵相適應。首先,製作計算機病毒需要行為人熟練的編程能力;傳播計算機病毒雖然任意自然人均可,但同樣需要掌握一定的計算機技術。對這一類「白領犯罪」適用財產刑和資格刑能有效懲戒與預防犯罪。其次,本罪主體呈現低齡化態勢,許多未滿18周歲甚至未滿16周歲的行為人在單一自由刑下有時很能難起到懲戒與預防作用;而資格刑或財產刑的適用助於改造犯罪行為人,以利於行為人的健康成長。譬如,對於未達刑事責任年齡的行為人適用資格刑,除在監視人監視情形下,禁止其接觸計算機便是一種較好的措施。第三,網路環境下的本罪適用財產刑和資格刑,具有可行性。從司法實踐來看,對於貪利型犯罪適用財產刑,既具有威懾力,又便於執行;對於其他類型犯罪適用資格刑也能很方便地得到實現。第四,從國外實踐來看,對於製作、傳播計算機病毒犯罪的懲罰,廣泛適用自由刑、財產刑和資格刑,甚至適用死刑。對於製作、傳播計算機病毒罪的單位採取「雙罰制」,即對單位及其主管人員或直接責任人員均予刑罰處罰。因此,借鑒國內外立法,在我國刑法中增設財產刑和資格刑是符合世界的發展趨勢的。
4.本罪主體為一般主體不利於遏制犯罪。本罪的構成須年滿16周歲,具有刑事責任能力,但從國內外已經發現的製作、傳播計算機病毒犯罪案件來看,罪犯呈現低齡化趨勢,其中許多未滿16周歲的青少年。據統計,犯罪行為人年齡在14周歲以上16周歲以下的15%左右,全部行為人的平均年齡只有20歲。為有效警戒該類人群的犯罪行為,對其行為進行懲戒有助於遏制犯罪。因此,有必要針對該類人群的犯罪特點而適用適宜於少年犯的刑事制裁。
G. 歷史計算機病毒事件
1、最初"計算機病毒"這一概念的提出可追溯到七十年代美國作家雷恩出版的《P1的青春》一書,書中構思了一種能夠自我復制,利用通信進行傳播的計算機程序,並稱之為計算機病毒。
2、貝爾實驗室的三位年輕程序員也受到馮?諾依曼理論的啟發,發明了"磁芯大戰"游戲。
3、1983 年 11月,在一次國際計算機安全學術會議上,美國學者科恩第一次明確提出計算機病毒的概念,並進行了演示。
4、世界上公認的第一個在個人電腦上廣泛流行的病毒是1986年初誕生的大腦(C-Brain)病毒,編寫該病毒的是一對巴基斯坦兄弟,兩兄弟經營著一家電腦公司,以出售自己編制的電腦軟體為生。當時,由於當地盜版軟體猖獗,為了防止軟體被任意非法拷貝,也為了追蹤到底有多少人在非法使用他們的軟體,於是在1986年年初,他們編寫了"大腦(Brain)"病毒,又被稱為"巴基斯坦"病毒。該病毒運行在DOS操作系統下,通過軟盤傳播,只在盜拷軟體時才發作,發作時將盜拷者的硬碟剩餘空間吃掉。
5、1988年11月美國國防部的軍用計算機網路遭受莫里斯病毒襲擊,致使美國Internet網路上6000多計算機感染,直接經濟損失9600萬美元。莫里斯病毒是由康乃爾大學23歲的羅特?莫里斯製作。後來出現的各類蠕蟲,都是仿造了莫里斯蠕蟲,以至於人們將該病毒的編制者莫里斯稱為"蠕蟲之父"。
6、1999年 Happy99、美麗殺手(Melissa)等完全通過Internet傳播的病毒的出現標志著Internet病毒將成為病毒新的增長點。其特點就是利用Internet的優勢,快速進行大規模的傳播,從而使病毒在極短的時間內遍布全球。
7、CIH病毒是繼DOS病毒的第四類新型病毒,CIH這三個字母曾經代表著災難。1998年8月從台灣傳入大陸,共有三個主要版本:1.2版/1.3版/1.4版,發作時間分別是4月26日、6月26日、每月26日。該病毒是第一個直接攻擊、破壞硬體的計算機病毒,是迄今為止破壞最為嚴重的病毒。
CIH病毒製造者 陳盈豪 曾有兩次精神科門診記錄,被人們認為是"電腦鬼才"。
8、2000年的5月,通過電子郵件傳播的"愛蟲"病毒迅速在世界各地蔓延,更大規模的發作,造成全世界空前的計算機系統破壞。 I LOVE YOU愛蟲病毒是使用VB Script程序語言編寫的病毒,它主要是通過一封信件標題為"I LOVE YOU"的電子郵件傳播的。一旦執行附加文件,病毒會獲取Outlook通訊錄的名單,並自動發出"I LOVE YOU"電子郵件,從而導致網路阻塞。破壞性:愛蟲病毒的傳播會導致網路癱瘓,病毒發作時,還會把*.mp3、*.jpg等10種文件改為*.vbs,並傳染覆蓋這些文件。
與愛蟲病毒相似的網路病毒還有Melissa(美麗殺手病毒)等。
9、著名的"黑色星期五"病毒在逢13號的星期五發作。
10、2001年9月18日出現的Nimda病毒則是病毒演變過程中的另一個里程碑,它首次利用了系統中的漏洞對互聯網發起攻擊,具備了典型的黑客特徵。它的出現意味著,混合著多種黑客手段的病毒從此誕生。
尼姆達是一種新型的、復雜的、發送大量郵件的蠕蟲病毒,它通過網路進行傳播。尼姆達病毒總是偽裝成一封主題行空缺的電子郵件展開對計算機的侵襲。打開這封"來歷不明"的電子郵件,就會發現隨信有一個名為readme.exe(即可執行自述文件)的附件,如果該附件被打開,尼姆達就順利地完成了侵襲電腦的第一步。接下來,該病毒不斷搜索區域網內共享的網路資源,將病毒文件復制到用戶計算機中,並隨機選擇各種文件作為附件,再按照用戶儲存在計算機里的郵件地址發送病毒,以此完成病毒傳播的一個循環過程。
11、2002年,求職信Klez病毒,郵件病毒,主要影響微軟的Outlook Express用戶。
12、"附件在哪啊?你找到我嗎?放心打開來,這是一個重要文件,可以查殺QQ病毒的專殺工具請查收附件。"如果你收到一封這樣的電子郵件,千萬不要打開,這是國內第一例中文混合型病毒,會導致電腦里的各種密碼,包括操作系統、網路游戲、電子郵件的各種密碼被竊取。
13、沖擊波,2003年8月11日,沖擊波席捲全球,利用微軟網路介面RPC漏洞進行傳播,造成眾多電腦中毒,機器不穩定,重啟,死機,部分網路癱瘓,沒打過補丁的WINDOWS操作系統很難逃出它的魔爪。
14、震盪波:具有類似沖擊波的表現形式,感染的系統重新啟動計算機,原因是給蠕蟲病毒導致系統文件lsess.Exe的崩潰。
15、小球病毒,作為Dos時代的老牌病毒,它也是國內流行起來的第一例電腦病毒。小球病毒可以險惡地控制電腦,使程序運行緩慢甚至無法運行。
特洛伊木馬,一經潛入,後患無窮
據說在海灣戰爭中,美國防部一秘密機構曾對伊拉克的通訊系統進行了有計劃的病毒攻擊,一度使伊拉克的國防通訊陷於癱瘓。
1、MSN小丑(MsnFunny),自動向用戶的msn發送消息和病毒
2、Word文檔殺手:破壞文檔數據,記錄管理員密碼。
3、雛鷹(BBeagle):木馬程序,電子郵件傳播,監測系統時間,2004年2月25日則自動退出。
4、好大(Sobig):1分鍾300封病毒郵件
5、紅色代碼(I-Worm Redcode):感染對象,伺服器,修改伺服器網站網頁
6、藍色代碼(Bluecode):啟動多個進程,系統運行速度非常慢,cpu佔用率急速上升,甚至癱瘓
7、密碼殺手2004:通過鍵盤記錄技術截取幾乎所有登錄窗口的輸入信息,通過電子郵件發送給病毒作者。
8、挪威客(Mydoom.e):瘋狂發送帶毒郵件,隨機刪除計算機數據。
9、網路天空(Netsky):帶毒郵件大量傳播,消耗網路資源,影響企業的郵件伺服器
10、武漢男生:qq發送誘惑信息,盜取傳奇密碼以郵件形式發給盜密碼者,並結束多種反病毒軟體。
11、證券大盜(PSW.Soufan):特洛伊木馬,盜取多家證券交易系統的交易賬戶和密碼。記錄鍵盤信息的同時通過屏幕快照將用戶資料已圖片形式發送。
2008年度十大病毒/木馬
根據病毒危害程度、病毒感染率以及用戶的關注度,計算出綜合指數,最終得出以下十大病毒/木馬為2008年最具影響的十大病毒/木馬。
1、 機器狗系列病毒
關鍵詞:底層穿磁碟 感染系統文件
機器狗病毒因最初的版本採用電子狗的照片做圖標而被網民命名為"機器狗",該病毒變種繁多,多表現為殺毒軟體無法正常運行。該病毒的主要危害是充當病毒木馬下載器,通過修改注冊表,讓大多數流行的安全軟體失效,然後瘋狂下載各種盜號工具或黑客工具,給廣大網民的網路虛擬財產造成巨大威脅。
機器狗病毒直接操作磁碟以繞過系統文件完整性的檢驗,通過感染系統文件(比如explorer.exe,userinit.exe,winhlp32.exe等)達到隱蔽啟動;通過底層技術穿透冰點、影子等還原系統軟體導致大量網吧用戶感染病毒,無法通過還原來保證系統的安全;通過修復SSDT、映像挾持、進程操作等方法使得大量的安全軟體失去作用;聯網下載大量的盜號木馬。部分機器狗變種還會下載ARP惡意攻擊程序對所在區域網(或者伺服器)進行ARP欺騙影響網路安全。
2、AV終結者病毒系列
關鍵詞:殺毒軟體無法打開 反復感染
AV終結者最大特點是禁用所有殺毒軟體以及大量的安全輔助工具,讓用戶電腦失去安全保障;破壞安全模式,致使用戶根本無法進入安全模式清除病毒;強行關閉帶有病毒字樣的網頁,只要在網頁中輸入"病毒"相關字樣,網頁遂被強行關閉,即使是一些安全論壇也無法登陸,用戶無法通過網路尋求解決辦法;在磁碟根目錄下釋放autorun.Inf,利用系統自播放功能,如果不加以清理,重裝系統以後也可能反復感染。
2008年年末出現的"超級AV終結者"結合了AV終結者、機器狗、掃盪波、autorun病毒的特點,是金山毒霸"雲安全"中心捕獲的新型計算機病毒。它對用戶具有非常大的威脅。它通過微軟特大漏洞MS08067在區域網傳播,並帶有機器狗的穿還原功能,下載大量的木馬,對網吧和區域網用戶影響極大。
3、onlinegames系列
關鍵詞:網游 盜號
這是一類盜號木馬系列的統稱,這類木馬最大的特點就是通過ShellExecuteHooks啟動,盜取流行的各大網路游戲(魔獸,夢幻西遊等)的帳號從而通過買賣裝備獲得利益。這類病毒本身一般不會對抗殺毒軟體,但經常伴隨著超級Av終結者、機器狗等病毒出現。
4 、HB蝗蟲系列木馬
關鍵詞:網游盜號
HB蝗蟲病毒新型變種是金山毒霸"雲安全"中心截獲的年末最"牛"的盜號木馬病毒。該系列盜號木馬技術成熟,傳播途徑廣泛,目標游戲非常的多(存在專門的生成器),基本囊括了市面上大多數的游戲,例如魔獸世界、大話西遊onlineII、劍俠世界、封神榜II、完美系列游戲、夢幻西遊、魔域等等。
該類木馬主要通過網頁掛馬、流行病毒下載器傳播。而傳播此盜號木馬的的下載器一般會對抗殺毒軟體,造成殺毒軟體不能打開、電腦反映速度變慢。
5 、掃盪波病毒
關鍵詞:新型蠕蟲 漏洞
這是一個新型蠕蟲病毒。是微軟"黑屏"事件後,出現的最具攻擊性的病毒之一。"掃盪波"運行後遍歷區域網的計算機並發起攻擊,攻擊成功後,被攻擊的計算機會下載並執行一個下載者病毒,而下載者病毒還會下載"掃盪波",同時再下載一批游戲盜號木馬。被攻擊的計算機中"掃盪波"而後再向其他計算機發起攻擊,如此向互聯網中蔓延開來。據了解,之前發現的蠕蟲病毒一般通過自身傳播,而掃盪波則通過下載器病毒進行下載傳播,由於其已經具備了自傳播特性,因此,被金山毒霸反病毒工程師確認為新型蠕蟲。
微軟宣布"黑屏"後的第3天,緊急發布了MS08-067安全公告,提示用戶注意一個非常危險的漏洞,而後利用該漏洞發動攻擊的惡意程序不斷涌現;10月24日晚,金山發布紅色安全預警,通過對微軟MS08-067漏洞進行詳細的攻擊原型模擬演示,證實了黑客完全有機會利用微軟MS08-067漏洞發起遠程攻擊,微軟操作系統面臨大面積崩潰威脅;11月7日,金山再次發布預警,"掃盪波"病毒正在利用該漏洞進行大面積攻擊;11月7日晚,金山已證實"掃盪波"實為一個新型蠕蟲病毒,並發布周末紅色病毒預警。
6、QQ盜聖
關鍵詞:QQ盜號
這是QQ盜號木馬系列病毒,病毒通常釋放病毒體(類似於UnixsMe.Jmp,Sys6NtMe.Zys,)到IE安裝目錄(C:Program FilesInternet Explore),通過注冊表Browser Helper Objects實現開機自啟動。當它成功運行後,就把之前生成的文件注入進程,查找QQ登陸窗口,監視用戶輸入盜取的帳號和密碼,並發送到木馬種植者指定的網址。
7、RPC盜號者
關鍵詞:不能復制粘貼
該系列木馬採用替換系統文件,達到開機啟動的目的,由於替換的是RPC服務文件rpcss.dll ,修復不當,會影響系統的剪切板、上網等功能。部分版本加入了反調試功能,導致開機的時候系統載入緩慢。
8、偽QQ系統消息
關鍵詞:QQ系統消息,殺毒軟體不能使用
經金山毒霸"雲安全"檢測為釣魚程序,病毒最大的特點是偽裝QQ系統消息,用戶一旦點擊,錢財及電腦安全將面臨巨大威脅。
該病毒的綜合破壞能力比較強,它利用AUTO技術自動傳播,當進入電腦後就運行自帶的對抗模塊,嘗試映像劫持或直接關閉用戶系統中的安全軟體。病毒還帶有下載器的功能,可下載其它木馬到電腦中運行。
9、QQ幽靈
關鍵詞:QQ 木馬下載器
此病毒查找QQ安裝目錄,並在其目錄釋放一個精心修改psapi.dll,當QQ啟動的時候將會將這個dll文件載入(程序載入dll文件的順序1:應用程序的安裝目錄2:當前的工作目錄3:系統目錄4:路徑變數),從而執行惡意代碼下載大量病毒到用戶電腦。
10、磁碟機
關鍵詞:無法徹底清除 隱蔽
磁碟機與AV終結者、機器狗極為相似。最大特點是導致大量用戶殺毒軟體和安全工具無法運行,進入安全模式後出現藍屏現象;而且更為嚴重的是,由於Exe文件被感染,重裝系統仍無法徹底清除。
磁碟機病毒主要通過網站掛馬、U盤、區域網內的ARP傳播等方式進行傳播,而且非常隱蔽,病毒在傳播過程中,所利用的技術手段都是用戶甚至殺毒軟體無法截獲的。病毒一旦在用戶電腦內成功運行後,會自動下載自己的最新版本以及大量的其他一些木馬到本地運行,盜取用戶虛擬資產和其他機密信息;同時該病毒會感染用戶機器上的exe文件,包括壓縮包內的exe文件,並會通過UPX加殼,導致用戶很難徹底清除。
二、2008年計算機病毒、木馬的特點分析
2008年是病毒、木馬異常活躍的一年。從病毒傳播的角度看2008年大量的病毒通過網頁掛馬方式進行傳播,主要利用的是realplay,adobe flash和IE漏洞進行傳播。從病毒的運作模式看2008年大量病毒採用的方式是下載器對抗安全軟體,關閉安全軟體然後下載大量盜號木馬到用戶電腦--盜取用戶網游的賬號發送到黑客的資料庫。從病毒的危害來看2008年絕大多數流行的病毒都為網游盜號類木馬,其次是遠程式控制制類木馬。
1、病毒製造進入"機械化"時代
由於各種病毒製作工具的泛濫和病毒製作的分工更加明細和程式化,病毒作者開始按照既定的病毒製作流程製作病毒。病毒製造進入了"機械化"時代。
這種"機械化"很大程度上得益於病毒製作門檻的降低和各種製作工具的流行。"病毒製造機"是網上流行的一種製造病毒的工具,病毒作者不需要任何專業技術就可以手工製造生成病毒。金山毒霸全球反病毒監測中心通過監測發現網路上有諸多此類廣告,病毒作者可根據自己對病毒的需求,在相應的製作工具中定製和勾選病毒功能。病毒傻瓜式製作導致病毒進入"機械化"時代。
病毒的機械化生產導致病毒數量的爆炸式增長。反病毒廠商傳統的人工收集以及鑒定方法已經無法應對迅猛增長的病毒。金山毒霸2009依託於"雲安全"技術,一舉實現了病毒庫病毒樣本數量增加5倍、日最大病毒處理能力提高100倍 、緊急病毒響應時間縮短到1小時以內,給用戶帶來了更好的安全體驗。
2、病毒製造的模塊化、專業化特徵明顯
病毒團伙按功能模塊發外包生產或采購技術先進的病毒功能模塊,使得病毒的各方面功能都越來越"專業",病毒技術得以持續提高和發展,對網民的危害越來越大,而解決問題也越來越難。例如年底出現的"超級AV終結者"集病毒技術之大成,是模塊化生產的典型代表。
在專業化方面,病毒製造業被自然的分割成以下幾個環節:病毒製作者、病毒批發商、病毒傳播者、"箱子"批發商、"信封"批發商、"信封"零售終端。病毒作者包括有"資深程序員",甚至可能有逆向工程師。病毒批發商購買病毒源碼,並進行銷售和生成木馬。病毒傳播者負責將病毒通過各種渠道傳播出去,以盜取有價值的QQ號碼、游戲帳號、裝備等。"箱子"批發商通過出租或者銷售"箱子"(即可以盜取虛擬資產的木馬,可以將盜取的號碼收集起來)牟利,他們往往擁有自己的木馬或者木馬生成器。"信封"批發商通過購買或者租用"箱子",通過出售收獲的信封牟利。"信封"零售終端負責過濾"信封"中收集到的有價值的虛擬資產並進行銷售。每個環節各司其職,專業化趨勢明顯。
3、病毒"運營"模式互聯網化
病毒團伙經過2008一年的運營已經完全轉向互聯網,攻擊的方式一般為:通過網站入侵->寫入惡意攻擊代碼->利用成為新型網路病毒傳播的主要方式,網民訪問帶有掛馬代碼的『正常網站'時,會受到漏洞攻擊而『不知不覺'中毒。這種傳播方式的特點是快速、隱敝性強、適合商業化運營(可像互聯網廠商一樣精確統計收益,進行銷售分成)。
例如 "機器狗"病毒,"商人"購買之後,就可以通過"機器狗"招商。因為機器狗本身並不具備"偷"東西的功能,只是可以通過對抗安全軟體保護病毒,因此"機器狗"就變成了病毒的渠道商,木馬及其他病毒都紛紛加入"機器狗"的下載名單。病毒要想加入這些渠道商的名單中,必須繳納大概3000塊錢左右的"入門費"。而"機器狗"也與其他類似的"下載器"之間互相推送,就像正常的商業行為中的資源互換。這樣,加入了渠道名單的病毒就可以通過更多的渠道進入用戶的電腦。病毒通過哪個渠道進入的,就向哪個渠道繳費。
此外,病毒的推廣和銷售都已經完全互聯網化。病毒推廣的手法包括通過一些技術論壇進行推廣,黑客網站也是推廣的重要渠道,此外還包括網路貼吧、QQ群等渠道進行推廣。其銷售渠道也完全互聯網化,銷售的典型渠道包括:公開拍賣網站,比如淘寶、易趣等。還有通過QQ直銷,或者通過專門網站進行銷售。
4、病毒團伙對於"新"漏洞的利用更加迅速
IE 0day漏洞被利用成2008年最大安全事件。當ms08-67漏洞被爆光後部分流行木馬下載器就將此漏洞的攻擊代碼集成到病毒內部實現更廣泛的傳播。而年底出現的IE0day漏洞,掛馬集團從更新掛馬連接添加IE 0day漏洞攻擊代碼到微軟更新補丁已經過了近10天。期間有上千萬網民訪問過含有此漏洞攻擊代碼的網頁。
此外,2008年Flash player漏洞也給諸多網民造成了損失。由於軟體在自身設計、更新、升級等方面的原因,存在一些漏洞,而這些漏洞會被黑客以及惡意網站利用。在用戶瀏覽網頁的過程中,通過漏洞下載木馬病毒入侵用戶系統,進行遠程式控制制、盜竊用戶帳號和密碼等,從而使用戶遭受損失。
金山毒霸團隊密切關注windows系統軟體漏洞和第三方應用軟體漏洞信息,及時更新漏洞庫信息,同時金山清理專家採用P2SP技術,大大提高了補丁下載的速度,減少了用戶電腦的風險暴露時間。
5、 病毒與安全軟體的對抗日益激烈
在病毒產業鏈分工中,下載器扮演了『黑社會'的角色,它結束並破壞殺毒軟體,穿透還原軟體,『保護'盜號木馬順利下載到用戶機器上,通過『保護費'和下載量分臟。下載者在2008年充當了急先鋒,始終跑在對抗殺毒軟體的第一線,出盡風頭且獲得豐厚回報。
從『AV終結者'的廣泛流行就不難看出,對抗殺毒軟體已經成為下載者病毒的『必備技能'。
縱觀08年的一些流行病毒,如機器狗、磁碟機、AV終結者等等,無一例外均為對抗型病毒。而且一些病毒製作者也曾揚言"餓死殺毒軟體"。對抗殺毒軟體和破壞系統安全設置的病毒以前也有,但08年表現得尤為突出。主要是由於大部分殺毒軟體加大了查殺病毒的力度,使得病毒為了生存而必須對抗殺毒軟體。這些病毒使用的方法也多種多樣,如修改系統時間、結束殺毒軟體進程、破壞系統安全模式、禁用windows自動升級等功能。
病毒與殺毒軟體對抗特徵主要表現為對抗頻率變快,周期變短,各個病毒的新版本更新非常快,一兩天甚至幾個小時更新一次來對抗殺毒軟體。
金山毒霸通過強化自保護功能,提高病毒攻擊的技術門檻。目前,金山毒霸雲安全體系可以做到病毒樣本的收集、病毒庫更新測試和升級發布全無人值守,自動化的解決方案以應對病毒傳播製作者不斷花樣翻新的挑戰。
三、2009年計算機病毒、木馬發展趨勢預測
1、0Day漏洞將與日俱增
2008年安全界關注的最多的不是Windows系統漏洞,而是每在微軟發布補丁隨後幾天之後,黑客們放出來的0Day 漏洞,這些漏洞由於處在系統更新的空白期,使得所有的電腦都處於無補丁的可補的危險狀態。
黑客在嘗到0day漏洞攻擊帶來的巨大感染量和暴利以後會更加關注於0day漏洞的挖掘,2009年可能會出現大量新的0day漏洞(含系統漏洞及流行互聯網軟體的漏洞),病毒團伙利用0day漏洞的發現到廠商發布補丁這一時間差發動漏洞攻擊以賺取高額利潤。
2、網頁掛馬現象日益嚴峻
網頁掛馬已經成為木馬、病毒傳播的主要途徑之一。入侵網站,篡改網頁內容,植入各種木馬,用戶只要瀏覽被植入木馬的網站,即有可能遭遇木馬入侵,甚至遭遇更猛烈的攻擊,造成網路財產的損失。
2008年,網站被掛馬現象屢見不鮮,大到一些門戶網站,小到某地方電視台的網站,都曾遭遇掛馬問題。伴隨著互聯網的日益普及,網頁掛馬已經成為木馬、病毒傳播的主要途徑之一的今天,金山毒霸反病毒工程師預測2009年網路掛馬問題將更加嚴峻,更多的網站將遭遇木馬攻擊。
3、病毒與反病毒廠商對抗將加劇
隨著反病毒廠商對於安全軟體自保護能力的提升,病毒的對抗會越發的激烈。病毒不再會局限於結束和破壞殺毒軟體,隱藏和局部『寄生'系統文件的弱對抗性病毒將會大量增加。
4、新平台上的嘗試
病毒、木馬進入新經濟時代後,肯定是無孔不入;網路的提速讓病毒更加的泛濫。因此在2009年,我們可以預估vista系統,windows 7系統的病毒將可能成為病毒作者的新寵;當我們的智能手機進入3G時代後,手機平台的病毒/木馬活動會上升。軟體漏洞的無法避免,在新平台上的漏洞也會成為病毒/木馬最主要的傳播手段。
四、2009年反病毒技術發展趨勢
在病毒製作門檻的逐步降低,病毒、木馬數量的迅猛增長,反病毒廠商與病毒之間的對抗日益激烈的大環境下,傳統"獲取樣本->特徵碼分析->更新部署"的殺毒軟體運營模式,已無法滿足日益變化及增長的安全威脅。在海量病毒、木馬充斥互聯網,病毒製作者技術不斷更新的大環境下,反病毒廠商必須要有更有效的方法來彌補傳統反病毒方式的不足,"雲安全"應運而生。
金山毒霸"雲安全"是為了解決木馬商業化的互聯網安全形勢應運而生的一種安全體系結構。它包括智能化客戶端、集群式服務端和開放的平台三個層次。"雲安全"是現有反病毒技術基礎上的強化與補充,最終目的是為了讓互聯網時代的用戶都能得到更快、更全面的安全保護。
首先穩定高效的智能客戶端,它可以是獨立的安全產品,也可以作為與其他產品集成的安全組件,比如金山毒霸 2009和網路安全中心等,它為整個雲安全體系提供了樣本收集與威脅處理的基礎功能;
其次服務端的支持,它是包括分布式的海量數據存儲中心、專業的安全分析服務以及安全趨勢的智能分析挖掘技術,同時它和客戶端協作,為用戶提供雲安全服務;
最後,雲安全需要一個開放性的安全服務平台作為基礎,它為第三方安全合作夥伴提供了與病毒對抗的平台支持,使得缺乏技術儲備與設備支持的第三方合作夥伴,也可以參與到反病毒的陣線中來,為反病毒產業的下游合作夥伴提供商業上的激勵,擺脫目前反病毒廠商孤軍奮戰的局面。
H. 計算機病毒的發展歷程
自從1987年發現了全世界首例計算機病毒以來,病毒的數量早已超過1萬種以上,並且還在以每年兩千種新病毒的速度遞增,不斷困擾著涉及計算機領域的各個行業。計算機病毒的危害及造成的損失是眾所周知的,發明計算機病毒的人同樣也受到社會和公眾輿論的譴責。也許有人會問:「計算機病毒是哪位先生發明的?」這個問題至今無法說清楚,但是有一點可以肯定,即計算機病毒的發源地是科學最發達的美國。
雖然全世界的計算機專家們站在不同立場或不同角度分析了病毒的起因,但也沒有能夠對此作出最後的定論,只能推測電腦病毒緣於以下幾種原因:一、科幻小說的啟發;二、惡作劇的產物;三、電腦游戲的產物;四、軟體產權保護的結果.
IT行業普遍認為,從最原始的單機磁碟病毒到現在逐步進入人們視野的手機病毒,計算機病毒主要經歷了六個重要的發展階段。
第一階段為原始病毒階段。產生年限一般認為在1986-1989年之間,由於當時計算機的應用軟體少,而且大多是單機運行,因此病毒沒有大量流行,種類也很有限,病毒的清除工作相對來說較容易。主要特點是:攻擊目標較單一;主要通過截獲系統中斷向量的方式監視系統的運行狀態,並在一定的條件下對目標進行傳染;病毒程序不具有自我保護的措施,容易被人們分析和解剖。
第二階段為混合型病毒階段。其產生的年限在1989-1991年之間,是計算機病毒由簡單發展到復雜的階段。計算機區域網開始應用與普及,給計算機病毒帶來了第一次流行高峰。這一階段病毒的主要特點為:攻擊目標趨於混合;採取更為隱蔽的方法駐留內存和傳染目標;病毒傳染目標後沒有明顯的特徵;病毒程序往往採取了自我保護措施;出現許多病毒的變種等。
第三階段為多態性病毒階段。此類病毒的主要特點是,在每次傳染目標時,放入宿主程序中的病毒程序大部分都是可變的。因此防病毒軟體查殺非常困難。如1994年在國內出現的「幽靈」病毒就屬於這種類型。這一階段病毒技術開始向多維化方向發展。
第四階段為網路病毒階段。從上世紀90年代中後期開始,隨著國際互聯網的發展壯大,依賴互聯網路傳播的郵件病毒和宏病毒等大量涌現,病毒傳播快、隱蔽性強、破壞性大。也就是從這一階段開始,反病毒產業開始萌芽並逐步形成一個規模宏大的新興產業。
第五階段為主動攻擊型病毒。典型代表為2003年出現的「沖擊波」病毒和2004年流行的「震盪波」病毒。這些病毒利用操作系統的漏洞進行進攻型的擴散,並不需要任何媒介或操作,用戶只要接入互聯網路就有可能被感染。正因為如此,該病毒的危害性更大。
第六階段為「手機病毒」階段。隨著移動通訊網路的發展以及移動終端--手機功能的不斷強大,計算機病毒開始從傳統的互聯網路走進移動通訊網路世界。與互聯網用戶相比,手機用戶覆蓋面更廣、數量更多,因而高性能的手機病毒一旦爆發,其危害和影響比「沖擊波」「震盪波」等互聯網病毒還要大。
I. 當前計算機病毒有哪些新的發展
隨著計算機技術的發展,計算機病毒也在不斷發展,計算機病毒與反病毒技術就象敵我雙方一樣在相互牽制的過程中使自身不斷發展壯大,而且從目前情況來看,計算機病毒總是主動的一方,我們在被動防禦和抵抗中。nbsp;計算機病毒將呈現新的發展趨勢:在給我們帶來很多方便和幫助的同時,互聯網、區域網已經成為計算機病毒傳播的主要途徑;在與反病毒技術的斗爭中,計算機病毒的變形速度和破壞力不斷地提高;混合型病毒的出現令以前對計算機病毒的分類和定義逐步失去意義,也使反病毒工作更困難了;病毒的隱蔽性更強了,不知不覺「中毒」帶來的後果更嚴重;人們使用最多的一些軟體將成為計算機病毒的主要攻擊對象。nbsp;一、計算機網路(互聯網、區域網)成為計算機病毒的主要傳播途徑,使用計算機網路逐漸成為計算機病毒發作條件的共同點nbsp;計算機病毒最早只通過文件拷貝傳播,當時最常見的傳播媒介是軟盤和盜版光碟。隨著計算機網路的發展,目前計算機病毒可通過計算機網路利用多種方式(電子郵件、網頁、即時通訊軟體等)進行傳播。計算機網路的發展有助於計算機病毒的傳播速度大大提高,感染的范圍也越來越廣。可以說,網路化帶來了計算機病毒傳染的高效率。這一點以「沖擊波」和「震盪波」的表現最為突出。以「沖擊波」為例,沖擊波是利用RPCnbsp;DCOM緩沖溢出漏洞進行傳播的互聯網蠕蟲。它能夠使遭受攻擊的系統崩潰,並通過互聯網迅速向容易受到攻擊的系統蔓延。nbsp;它會持續掃描具有漏洞的系統,並向具有漏洞的系統的135埠發送數據,然後會從已經被感染的計算機上下載能夠進行自我復制的代碼MSBLAST.EXE,並檢查當前計算機是否有可用的網路連接。如果沒有連接,蠕蟲每間隔10秒對Internet連接進行檢查,直到Internetnbsp;連接被建立。一旦Internet連接建立,蠕蟲會打開被感染的系統上的4444埠,並在埠69進行監聽,掃描互聯網,嘗試連接至其他目標系統的135埠並對它們進行攻擊。與以前計算機病毒給我們的印象相比,計算機病毒的主動性(主動掃描可以感染的計算機)、獨立性(不再依賴宿主文件)更強了。nbsp;二、計算機病毒變形(變種)的速度極快並向混合型、多樣化發展nbsp;「震盪波」大規模爆發不久,它的變形病毒就出現了,並且不斷更新,從變種A到變種F的出現,時間不用一個月。在人們忙於撲殺「震盪波」的同時,一個新的計算機病毒應運而生—-「震盪波殺手」,它會關閉「震盪波」等計算機病毒的進程,但它帶來的危害與「震盪波」類似:堵塞網路、耗盡計算機資源、隨機倒計時關機和定時對某些伺服器進行攻擊。在反病毒服務提供商Sophos公布的一份報告中稱,今年5月份互聯網上出現的各類新的蠕蟲病毒種類數量創下30個月以來的新高,共出現了959種新病毒,創下了自2001年12月份以來的新高。這959種新病毒中包括了之前一些老病毒的新變種。計算機病毒向混合型、多樣化發展的結果是一些病毒會更精巧,另一些病毒會更復雜,混合多種病毒特徵,如紅色代碼病毒(Codenbsp;Red)就是綜合了文件型、蠕蟲型病毒的特性,這種發展趨勢會造成反病毒工作更加困難。2004年1月27日,一種新型蠕蟲病毒在企業電子郵件系統中傳播,導致郵件數量暴增,從而阻塞網路。不同反病毒廠商將其命名為Novarg、Mydoom、SCO炸彈、諾威格、小郵差變種等,該病毒採用的是病毒和垃圾郵件相結合的少見戰術,不知情用戶的推波助瀾使得這種病毒的傳播速度似乎比近來其他幾種病毒的傳播速度要快。nbsp;三、運行方式和傳播方式的隱蔽性nbsp;9月14日,微軟安全中心發布了9月漏洞安全公告。其中MS04-028所提及的GDI+漏洞,危害等級被定為「嚴重」。瑞星安全專家認為,該漏洞涉及GDI+組件,在用戶瀏覽特定JPG圖片的時候,會導致緩沖區溢出,進而執行病毒攻擊代碼。該漏洞可能發生在所有的Windows操作系統上,針對所有基於IE瀏覽器內核的軟體、Office系列軟體、微軟.NET開發工具,以及微軟其它的圖形相關軟體等等,這將是有史以來威脅用戶數量最廣的高危漏洞。這類病毒(「圖片病毒」)有可能通過以下形式發作:1、群發郵件,附帶有病毒的JPG圖片文件;2、nbsp;採用惡意網頁形式,瀏覽網頁中的JPG文件、甚至網頁上自帶的圖片即可被病毒感染;3、通過即時通信軟體(如QQ、MSN等)的自帶頭像等圖片或者發送圖片文件進行傳播。nbsp;在