A. 计算机病毒的发展史
电脑病毒最初的历史,可以追溯至一九八二年。当时,电脑病毒这个名词还未正式被定义。该年,Rich Skerta 撰写了一个名为"Elk Cloner"的电脑程式,使其成为了电脑病毒史上第一种感染个人电脑(Apple II )的电脑病毒,它以软磁盘作传播媒介,破坏程度可说是相当轻微,受感染电脑只会在萤光幕上显示一段小小的诗句:
"It will get on all your disks
It will infiltrate your chips
Yes it's Cloner!
It will stick to you like glue
It will modify ram too
Send in the Cloner!"
1984 ― 电脑病毒正式被定义
Fred Cohen于一九八四发表了一篇名为"电脑病毒 ― 理论与实验(Computer Viruses ― Theory and Experiments)"的文章,当中除了为"电脑病毒"一词下了明确的定义外,也描述了他与其他专家对电脑病毒研究的实验成果。
1986 ― 首种广泛传播于MS-DOS 个人电脑系统的电脑病毒
首宗恶意并广泛传播的电脑病毒始于一九八六年,该种电脑病毒名为"脑(Brain) ",由两位巴基斯坦籍的兄弟所编写,能破坏电脑的起动区(boot-sector),亦被视为第一只能透过自我隐藏来逃避侦测的病毒。
1987 ― 档案感染型病毒 (Lehigh 和 圣诞虫 Christmas Worm)
一九八七年,Lehigh 病毒于美国Lehigh 大学被发现,是首只档案感染型病毒(File infectors)。档案感染型病毒主要通过感染 .COM 档案和 .EXE档案,来破坏资料、损毁档案配置表(FAT)或在染毒档案执行的过程中感染其它程式。
1988 ― 首种Macintosh 电脑病毒的出现以及CERT组织的成立
第一种袭击麦金塔(Macintosh)电脑的病毒 MacMag在这年出现,而"互联网虫"(Internet Worm) 亦引起了第一波的互联网危机。同年,世界第一队电脑保安事故应变队伍(Computer Security Response Team)成立并不断发展,也就演变成为今天着名的电脑保安事故应变队伍协调中心(CERTR Coordination Center ,简称CERTR/CC)。
1990 ― 首个病毒交流布告栏上线和防毒产品的出现
首个病毒交流布告栏(Virus Exchange Bulletin Board Service, 简称VX BBS)于保加利亚上线,借以给病毒编程者交换病毒程式码及心得。同年,防毒产品如McAfee Scan等开始粉墨登场。
1995 ― 巨集病毒的出现
在windows 95 作业平台初出现时,运行于DOS作业系统的电脑病毒仍然是电脑病毒的主流,而这些以DOS为本的病毒往往未能复制到windows 95 作业平台上运行。不过,正当电脑用家以为可以松一口气的时候,于一九九五年年底,首种运行于 MS-Word工作环境的巨集病毒(Macro Virus),也正式面世。
1996 ― Windows 95 继续成为袭击目标, Linux 作业平台也不能幸免
这年,巨集病毒Laroux成为首只侵袭MS Excel 档案的巨集病毒。而Staog 则是首只袭击Linux 作业平台的电脑病毒。
1998 - Back Orifice
Back Orifice 让骇客透过互联网在未授权的情况下遥距操控另一部电脑,此病毒的命名也开了微软旗下的Microsoft's Back Office产品一个玩笑。
1999 ― 梅莉莎 (Melissa) 及 CIH 病毒
梅莉莎为首种混合型的巨集病毒 —它透过袭击MS Word作台阶,再利用MS Outlook及Outlook Express内的地址簿,将病毒透过电子邮件广泛传播。该年四月,CIH 病毒爆发,全球超过6000万台电脑被破坏。
2000 ― 拒绝服务 (Denial of Service) 和恋爱邮件 (Love Letters) "I Love You"
是次拒绝服务袭击规模很大,致使雅虎、亚马逊书店等主要网站服务瘫痪。同年,附着"I Love You"电邮传播的Visual Basic 脚本病毒档更被广泛传播,终令不少电脑用户明白到小心处理可疑电邮的重要性。该年八月,首只运行于Palm 作业系统的木马(Trojan) 程式―"自由破解(Liberty Crack)",也终于出现了。这个木马程式以破解Liberty (一个运行于Palm 作业系统的Game boy 模拟器)作诱饵,致使用户在无意中把这病毒透过红外线资料交换或以电邮的形式在无线网中把病毒传播。
2002 ― 强劲多变的混合式病毒: 求职信(Klez) 及 FunLove
"求职信"是典型的混合式病毒,它除了会像传统病毒般感染电脑档案外,同时亦拥有蠕虫(worm) 及木马程式的特征。它利用了微软邮件系统自动运行附件的安全漏洞,借着耗费大量的系统资源,造成电脑运行缓慢直至瘫痪。该病毒除了以电子邮件作传播途径外,也可透过网络传输和电脑硬盘共享把病毒散播。
自一九九九年开始,Funlove 病毒已为服务器及个人电脑带来很大的烦脑,受害者中不乏着名企业。一旦被其感染,电脑便处于带毒运行状态,它会在创建一个背景工作线程,搜索所有本地驱动器和可写入的网络资源,继而在网络中完全共享的文件中迅速地传播。
2003 ― 冲击波 (Blaster) and 大无极 (SOBIG)
"冲击波"病毒于八月开始爆发,它利用了微软作业系统Windows 2000 及Windows XP的保安漏洞,取得完整的使用者权限在目标电脑上执行任何的程式码,并透过互联网,继续攻击网络上仍存有此漏洞的电脑。由于防毒软件也不能过滤这种病毒,病毒迅速蔓延至多个国家,造成大批电脑瘫痪和网络连接速度减慢。
继"冲击波"病毒之后,第六代的"大无极"电脑病毒(SOBIG.F)肆虐,并透过电子邮件扩散。该"大无极" 病毒不但会伪造寄件人身分,还会根据电脑通讯录内的资料,发出大量以 ‘Thank you!', ‘Re: Approved' 等为主旨的电邮外,此外,它也可以驱使染毒的电脑自动下载某些网页,使编写病毒的作者有机会窃取电脑用户的个人及商业资料。
2004― 悲惨命运(MyDoom)、网络天空(NetSky)及震荡波(Sasser)
"悲惨命运"病毒于一月下旬出现,它利用电子邮件作传播媒介,以"Mail Transaction Failed"、"Mail Delivery System"、"Server Report"等字眼作电邮主旨,诱使用户开启带有病毒的附件档。受感染的电脑除会自动转寄病毒电邮外,还会令电脑系统开启一道后门,供骇客用作攻击网络的仲介。它还会对一些着名网站(如SCO及微软)作分散式拒绝服务攻击 (Distributed Denial of Service, DDoS),其变种更阻止染毒电脑访问一些着名的防毒软件厂商网站。由于它可在三十秒内寄出高达一百封电子邮件,令许多大型企业的电子邮件服务被迫中断,在电脑病毒史上,其传播速度创下了新纪录。
防毒公司都会以A、B、C等英文字母作为同一只病毒变种的命名。网络天空(NetSky)这种病毒,被评为史上变种速度最快的病毒,因为它自二月中旬出现以来,在短短的两个月内,其变种的命名已经用尽了26个英文字母,接踵而至的是以双码英文字母名称如NetSky.AB。它透过电子邮件作大量传播,当收件人运行了带着病毒的附件后,病毒程式会自动扫瞄电脑硬盘及网络磁盘机来搜集电邮地址,透过自身的电邮发送引擎,转发伪冒寄件者的病毒电邮,而且病毒电邮的主旨、内文及附件档案名称都是多变的。
"震荡波"病毒与较早前出现的冲击波病毒雷同,都是针对微软视窗作业系统的保安漏洞,也不需依赖电子邮件作传播媒介。它利用系统内的缓冲溢位漏洞,导致电脑连续地重新开机并不断感染互联网上其他电脑。以短短18天的时间,它取代了冲击波,创下了修补程式公布后最短攻击周期纪录
现在人都知道有电脑病毒,不过,你真正地了解它吗?希望本文能够让你更深刻地认识病毒,提高我们的安全意识。
一、病毒的定义
电脑病毒与医学上的“病毒”不同,它不是天然存在的,是某些人利用电脑软、硬件所固有的脆弱性,编制具有特殊功能的程序。由于它与生物医学上的“病毒”同样有传染和破坏的特性,因此这一名词是由生物医学上的“病毒”概念引申而来。
从广义上定义,凡能够引起电脑故障,破坏电脑数据的程序统称为电脑病毒。依据此定义,诸如逻辑炸弹,蠕虫等均可称为电脑病毒。在国内,专家和研究者对电脑病毒也做过不尽相同的定义,但一直没有公认的明确定义。
二、病毒的命名
病毒的命名没有固定的方法,有的按病毒第一次出现的地点来命名,如“ZHENJIANG_JES”其样本最先来自镇江某用户。也有的按病毒中出现的人名或特征字符,如“ZHANGFANG—1535”,“DISK KILLER”, “上海一号”。有的按病毒发作时的症状命名,如“火炬”,“蠕虫”。当然,也有按病毒发作的时间来命名的,如“NOVEMBER 9TH”在11月9日发作。有些名称包含病毒代码的长度,如“PIXEL.xxx”系列,“ KO.xxx”等体。
三、电脑病毒的发展趋势
在病毒的发展史上,病毒的出现是有规律的,一般情况下一种新的病毒技术出现后,病毒迅速发展,接着反病毒技术的发展会抑制其流传。同时,操作系统进行升级时,病毒也会调整为新的方式,产生新的病毒技术。总的说来,病毒可以分为以下几个发展阶段:
1.DOS引导阶段
1987年,电脑病毒主要是引导型病毒,具有代表性的是“小球”和“石头”病毒。由于,那时的电脑硬件较少,功能简单,一般需要通过软盘启动后使用。而引导型病毒正是利用了软盘的启动原理工作,修改系统启动扇区,在电脑启动时首先取得控制权,减少系统内存,修改磁盘读写中断,影响系统工作效率,在系统存取磁盘时进行传播。
2.DOS可执行阶段
1989年,可执行文件型病毒出现,它们利用DOS系统加载执行文件的机制工作,如“耶路撒冷”,“星期天”等病毒。可执行型病毒的病毒代码在系统执行文件时取得控制权,修改DOS中断,在系统调用时进行传染,并将自己附加在可执行文件中,使文件长度增加。1990年,发展为复合型病毒,可感染COM和EXE 文件。
3.伴随体型阶段
1992年,伴随型病毒出现,它们利用DOS加载文件的优先顺序进行工作。具有代表性的是“金蝉”病毒,它感染EXE文件的同时会生成一个和EXE同名的扩展名为COM伴随体;它感染COM文件时,改为原来的COM 文件为同名的EXE文件,在产生一个原名的伴随体,文件扩展名为COM。这样,在DOS加载文件时,病毒会取得控制权,优先执行自己的代码。该类病毒并不改变原来的文件内容,日期及属性,解除病毒时只要将其伴随体删除即可,非常容易。其典型代表的是“海盗旗”病毒,它在得到执行时,询问用户名称和口令,然后返回一个出错信息,将自身删除。
4.变形阶段
1994年,汇编语言得到了长足的发展。要实现同一功能,通过汇编语言可以用不同的方式进行完成,这些方式的组合使一段看似随机的代码产生相同的运算结果。而典型的多形病毒—幽灵病毒就是利用这个特点,每感染一次就产生不同的代码。例如“一半”病毒就是产生一段有上亿种可能的解码运算程序,病毒体被隐藏在解码前的数据中,查解这类病毒就必须能对这段数据进行解码,加大了查毒的难度。多形型病毒是一种综合性病毒,它既能感染引导区又能感染程序区,多数具有解码算法,一种病毒往往要两段以上的子程序方能解除。
5.变种阶段
1995年,在汇编语言中,一些数据的运算放在不同的通用寄存器中,可运算出同样的结果,随机的插入一些空操作和无关命令,也不影响运算的结果。这样,某些解码算法可以由生成器生成不同的变种。其代表作品—“病毒制造机”VCL,它可以在瞬间制造出成千上万种不同的病毒,查解时不能使用传统的特征识别法,而需要在宏观上分析命令,解码后查解病毒,大大提高了复杂程度。
6.网络、蠕虫阶段
1995年,随着网络的普及,病毒开始利用网络进行传播,它们只是以上几代病毒的改进。在Windows操作系统中,“蠕虫”是典型的代表,它不占用除内存以外的任何资源,不修改磁盘文件,利用网络功能搜索网络地址,将自身向下一地址进行传播,有时也在网络服务器和启动文件中存在。
7.窗口阶段
1996年,随着Windows的日益普及,利用Windows进行工作的病毒开始发展,它们修改(NE,PE)文件,典型的代表是DS.3873,这类病毒的急智更为复杂,它们利用保护模式和API调用接口工作,解除方法也比较复杂。
8.宏病毒阶段
1996年,随着MS Office功能的增强及盛行,使用Word宏语言也可以编制病毒,这种病毒使用类Basic 语言,编写容易,感染Word文件文件。由于Word文件格式没有公开,这类病毒查解比较困难。
9.互联网、感染邮件阶段
1997年,随着因特网的发展,各种病毒也开始利用因特网进行传播,一些携带病毒的数据包和邮件越来越多,如果不小心打开了这些邮件,电脑就有可能中毒。
10.爪哇、邮件炸弹阶段
1997年,随着互联网上Java的普及,利用Java语言进行传播和资料获取的病毒开始出现,典型的代表是JavaSnake病毒。还有一些利用邮件服务器进行传播和破坏的病毒,例如Mail-Bomb病毒,它就严重影响因特网的效率。
四、病毒的演化及发展过程
当前电脑病毒的最新发展趋势主要可以归结为以下几点:
1.病毒在演化
任何程序和病毒都一样,不可能十全十美,所以一些人还在修改以前的病毒,使其功能更完善,病毒在不断的演化,使杀毒软件更难检测。
2.千奇百怪病毒出现
现在操作系统很多,因此,病毒也瞄准了很多其他平台,不再仅仅局限于Microsoft Windows平台了。
3.越来越隐蔽
一些新病毒变得越来越隐蔽,同时新型电脑病毒也越来越多,更多的病毒采用复杂的密码技术,在感染宿主程序时,病毒用随机的算法对病毒程序加密,然后放入宿主程序中,由于随机数算法的结果多达天文数字,所以,放入宿主程序中的病毒程序每次都不相同。这样,同一种病毒,具有多种形态,每一次感染,病毒的面貌都不相同,犹如一个人能够“变脸”一样,检测和杀除这种病毒非常困难。同时,制造病毒和查杀病毒永远是一对矛盾,既然杀毒软件是杀病毒的,而就有人却在搞专门破坏杀病毒软件的病毒,一是可以避过杀病毒软件,二是可以修改杀病毒软件,使其杀毒功能改变。因此,反病毒还需要很多专家的努力!
B. 当前计算机病毒有哪些新的发展
随着计算机技术的发展,计算机病毒也在不断发展,计算机病毒与反病毒技术就象敌我双方一样在相互牵制的过程中使自身不断发展壮大,而且从目前情况来看,计算机病毒总是主动的一方,我们在被动防御和抵抗中。
计算机病毒将呈现新的发展趋势:在给我们带来很多方便和帮助的同时,互联网、局域网已经成为计算机病毒传播的主要途径;在与反病毒技术的斗争中,计算机病毒的变形速度和破坏力不断地提高;混合型病毒的出现令以前对计算机病毒的分类和定义逐步失去意义,也使反病毒工作更困难了;病毒的隐蔽性更强了,不知不觉“中毒”带来的后果更严重;人们使用最多的一些软件将成为计算机病毒的主要攻击对象。
一、计算机网络(互联网、局域网)成为计算机病毒的主要传播途径,使用计算机网络逐渐成为计算机病毒发作条件的共同点
计算机病毒最早只通过文件拷贝传播,当时最常见的传播媒介是软盘和盗版光盘。随着计算机网络的发展,目前计算机病毒可通过计算机网络利用多种方式(电子邮件、网页、即时通讯软件等)进行传播。计算机网络的发展有助于计算机病毒的传播速度大大提高,感染的范围也越来越广。可以说,网络化带来了计算机病毒传染的高效率。这一点以“冲击波”和“震荡波”的表现最为突出。以“冲击波”为例,冲击波是利用RPC DCOM缓冲溢出漏洞进行传播的互联网蠕虫。它能够使遭受攻击的系统崩溃,并通过互联网迅速向容易受到攻击的系统蔓延。 它会持续扫描具有漏洞的系统,并向具有漏洞的系统的135端口发送数据,然后会从已经被感染的计算机上下载能够进行自我复制的代码MSBLAST.EXE,并检查当前计算机是否有可用的网络连接。如果没有连接,蠕虫每间隔10秒对Internet连接进行检查,直到Internet 连接被建立。一旦Internet连接建立,蠕虫会打开被感染的系统上的4444端口,并在端口69进行监听,扫描互联网,尝试连接至其他目标系统的135端口并对它们进行攻击。与以前计算机病毒给我们的印象相比,计算机病毒的主动性(主动扫描可以感染的计算机)、独立性(不再依赖宿主文件)更强了。
二、计算机病毒变形(变种)的速度极快并向混合型、多样化发展
“震荡波”大规模爆发不久,它的变形病毒就出现了,并且不断更新,从变种A到变种F的出现,时间不用一个月。在人们忙于扑杀“震荡波”的同时,一个新的计算机病毒应运而生—-“震荡波杀手”,它会关闭“震荡波”等计算机病毒的进程,但它带来的危害与“震荡波”类似:堵塞网络、耗尽计算机资源、随机倒计时关机和定时对某些服务器进行攻击。在反病毒服务提供商Sophos公布的一份报告中称,今年5月份互联网上出现的各类新的蠕虫病毒种类数量创下30个月以来的新高,共出现了959种新病毒,创下了自2001年12月份以来的新高。这959种新病毒中包括了之前一些老病毒的新变种。计算机病毒向混合型、多样化发展的结果是一些病毒会更精巧,另一些病毒会更复杂,混合多种病毒特征,如红色代码病毒(Code Red)就是综合了文件型、蠕虫型病毒的特性,这种发展趋势会造成反病毒工作更加困难。2004年1月27日,一种新型蠕虫病毒在企业电子邮件系统中传播,导致邮件数量暴增,从而阻塞网络。不同反病毒厂商将其命名为Novarg、Mydoom、SCO炸弹、诺威格、小邮差变种等,该病毒采用的是病毒和垃圾邮件相结合的少见战术,不知情用户的推波助澜使得这种病毒的传播速度似乎比近来其他几种病毒的传播速度要快。
三、运行方式和传播方式的隐蔽性
9月14日,微软安全中心发布了9月漏洞安全公告。其中MS04-028所提及的GDI+漏洞,危害等级被定为“严重”。瑞星安全专家认为,该漏洞涉及GDI+组件,在用户浏览特定JPG图片的时候,会导致缓冲区溢出,进而执行病毒攻击代码。该漏洞可能发生在所有的Windows操作系统上,针对所有基于IE浏览器内核的软件、Office系列软件、微软.NET开发工具,以及微软其它的图形相关软件等等,这将是有史以来威胁用户数量最广的高危漏洞。这类病毒(“图片病毒”)有可能通过以下形式发作:1、群发邮件,附带有病毒的JPG图片文件;2、 采用恶意网页形式,浏览网页中的JPG文件、甚至网页上自带的图片即可被病毒感染;3、通过即时通信软件(如QQ、MSN等)的自带头像等图片或者发送图片文件进行传播。
在被计算机病毒感染的计算机中,你可能只看到一些常见的正常进程如svchost、taskmon等,其实它是计算机病毒进程。今年6月初,一部与哈里.波特相关的电影分别在美国和英国开始放映。接着,英国某安全公司就发出警告称,“网络天空”蠕虫病毒正在借助科幻角色哈里.波特而死灰复燃。安全公司指出, Netsky.P蠕虫病毒变种感染的用户大幅度增加,原因是它能够将自己伪装成与哈里·波特相关的影片文件、游戏或图书引诱用户下载。“蓝盒子(Worm.Lehs)”、“V宝贝(Win32.Worm.BabyV)”病毒和 “斯文(Worm.Swen)”病毒,都是将自己伪装成微软公司的补丁程序来进行传播的。这些伪装令人防不胜防。你不会不从计算机网络上下载任何东西吧?包括你感兴趣的相关资料、影片、歌曲?至于在主题中使用漂亮的词句吸引你打开电子邮件以便计算机病毒的入侵,已经是很常见的计算机病毒伪装了。此外,一些感染QQ、MSN等即时通讯软件的计算机病毒会给你一个十分吸引的网址,只要你浏览这个网址的网页,计算机病毒就来了。
四、利用操作系统漏洞传播
操作系统是联系计算机用户和计算机系统的桥梁,也是计算机系统的核心,目前应用最为广泛的是WINDOWS系列的操作系统。2003年的“蠕虫王”、“冲击波”和2004年的“震荡波”、前面所提到的“图片病毒”都是利用WINDOWS系统的漏洞,在短短的几天内就对整个互联网造成了巨大的危害。开发操作系统是个复杂的工程,出现漏洞及错误是难免的,任何操作系统就是在修补漏洞和改正错误的过程中逐步趋向成熟和完善。但这些漏洞和错误就给了计算机病毒和黑客一个很好的表演舞台。
随着DOS操作系统使用率的减少,感染DOS操作系统的计算机病毒也将退出历史舞台;随着WINDOWS操作系统使用率的增加,针对WINDOWS操作系统的计算机病毒将成为主流。
五、计算机病毒技术与黑客技术将日益融合
因为它们的最终目的是一样的:破坏。严格来说,木马和后门程序并不是计算机病毒,因为它们不能自我复制和扩散。但随着计算机病毒技术与黑客技术的发展,病毒编写者最终将会把这两种技术进行了融合。瑞星全球反病毒监测网率先截获一个可利用QQ控制的木马,并将其命名为“QQ叛徒”(Trojan.QQbot.a)病毒。据介绍,这是全球首个可以通过QQ控制系统的木马病毒,还会造成强制系统重启、被迫下载病毒文件、抓取当前系统屏幕等危害。 2003年11月中旬爆发的“爱情后门”最新变种T病毒,就具有蠕虫、黑客、后门等多种病毒特性,杀伤力和危害性都非常大。Mydoom蠕虫病毒是通过电子邮件附件进行传播的,当用户打开并运行附件内的蠕虫程序后,蠕虫就会立即以用户信箱内的电子邮件地址为目标向外发送大量带有蠕虫附件的欺骗性邮件,同时在用户主机上留下可以上载并执行任意代码的后门。这些计算机病毒或许就是计算机病毒技术与黑客技术融合的雏形。
六、物质利益将成为推动计算机病毒发展的最大动力
从计算机病毒的发展史来看,对技术的兴趣和爱好是计算机病毒发展的源动力。但越来越多的迹象表明,物质利益将成为推动计算机病毒发展的最大动力。2004年6月初,我国和其他国家都成功截获了针对银行网上用户帐号和密码的计算机病毒。金山毒霸成功截获网银大盗最新变种B,该变种会盗取更多银行的网上帐号和密码,可能会造成巨大的经济损失;德国信息安全联邦委员会(BSI)提醒广大的计算机用户,日前他们发现一种新的互联网病毒“Korgo”,Korgo病毒与上一个月疯狂肆虐的“震荡波”病毒颇为相似,但它的主要攻击目标是银行账户和信用卡信息。其实不仅网上银行,网上的股票账号、信用卡账号、房屋交易乃至游戏账号等都可能被病毒攻击,甚至网上的虚拟货币也在病毒目标范围之内。比较着名的有“快乐耳朵”、“股票窃密者”等,还有很多不知名,因此是更可怕的病毒。针对网络游戏的计算机病毒在这一点表现更为明显,网络游戏帐号和数以千元甚至万元的虚拟装备莫明其妙地转到了他人手中。
如今,不少银行都提供网上验证或密码钥匙,用户千万不要只图节省费用而冒失去巨大资金风险。买密码钥匙或数字证书是相当必要的。
C. 计算机网络病毒有哪些特点
计算机病毒具有以下几个特点:(1)寄生性 计算机病毒寄生在其他程序之中,当执行这个程序时,病毒就起破坏作用,而在未启动这个程序之前,它是不易被人发觉的。(2)传染性 计算机病毒不但本身具有破坏性,更有害的是具有传染性,一旦病毒被复制或产生变种,其速度之快令人难以预防。传染性是病毒的基本特征。在生物界,病毒通过传染从一个生物体扩散到另一个生物体。在适当的条件下,它可得到大量繁殖,井使被感染的生物体表现出病症甚至死亡。同样,计算机病毒也会通过各种渠道从已被感染的计算机扩散到未被感染的计算机,在某些情况下造成被感染的计算机工作失常甚至瘫痪。与生物病毒不同的是,计算机病毒是一段人为编制的计算机程序代码,这段程序代码一旦进入计算机并得以执行,它就会搜寻其他符合其传染条件的程序或存储介质,确定目标后再将自身代码插入其中,达到自我繁殖的目的。只要一台计算机染毒,如不及时处理,那么病毒会在这台机子上迅速扩散,其中的大量文件(一般是可执行文件)会被感染。而被感染的文件又成了新的传染源,再与其他机器进行数据交换或通过网络接触,病毒会继续进行传染。 正常的计算机程序一般是不会将自身的代码强行连接到其他程序之上的。而病毒却能使自身的代码强行传染到一切符合其传染条件的未受到传染的程序之上。计算机病毒可通过各种可能的渠道,如软盘、计算机网络去传染其他的计算机。当您在一台机器上发现了病毒时,往往曾在这台计算机上用过的软盘已感染上了病毒,而与这台机器相联网的其他计算机也许也被该病毒染上了。是否具有传染性是判别一个程序是否为计算机病毒的最重要条件。 病毒程序通过修改磁盘扇区信息或文件内容并把自身嵌入到其中的方法达到病毒的传染和扩散。被嵌入的程序叫做宿主程序。(3)潜伏性 有些病毒像定时炸弹一样,让它什么时间发作是预先设计好的。比如黑色星期五病毒,不到预定时间一点都觉察不出来,等到条件具备的时候一下子就爆炸开来,对系统进行破坏。一个编制精巧的计算机病毒程序,进入系统之后一般不会马上发作,可以在几周或者几个月内甚至几年内隐藏在合法文件中,对其他系统进行传染,而不被人发现,潜伏性愈好,其在系统中的存在时间就会愈长,病毒的传染范围就会愈大。 潜伏性的第一种表现是指,病毒程序不用专用检测程序是检查不出来的,因此病毒可以静静地躲在磁盘或磁带里呆上几天,甚至几年,一旦时机成熟,得到运行机会,就又要四处繁殖、扩散,继续为害。潜伏性的第二种表现是指,计算机病毒的内部往往有一种触发机制,不满足触发条件时,计算机病毒除了传染外不做什么破坏。触发条件一旦得到满足,有的在屏幕上显示信息、图形或特殊标识,有的则执行破坏系统的操作,如格式化磁盘、删除磁盘文件、对数据文件做加密、封锁键盘以及使系统死锁等。(4)隐蔽性 计算机病毒具有很强的隐蔽性,有的可以通过病毒软件检查出来,有的根本就查不出来,有的时隐时现、变化无常,这类病毒处理起来通常很困难。(5)破坏性 计算机中毒后,可能会导致正常的程序无法运行,把计算机内的文件删除或受到不同程度的损坏。(6)可触发性 病毒因某个事件或数值的出现,诱使病毒实施感染或进行攻击的特性称为可触发性。为了隐蔽自己,病毒必须潜伏,少做动作。如果完全不动,一直潜伏的话,病毒既不能感染也不能进行破坏,便失去了杀伤力。病毒既要隐蔽又要维持杀伤力,它必须具有可触发性。病毒的触发机制就是用来控制感染和破坏动作的频率的。病毒具有预定的触发条件,这些条件可能是时间、日期、文件类型或某些特定数据等。病毒运行时,触发机制检查预定条件是否满足,如果满足,启动感染或破坏动作,使病毒进行感染或攻击;如果不满足,使病毒继续潜伏。
D. 计算机网络技术的现状及发展趋势
这些年来中国信息技术的变革也是全球信息产业变革调整的一个重要的组成部分。20世纪90年代是全球电信和IT产业迅速发展的时期,这一发展过程实际上远远超过了当时国民经济和社会进步的整体速度。结果是中国电信网络的发展非常普及,现在电话的用户数(包括移动电话)超过了5亿户。从全球来讲,美国电信产业从1984年AT&T分解之后开始产生了巨大的变革,美国的迅速发展导致电信设备的研制、电信网络的建设已经远远超过了当时信息应用的消耗量,使网络设备和网络基础设施大量过剩,直接的结果是导致大量的电信公司陷入了破产或经营不善的境地。
在我国可看到这样几个趋势:一个就是电视、计算机和其他消费家电的融合以及信息技术与通信领域技术的融合,使传统通信领域的游戏规则和竞争格局发生了根本的改变。我们国家已经由原来以中国电信一家独大的状态演变成几家大运营商在网络运营方面共同竞争的状态,在信息服务方面有多家信息服务提供运营商在进行全方位的竞争;产业间融合的趋势正逐步加快,创造了更多的产业发展机会,产业融合使整个消费电子类产品已经成为各个企业争夺非常集中的焦点,如智能手机、数字电视、移动电视和数码产品等。刚才我谈到了美国、英国等一些国家,如沃达丰、BT等,因在电信方面过分的投入,以及后来在管治政策方面出现严重问题,主要是在移动牌照拍卖方面导致企业负担沉重,使得这些电信运营企业不得不低价变卖他们的通信网络。这反过来给了中国、日本、韩国这些后发展起来的IT大国很好的机会。最近中国网通集团收购了环球亚洲电讯的整体网络,中国运营商不仅仅在国内提供电信服务,也在立足于面向未来,逐步开始向全球提供电信服务和网络接入服务,这也是一个很好的趋势。从信息技术来讲,全球的IT制造业逐步向中国转化,一个是由于中国有廉价的劳动力,再一个就是近些年中国工人的水平和整个IT技术水平的迅速提高,使得中国作为全球IT制造业基地的形象正逐步地确立起来。从IT业市场来讲,中国已经成为全球最大的IT产业市场,吸引全世界的设备制造商、终端制造商、技术的研发机构将关注的焦点放到了中国地区。新技术的应用在中国取得了快速的增长,如大家普遍使用的闪存只用了两年时间就迅速应用起来。还有象QQ,QQ实际上是广东电信的一个课题组研究的一个小项目——即时通信,去年已经突破了5个亿的收入,在互联网上产生的巨大的影响。
在面向全球的信息技术产业变革和调整的过程当中,中国信息产业保持比较理性和稳健的步伐,使中国电信运营商在全球动荡的情况下保持了持续的增长。中国互联网信息服务提供商在全球IT产业陷入冰河期的时候仅仅经过一年多的时间就已经开始从谷底走出来,进入一个春天。中国设备制造商在全球IT业不景气的情况下,能够迅速抓住时机,现在在互联网的高、中、低端设备方面拥有了自主知识产权的产品,为我们下一步的发展确立了很好的基础和地位。另外,中国这几年网络设备的快速增长,包括终端市场,在今后一两年内还会保持持续增长,而且这种持续是受前几年增长的带动。在前不久我们有一个分析,在今年年底明年年初,中国网民将近达到一个亿。这第一个一个亿是比较容易实现的,达到二个亿就比较难了。这就需要城市的应用、互联网的应用、IT技术的应用以及网络与大家的工作生活结合起来成为大家必不可少的一部分时才有可能达到。在达到第二个亿之后,要达到第三个或第四个亿就非常费劲。因为从整体上来讲,国民收入、国民经济的整体发展水平必须达到相适应的一个地步,互联网的发展依托于国民经济的整体发展水平,而我们现在实际上是超前于国民经济发展。从未来来看,我们应该很清楚,当网民数量达到第三个亿或第四个亿,当网络运营商建设网络规模时,互联网的发展也会受到国民经济整体发展水平的影响。现在建设的IPv4的网络仅仅是中国电信在国内的带宽总量就超过了2500个G,这是一个非常大的数量,上面可承载的信息内容和可以为公众提供的服务是非常大的。2500个G的概念是如果家庭上网使用专用1兆的带宽,那么它可为2500万用户提供服务。实际上大家使用的都是共享带宽,而且日常家庭上网的基本功用已经基本满足大家的使用。在2005、2006年之后,IPv4网络建设的速度也将放缓。同时大家可以看到,IPv6的建设正在逐步展开,几大运营商,包括教育网、科技网等等都已经参与到IPv6实验网的建设当中去。随着实验的进行,商用实验网将很快推出,按照中国电信、网通、移动这几大运营商习惯来看,推出的速度会非常快。我们初步估计在2010年前后,IPv6将占据国内互联网的主流。同时大家应该看到IPv4不会退出这个市场,在相当长的一个时期内两种制式都会保留。因为在网络设备上,IP v4、IPv6双栈路由器已经非常普遍,高端路由器的开发已经非常成熟,因此使用IPv6不会影响IPv4业务的开展。
我们返回来看,10年来中国互联网的发展成绩巨大、辉煌。互联网给中国的老百姓提供了一个了解世界的信息平台,在这个信息平台上,由中国的网民、中国的老百姓自己去选择了解什么东西。在传统上,我们所接受的信息从报纸、广播、电视到互相交流所得到信息都是单向式的。从几千年的传统观念来讲,大家接受信息的模式是大家很关注、很相信、很接受自上而下的信息传递方式。但互联网的出现使人们具有一个平等的平面的获取信息的渠道,获取信息又使人们认识到什么是信息,哪些信息是自己所需要的。同时人们获取信息时会发现在发布信息、获取信息过程当中自己应该拥有的权力,进而人们发现了自己在社会当中应该拥有的权力。我觉得这是互联网对中国社会和普通老百姓在思维、意识和创新的观念上带来的巨大改变。现在大家以平常心态看待网上出现的QQ、ICQ或网上社区,而在10年前我们看待这些新鲜事务的时候首先要看这些是不是政府认可的或者是不是大家的公共观念可以接受的。现在,我们对于创新的想法,对于创新的意识和观念与以往具有本质的不同。网络给予大家一种在网上平等交流、平等沟通、平等获取信息的权力,而这种权力是以往任何一种媒体不具备的,也不能够给予中国老百姓的。它从根本上改变了中国人几千年根深蒂固的封建意识带给大家的思维定势。互联网的发展真正能够使中国13亿人的智慧为中国的未来发展创造出无穷的力量。这种平等的平台为大家提供了实现的机会。
同时我们应该看到互联网的迅速发展带来许多问题。我们在网络资源方面非常紧张,只有5000万的资源,却有将近1个亿的用户。通过向APNIC、Verisign申请,我们已经与Verisign公司达成协议,将Verisign的一个服务器移至中国境内,这对于我们国内互联网的互通具有十分重要的意义。
在互联网的资源、互联网市场经营模式、管理方面、业务规范、上网行为规范等方面都存在一些问题。我们国内的从业者在互联网的发展过程中在不断地探索如何找到适合自己的经营模式,如何找到适合自己发展的生存方式。在前不久的互联网大会上,各方面的专家和业界的精英与领袖们都在这方面进行针锋相对的探索,在网上也有热烈的反映。另一方面,政府制订信息网络化发展的政策也是一个逐步探索逐步成熟的过程。我们很早就明确了“积极发展、加强管理、趋利避害、为我所用”这样一个方针,但在具体执行过程中,网上的许多业务仍然存在主管部门的职能交叉、分工不清的问题,也导致网络发展和管理当中出现了一些问题,这也是政府从国家整体战略上对互联网管理和互联网发展逐步思索、探索得越来越清楚的过程。在制定政策、法规、行为规范方面会有更加成熟、宽松和适合网络发展的政策和措施出台。
网络安全方面的问题应该是非常严重的,黑客攻击行为、网上盗窃、网上欺诈、网络病毒这些问题非常多。网络运营商的经营已经形成了大家比较固定的观念,比较有保障。但信息服务提供商盈利模式相对来说比较单调,这会影响他们长期的发展和服务的提供。网上的垃圾信息和有害信息还比较多。今年6月10日,我们开通了中国互联网协会的新闻信息服务工作委员会,开通了违法和不良信息的举报中心网站。网站开通之后,全社会产生了积极的响应,我们及时向相关政府主管部门汇报了情况,十几个部委联合采取了对于网上不良信息尤其色情网站色情信息的治理。这适应了社会公众和网民的需要,也是社会共同的呼声。协会对反垃圾邮件也开展了工作,包括推动政府立法、组织技术交流、加强国际合作。在7月初我们有一个统计,全球垃圾邮件的头号输出国是美国,它的垃圾邮件数量占73%到74%;全球垃圾邮件服务器头号大国是中国,因为用户收到垃圾邮件当中74%是从中国的邮件服务器传递给他们的。我昨天刚刚得到一个统计数字,经过政府、企业和行业组织的治理,垃圾邮件服务器头号大国已经不是中国而是韩国了,韩国已经占到全球垃圾邮件服务器的47%,中国已从73%、74%下降到31%。这是政府、业内、行业组织采取了大量的行动之后取得了一定的成果,尤其是省及市、县级的相关部门对服务器和IDC机房进行检查之后取得了成效。
现在中文信息资源还存在很大不足。前两年曾有一个口号,是某家公司做过广告——“到2007年中文将成为网上第一大语言”,而现在网上中文信息资源只占全球3%,即使每年翻倍,到2007年也达不到目标。我们希望国内信息服务提供商、信息资源的开发者加快信息资源开发,不论是从网上信息阵地的占领、为下一代青少年服务、提供网络业务等诸多角度来讲,我们现在必须加快信息资源的开发与利用,尤其是网络科普联盟组织的青少年健康网络行活动中介绍的网上博物馆、网上图书馆等这类网上应用。将来要加大投入,加大在这方面的开发,一方面要通过违法不良信息举报制止有害信息对青少年成长中的侵蚀,另一方面也要向他们提供有益的健康的信息,让他们在成长过程中获得有益的知识,这样互联网才能得到健康的发展。
网上行为也要逐步地进行规范。美国这种网上自由、无管理、无法律的观念还是深入人心的,深入全球的,大家曾认为互联网上的任何行为就不应该受到任何规范,不应该有管理。现在出现的问题使大家越来越多地意识到确实需要对网上行为进行规范和管理。网上行为同样应该遵守现实生活中的道德规范,同样应该受现实社会规则的约束,网上出现的网络滥用行为是利用了网上的优良特质,从业者、行业组织、政府还需要采取进一步的行动。我们在9月2日公布了中国互联网协会的互联网公共电子邮件服务规范,可以说这是国内乃至全世界第一个在互联网应用方面提出的从业规范。我们与国际上也进行了多次沟通,电子邮件虽然是最普及的应用,但解决垃圾邮件问题非常复杂,涉及到网络的管理、技术、规范。美国在今年1月1日公布了反垃圾邮件法案之后,垃圾邮件反而以每月2%的比率持续上涨,这说明没有同业的积极参与和各个方面的积极支持配合,仅靠法律是不能解决这些问题的。所以我们公布的电子邮件规范力图在互联网的应用服务领域立下第一个规矩,供应商清楚电子邮件服务应有质量和保证;用户在享受电子邮件服务时,不论是收费的还是免费的,了解自己的义务和权力,使大家能够在这方面建立起规范的意识。现已有14家企业书面明确表示他们自愿参与和遵守服务规范,这些企业提供服务的用户数已经占到了国内电子邮件注册用户数的80%以上,这件事情还要持续深入地推进下去。电子邮件服务规范是一个起步,我们还会在互联网上的其它各个方面逐步规范服务,让互联网用户相信网上提供的服务是可以信赖的,使互联网不再是家长的敌人。在网络变得可信和让人放心之后,家长和老师才能放心让孩子自由地在网上冲浪。
网络滥用行为已经是全球化的一个趋势。现在已形成国际垃圾邮件发送者组织,由垃圾邮件的制造者、订单采集者、他的合伙人一起通过这种方式将垃圾邮件发送给世界各地,规避各国已经制订的反垃圾邮件法律。例如,他们从美国接受全球订单,搜集整理电子邮件地址,再发到加拿大中介人那里,由中介人分配订单并制订结算办法,中介人再把订单发到中国或韩国,由他的合作者或代理人通过在国内注册的大量域名和虚拟主机转发垃圾邮件回美国。转发回美国的目的就是为了规避美国国内已经制订的法律。垃圾邮件仅仅是其中的一个问题,网上的滥用行为使互联网上全球化和国际性的犯罪组织正逐步形成。所以在这个阶段我们要在反对网上滥用行为的立法、管理和政策等一系列方面加快采取措施。随着垃圾邮件的出现,又出现了一些反垃圾邮件组织,他们公布黑名单,试图把垃圾邮件挡在自己的邮箱用户之外,但由于公布黑名单在全球没有形成一个统一的规范和基本规则,所以公布的黑名单在很多情况下是公布了大量的IP地址段。中国互联网协会也在公布黑名单,是哪一个地址发了垃圾邮件就公布哪一个地址。而Spamhaus和Spamcop这些组织公布的黑名单是一段一段的地址段,这些地址段中有可能包括128个、256个甚至几万个中国的IP地址,他认为在这些IP地址段中有一些相连的地址发出了垃圾邮件,所以整个地址段都被当作是垃圾邮件的发送源。全世界几十万个邮件服务商就会根据他公布的IP地址把中国这个地址段的信息全部屏蔽掉。在这个网段上我们确实有个别用户,比如几个或十几个用户发送了垃圾邮件,其结果是导致这个网段上几十万甚至上百万用户正常的邮件通信被中断。所以我们既要制定反垃圾邮件的政策,又要向国际呼吁和反复沟通,反对公布地址段的办法。因为在地址资源分配时对中国就不公平,我们有大量的动态IP地址在使用,这不仅仅是对中国,对发展中国家都是不公平的。七月份我们参与ITU会议时,赞比亚代表站起来就说反对垃圾邮件的行为我们支持,但是现在出现发达国家向发展中国家转嫁垃圾邮件的问题。赞比亚全国的IP地址已经全部被列入黑名单,它所有的对外通信已经全部被阻断了。发达国家有很充足的IP地址,它并不担心某一地址段有问题,而且它很少使用动态IP。只有IP地址不充足的国家才面临这些问题,这不公平也不公正。互联网上尽管有很多好的东西,但是有许多东西是大家平常不会遇到的,背后是国与国之间经济利益、各个方面利益的冲突。
未来比较明显的趋势是宽带业务和各种移动终端的普及,如可照相手机越来越多,实际上这对网络带宽和频谱产生了巨大的需求。整个宽带的建设和应用将进一步推动网络的整体发展。IPv6和网格等下一代互联网技术的研发和建设将在今后取得比较明显的进展。另一方面,从去年我们组织“中国互联网发展报告”的过程中看到,中国互联网的制造业在网络设备方面的研发已经取得了很多突破,包括现在在高、中、低端路同器产品方面都已经有具有自主知识产权的产品出现。我们现在有许多邮件服务商、技术提供商在网络标准方面进行积极的研究和开发。这个方面是我们在国际方面要加强的内容。另一方面是互联网和传统产业更加紧密地结合起来,这种结合随着电子政务的普及、随着相关法律措施的完善,象前一段时间通过的电子签名法,逐步使得电子商务真正能够在建立了社会信用机制的基础之上开展起来。大量电子社区的出现也使互联网的应用也越来越广泛。互联网经营和生存的模式也将更加丰富。互联网产业的从业者以今后的发展具有坚定的信息。从以往看,大家在网上更多的是浏览信息、使用电子邮件、玩网络游戏,把互联网更多地当作自己的一个高级的信息技术玩具,随着互联网的发展,玩具能够变成工具,成为人们日常生活、工作离不开的工具。电子政务的推进会推动这样一个进程。网络服务会逐步规范化,这个规范是一个长期的过程,不是一两天就能实现的,也不是政府下达文件指令或行业组织号召一下就能实现的,它需要从业者的认识,当大家都意识到,当大家都规范起来并能够在这个产业里很好地生存时,这个规范才有实际的价值。网络的应用也更加开放,这个开放指的是各个方面,包括社会事务方面,有许多政府网站已经将其事务到网站上去,如征求意见、地方基层选举等,这些使网络的应用更加开放和多样化。尽管对网络安全技术的研究越来越深入,但是网络自身的特点,即它的简单性、便宜性,使得它的安全问题仍然很突出。尤其是IPv6出现以后,它的安全性、服务质量会有更大提高,在将来一段时间针对IPv6的网络安全问题也会出现。我们希望网络信息要人为本,尤其是今年互联网大会的一个主题是构建一个繁荣诚信的互联网,互联网做为一个信息平台它的用户主流50%以上是30岁以下青少年,那么为青少年建设的网络应该是一个可信、健康的网络,它应该成为青少年成长过程中的朋友和助手。科普网站和提供精神食粮信息资源开发的单位在这方面还要做大量的工作。希望学校老师、家长成为应用互联网的行家里手,不应该害怕使用互联网。现在孩子对互联网的使用要比家长熟练,这也是家长不让孩子上网的一个重要原因。我们希望将来家长了解哪些网站对孩子是有益的,能够指导他们浏览什么样的网站。这样,学校老师和家长对互联网学习将成为热潮。PFP业务将来对网络结构和网络安全会产生重大影响,这是互联网技术开发和政策管制部门所关心的。网络教育将是下一个互联网业务的热点问题,网络搜索,大容量电子邮件,电子商务平台,移动互联网,无线局域网,网络资源信息开发等业务都将成为互联网业务的热点问题。功能比较强大的个人终端以及共享信息资源这些将来会出现。
参考资料:http://www.kepu629.cn/showthread.asp?id=49&thistype=%D1%A7%CA%F5%BD%BB%C1%F7
E. 网络病毒过滤规则 国外发展趋势
防火墙包过滤技术发展趋势 。2. 防火墙的体系结构发展趋势 。3. 防火墙的系统管理发展趋势 防火墙的系统管理也有一些发展趋势,主要体现在以下几个方面: (1). 首先是集中式管理,分布式和分层的安全结构是将来的趋势。集中式管理可以降低管理成本,并保证在大型网络中安全策略的一致性。快速响应和快速防御也要求采用集中式管理系统。目前这种分布式防火墙早已在Cisco(思科)、3Com等大的网络设备开发商中开发成功,也就是目前所称的"分布式防火墙"和"嵌入式防火墙"。关于这一新技术在本篇下面将详细介绍。(2). 强大的审计功能和自动日志分析功能。这两点的应用可以更早地发现潜在的威胁并预防攻击的发生。日志功能还可以管理员有效地发现系统中存的安全漏洞,及时地调整安全策略等各方面管理具有非常大的帮助。不过具有这种功能的防火墙通常是比较高级的,早期的静态包过滤防火墙是不具有的(3). 网络安全产品的系统化 随着网络安全技术的发展,现在有一种提法,叫做"建立以防火墙为核心的网络安全体系"。因为我们在现实中发现,仅现有的防火墙技术难以满足当前网络安全需求。通过建立一个以防火墙为核心的安全体系,就可以为内部网络系统部署多道安全防线,各种安全技术各司其职,从各方面防御外来入侵。如现在的IDS设备就能很好地与防火墙一起联合。一般情况下,为了确保系统的通信性能不受安全设备的影响太大,IDS设备不能像防火墙一样置于网络入口处,只能置于旁路位置。而在实际使用中,IDS的任务往往不仅在于检测,很多时候在IDS发现入侵行为以后,也需要IDS本身对入侵及时遏止。显然,要让处于旁路侦听的IDS完成这个任务又太难为,同时主链路又不能串接太多类似设备。在这种情况下,如果防火墙能和IDS、病毒检测等相关安全产品联合起来,充分发挥各自的长处,协同配合,共同建立一个有效的安全防范体系,那么系统网络的安全性就能得以明显提升。目前主要有两种解决办法:一种是直接把IDS、病毒检测部分直接"做"到防火墙中,使防火墙具有IDS和病毒检测设备的功能;另一种是各个产品分立,通过某种通讯方式形成一个整体,一旦发现安全事件,则立即通知防火墙,由防火墙完成过滤和报告。目前更看重后一种方案,因为它实现方式较前一种容易许多。分布式防火墙技术在前面已提到一种新的防火墙技术,即分布式防火墙技术已在逐渐兴起,并在国外一些大的网络设备开发商中得到了实现,由于其优越的安全防护体系,符合未来的发展趋势,所以这一技术一出现便得到许多用户的认可和接受。下面我们就来介绍一下这种新型的防火墙技术。因为传统的防火墙设置在网络边界,外于内、外部互联网之间,所以称为"边界防火墙(Perimeter Firewall)"。随着人们对网络安全防护要求的提高,边界防火墙明显感觉到力不从心,因为给网络带来安全威胁的不仅是外部网络,更多的是来自内部网络。但边界防火墙无法对内部网络实现有效地保护,除非对每一台主机都安装防火墙,这是不可能的。基于此,一种新型的防火墙技术,分布式防火墙(Distributed Firewalls)技术产生了。它可以很好地解决边界防火墙以上的不足,当然不是为每对路主机安装防火墙,而是把防火墙的安全防护系统延伸到网络中各对台主机。一方面有效地保证了用户的投资不会很高,另一方面给网络所带来的安全防护是非常全面的我们都知道,传统边界防火墙用于限制被保护企业内部网络与外部网络(通常是互联网)之间相互进行信息存取、传递操作,它所处的位置在内部网络与外部网络之间。实际上,所有以前出现的各种不同类型的防火墙,从简单的包过滤在应用层代理以至自适应代理,都是基于一个共同的假设,那就是防火墙把内部网络一端的用户看成是可信任的,而外部网络一端的用户则都被作为潜在的攻击者来对待。而分布式防火墙是一种主机驻留式的安全系统,它是以主机为保护对象,它的设计理念是主机以外的任何用户访问都是不可信任的,都需要进行过滤。当然在实际应用中,也不是要求对网络中每对台主机都安装这样的系统,这样会严重影响网络的通信性能。它通常用于保护企业网络中的关键结点服务器、数据及工作站免受非法入侵的破坏
F. 我国计算机病毒犯罪研究现状,急用!!!!
计算机病毒(Computer Virus)是指编制或在计算机程序中插入破坏计算机功能或毁坏数据,影响计算机使用并能自我复制的一种指令或程序代码。它具有可隐藏性、可传播性、可潜伏性、可激发性和巨大危害性等特征。特别是在网络环境下,计算机病毒更易于传播,其危害性更大。因而,本文试图从这一角度出发探讨在网络环境下制作、传播计算机病毒犯罪的现状、成因及因此应采取的立法对策。
一、网络环境下制作、传播计算机病毒犯罪的现状
计算机病毒最早产生于美国电报电话公司的贝尔实验室,目前全世界已发现的计算机病毒已达上万种之多。我国自1989年发现病毒,迄今已发现的病毒数以千计,其中也有许多“国产”病毒。随着计算机网络技术的发展,网络在提供信息共享与便捷的同时,也为计算机病毒的传播提供了良好的环境,因而其破坏性更为巨大。在当今网络环境下计算机病毒的犯罪趋势主要表现为:
1.计算机病毒犯罪在网络环境下带来的经济损失呈上升趋势。计算机病毒产生之初,人们对其危害性往往认识不清,自1988年下半年莫里斯(Morris)制作的“因特网蠕虫”病毒致使美国军方计算机网络全面瘫痪,其经济损失达六千万美元后,人们才开始关注它。随着网络的民用化,网络取得了突飞猛进的发展,给人们带来信息的便利,展示了21世纪信息社会的巨大魅力。但计算机病毒似乎与网络“形影相连”,给人们巨大的警示:网络不是净土。
1999年“曼里沙”(Melissa)病毒借助英特网通过电子邮件而造成全世界大批网络瘫痪。同年4月26日爆发的“CIH”病毒对全球六千多万台计算机造成严重损害,仅我国的经济损失便超过亿元人民币。2000年5月4日“爱虫”病毒再次泛滥全球,其经济损失高达百亿美元。上列数据表明,计算机病毒犯罪的经济危害触目惊心。
2.网络环境下制作、传播计算机病毒犯罪破案率低,犯罪黑数呈现扩张态势。据调查,世界各国尤其是发达国家的计算机犯罪问题严重,通过国际互联网制作、传播计算机病毒犯罪急剧增多,每年以400%的速度递增,而被发现的犯罪只占其中的4%,被刑事起诉的仅占1%。随着计算机在我国的普及与应用,互联网获得了飞速发展,计算机病毒犯罪也日益成为社会危害性最大、最凶恶的犯罪之一,而破获率极低。
3.计算机病毒犯罪在网络环境下给国家安全、社会公共安全带来日趋严重的挑战。由于政府上网工程的完成。许多企业、公用事业单位在互联网上建有自己的网站或与之联结在一起,因此,计算机病毒在互联网上的泛滥对国家安全、社会公共安全产生了前所未有的危害。首先,它严重威胁了国家安全,有些敌对势力利用计算机病毒攻击政府重要部门的计算机系统,有些人侵的计算机病毒泄露国家机密。如某一游击队利用E-mail病毒攻击斯里兰卡驻某大使馆,使该使馆在相当一段时间内不能使用E-mail。再如海湾战争期间,美国就曾利用计算机病毒通过互联网破坏了伊拉克的重要军事指挥系统。其次,它危及社会公共安全。当计算机病毒侵入供电公司的计算机系统时,它将使供电中断,可能导致医院正在进行的手术的失败;它可使通讯混乱,使交通停滞……如我国发生的上海某通讯公司因病毒发作而使其寻呼机客户信息全部丢失或破坏,致使其不能正常运行。
二、网络环境下计算机病毒犯罪激增之成因
1.网络空间(Cyberspace)为计算机病毒的制作、传播提供了更好的外部环境。网络是一个没有城墙,甚至没有物质存在的虚拟空间,它将全世界的人际关系、财富、权力、企业和政府以数据存在的方式和即时流通与互动的形式联系在一起,它已逐渐融入人们的生活,在这里,你可以通过它成为现实生活的一部分。每天在互联网上流动的信息是难以统计的。其传播速度也是非常之快,这些都是计算机病毒造成巨大损失的原因之一。当今,由于宏病毒的出现与互联网的优良环境,E-mail已成为计算机病毒传播的主要方式之一,如“曼里沙”病毒、“爱虫”病毒等。“曼里沙”病毒借助于互联网通过电子邮件传播,该病毒能从收件用户的通信簿上选择50个地址并复制50份发出去,带病毒的电子邮件只需看五次,即可感染上亿台计算机。此外,病毒交换电子广告牌、病毒交换网。病毒分配站点、病毒分配机器人和文件服务器出现,是制作、传播计算机病毒犯罪在网络环境下的“温床”和“助推器”。
2.在网络环境下,计算机病毒犯罪的调查取证更为困难。计算机犯罪的证据只存在于虚拟的空间中,是以储存器内部的数字形式表现的,由于它在计算机系统中销毁或自然删除是极为容易的;有些罪证只是几比特(Byte)信息图案;并且互联网联接了世界各地的计算机,异地作案的可能性很大,在这种情况下取证则难上加难。第二,计算机病毒一般具有潜伏期和可诱发性,如CIH病毒在每年的4月26日发作便是一个例子。因此,在病毒发作之前,犯罪者有足够的时间销毁证据。在互联网上冲浪的人们所关心的一般只是其获取的信息,较少注意计算机内部数据的变化;而病毒对计算机的入侵在外表看来可与正常一样。第三,犯罪者制作、传播计算机病毒可以通过计算机技术隐匿自己的身份,加之互联网广泛使用匿名服务器,因而侦破犯罪很困难。第四,计算机病毒犯罪称为“白领犯罪”、“高智力犯罪”,犯罪者一般掌握了高超的计算机技术,这需要司法机关必须具有足够的专业知识的人员才有可能进行侦查取证;而这在我国当前的司法队伍中是一个亟待解决的问题。
3.网络环境下人们对本罪的认识存在模糊。电子计算机病毒犯罪自产生之日起,便呈现出低龄态势,其中许多是未满18周岁甚至不满16周岁的青少年,并且许多行为人也并不把自己的行为看作“犯罪”,而是一种挑战。这样一来,即便是破获犯罪,其所面临的刑事起诉又是非常少了。
4.网络给传统法律带来巨大的挑战,法律的不完善性也为犯罪提供了条件。网络给人们带来了一个崭新的世界,展示了新世纪的巨大魅力,但互联网诞生的时间不长,民用化至今才短短十多年,在这种情况下,法律管制的滞后是难免的,对一借助互联网制作、传播计算机病毒所产生的巨大危害认识不足,从而导致打击不力也是其泛滥的另一重要原因。
三、我国法律中“制作、传播计算机病毒罪”概述
1.我国刑法的规定
我国1997年刑法第286条第3款规定了“制作、传播计算机病毒等破坏性程序罪”,它是指故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的行为。根据该款规定,犯有本罪的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。(1)刑法第286条规定的是“破坏计算机信息系统罪”,第三款通常称为“制作、传播破坏性计算机程序罪”。(2)本罪为结果犯。本罪须其行为影响计算机系统正常运行,且后果严重。后果严重一般包括二类:造成了重大的经济损失;危害了国家安全和公共安全;造成了人身伤亡事故等。(3)本罪主体为一般主体。绝大多数是精通程序设计的技术人员。(4)本罪主观须为故意,过失行为不构成本罪,既无过失又无故意的行为不构成本罪,纯为自我娱乐或善意图的也不构成本罪。(5)本罪的刑事措施主要有两种:有期徒刑和拘役。
2.《全国人民代表大会常务委员会关于维护互联网安全运行的决定》(以下简称《决定》)的规定。
面对日趋严重互联犯罪,2000年12月28日通过的《决定》具有重要的意义。《决定》第一条第二款对在互联网“故意制作、传播计算机病毒等破坏性程序”的行为进行了规范。根据该条,网络环境下的该种行为构成犯罪的,应依据我国刑法第286条第3款的规定追究刑事责任。由此看出,本罪的犯罪构成,除客观上增加了“危害互联网的运行安全”外,与刑法第286条第3款的规定没有实质不同。
四、网络环境下我国法律规定的局限性及其立法完善之思考
由于计算机病毒的强再生性、可传播性等特征,随着互联网的日趋广泛化、社会化,制作。传播计算机病毒的破坏性是难以估计的。由于我国法律规范滞后,人们认识不清,往往不利于打击犯罪。在网络环境下,我国现行刑法第286条第3款更显其局限性。
1.罪名。刑法第286条规定的犯罪按最高人民法院的司法解释为“破坏计算机信息系统罪”,它其实包括破坏计算机信。急系统功能罪、破坏计算机信息系统数据及应用程序罪、制作、传播计算机病毒等破坏性程序罪。很明显,该罪名不足以威慑犯罪者,不足以引起人们对计算机病毒危害性的认识。首先,制作、传播计算机病毒等破坏性程序罪与前二者之间存在着不同的性质。计算机病毒犯罪是针对不特定的计算机信息系统的功能、数据及应用程序,在网络环境下因其易于传播等原因,其危害性往往大于针对特定的计算机信息系统犯罪。其次,制作传播计算机病毒罪与制作、传播计算机破坏性程序罪也应区分规定。刑法第286条第三款规定的“破坏性程序”之范围除了计算机病毒外,还有其他非病毒的破坏性程序,它主要指特洛伊木马术(Trojan horse)、逻辑炸弹(Logic bombs)、寄生术(Worms Similar to Zapping)、野兔(Rabbit)等,它们与病毒的主要区别在于后者往往缺乏自我复制能力或不具有感染性,因而后者的破坏性可能只针对特定的计算机,如针对非法使用盗版的用户等,其影响可能少于前者。因此,两者之间存在重要区别,似乎分别规定为科学。第三,独立的“制作、传播计算机病毒罪”有助于人们认识计算机病毒的巨大危害,警诫犯罪者控制其行为。从社会道德压力来看,该罪名的确立,有助于人们提高对计算机病毒的认识态度,有助于人们采取各种安全技术措施保护自己的信息系统免于破坏,有助于形成对犯罪者的外部道德压力。从犯罪者本身来看,尽管其犯罪动机多种多样,或显示才华,成防止非法拷贝,或出于政治军事目的,或为获取不当利益,或是恶作剧,但许多人都认为其行为不是犯罪,或认为其犯罪成本很低,甚至为零。在网络环境下,犯罪者则因其行为不易觉察,侦查取证非常困难,法律处罚不重致使计算机病毒犯罪越演越烈,独立的法律规定能增大犯罪者的心理压力,提高其预期的犯罪成本。第四,无论是美国的单行特别法规定,德国集中章节规定还是日本的分散规范,制作、传播计算机病毒罪都是一个独立的罪名,由于计算机犯罪的独特性,特别法或专有章节规范具有合理性。我国刑法关于计算机犯罪的条文过少,因此应该在相关章节中将刑法第286条第3款单独设立为一条规范。基于上述理由,制作、传播计算机病毒罪的独立并将刑法第286条第3款分为两款予以规定是切实可行的。
2.本罪为结果犯,存在着不合理性。计算机病毒具有潜伏性,它是指计算机病毒侵入系统后,除对程序、文件或系统进行感染外,一段时间不产生任何破坏活动。计算机病毒的潜伏期有的很长,有的较易外露,前者的破坏性因其不露声色而更为巨大。通过网络传播的计算机病毒罪必须要有严重后果的出现。因此,本罪只存在即遂状态,而不存在犯罪预备、未遂和中止状态的问题。这是明显不合理的。此其一。第二、根据该款的规定,该罪的构成必须是行为人的行为影响了计算机系统的正常运行,造成严重后果。如果病毒只是在于删掉或破坏计算机存储的一般数据,很明显,它不影响计算机系统的正常运行。根据本款,该种行为是不能构成本罪的,但很难说这种病毒设有造成用户的损失。
3.刑罚措施存在单一性的缺陷。如前所述,我国刑法对制作、传播计算机病毒罪的刑罚措施主要规定了自由刑即有期徒刑和拘役两种,这种单一刑罚措施不利于遏制网络环境下日趋严重的病毒犯罪。第一,本罪主体可分为贪利型(利用计算机病毒谋取不当利益)、无聊型(显示所谓才华或恶作剧)以及政治型(出于政治、军事目的人因此,为有效打击这些犯罪,有必要针对不同的类型适用不同的刑罚措施,即还应规定财产刑和资格刑。(1)财产刑,主要包括罚金和没收财产,它意在增加犯罪者在犯罪时对经济上的预期成本,通过倍比罚金制度惩戒与预防犯罪,剥夺财产以消除再犯的物质基础;(2)资格刑,指剥夺犯罪者的从业资格,禁止其进入互联网或者从事互联网经营的活动,从而防止其再犯。第二,网络环境下的本罪适用财产刑和资格刑,与本罪主体的特征相适应。首先,制作计算机病毒需要行为人熟练的编程能力;传播计算机病毒虽然任意自然人均可,但同样需要掌握一定的计算机技术。对这一类“白领犯罪”适用财产刑和资格刑能有效惩戒与预防犯罪。其次,本罪主体呈现低龄化态势,许多未满18周岁甚至未满16周岁的行为人在单一自由刑下有时很能难起到惩戒与预防作用;而资格刑或财产刑的适用助于改造犯罪行为人,以利于行为人的健康成长。譬如,对于未达刑事责任年龄的行为人适用资格刑,除在监视人监视情形下,禁止其接触计算机便是一种较好的措施。第三,网络环境下的本罪适用财产刑和资格刑,具有可行性。从司法实践来看,对于贪利型犯罪适用财产刑,既具有威慑力,又便于执行;对于其他类型犯罪适用资格刑也能很方便地得到实现。第四,从国外实践来看,对于制作、传播计算机病毒犯罪的惩罚,广泛适用自由刑、财产刑和资格刑,甚至适用死刑。对于制作、传播计算机病毒罪的单位采取“双罚制”,即对单位及其主管人员或直接责任人员均予刑罚处罚。因此,借鉴国内外立法,在我国刑法中增设财产刑和资格刑是符合世界的发展趋势的。
4.本罪主体为一般主体不利于遏制犯罪。本罪的构成须年满16周岁,具有刑事责任能力,但从国内外已经发现的制作、传播计算机病毒犯罪案件来看,罪犯呈现低龄化趋势,其中许多未满16周岁的青少年。据统计,犯罪行为人年龄在14周岁以上16周岁以下的15%左右,全部行为人的平均年龄只有20岁。为有效警戒该类人群的犯罪行为,对其行为进行惩戒有助于遏制犯罪。因此,有必要针对该类人群的犯罪特点而适用适宜于少年犯的刑事制裁。
G. 历史计算机病毒事件
1、最初"计算机病毒"这一概念的提出可追溯到七十年代美国作家雷恩出版的《P1的青春》一书,书中构思了一种能够自我复制,利用通信进行传播的计算机程序,并称之为计算机病毒。
2、贝尔实验室的三位年轻程序员也受到冯?诺依曼理论的启发,发明了"磁芯大战"游戏。
3、1983 年 11月,在一次国际计算机安全学术会议上,美国学者科恩第一次明确提出计算机病毒的概念,并进行了演示。
4、世界上公认的第一个在个人电脑上广泛流行的病毒是1986年初诞生的大脑(C-Brain)病毒,编写该病毒的是一对巴基斯坦兄弟,两兄弟经营着一家电脑公司,以出售自己编制的电脑软件为生。当时,由于当地盗版软件猖獗,为了防止软件被任意非法拷贝,也为了追踪到底有多少人在非法使用他们的软件,于是在1986年年初,他们编写了"大脑(Brain)"病毒,又被称为"巴基斯坦"病毒。该病毒运行在DOS操作系统下,通过软盘传播,只在盗拷软件时才发作,发作时将盗拷者的硬盘剩余空间吃掉。
5、1988年11月美国国防部的军用计算机网络遭受莫里斯病毒袭击,致使美国Internet网络上6000多计算机感染,直接经济损失9600万美元。莫里斯病毒是由康乃尔大学23岁的罗特?莫里斯制作。后来出现的各类蠕虫,都是仿造了莫里斯蠕虫,以至于人们将该病毒的编制者莫里斯称为"蠕虫之父"。
6、1999年 Happy99、美丽杀手(Melissa)等完全通过Internet传播的病毒的出现标志着Internet病毒将成为病毒新的增长点。其特点就是利用Internet的优势,快速进行大规模的传播,从而使病毒在极短的时间内遍布全球。
7、CIH病毒是继DOS病毒的第四类新型病毒,CIH这三个字母曾经代表着灾难。1998年8月从台湾传入大陆,共有三个主要版本:1.2版/1.3版/1.4版,发作时间分别是4月26日、6月26日、每月26日。该病毒是第一个直接攻击、破坏硬件的计算机病毒,是迄今为止破坏最为严重的病毒。
CIH病毒制造者 陈盈豪 曾有两次精神科门诊记录,被人们认为是"电脑鬼才"。
8、2000年的5月,通过电子邮件传播的"爱虫"病毒迅速在世界各地蔓延,更大规模的发作,造成全世界空前的计算机系统破坏。 I LOVE YOU爱虫病毒是使用VB Script程序语言编写的病毒,它主要是通过一封信件标题为"I LOVE YOU"的电子邮件传播的。一旦执行附加文件,病毒会获取Outlook通讯录的名单,并自动发出"I LOVE YOU"电子邮件,从而导致网络阻塞。破坏性:爱虫病毒的传播会导致网络瘫痪,病毒发作时,还会把*.mp3、*.jpg等10种文件改为*.vbs,并传染覆盖这些文件。
与爱虫病毒相似的网络病毒还有Melissa(美丽杀手病毒)等。
9、着名的"黑色星期五"病毒在逢13号的星期五发作。
10、2001年9月18日出现的Nimda病毒则是病毒演变过程中的另一个里程碑,它首次利用了系统中的漏洞对互联网发起攻击,具备了典型的黑客特征。它的出现意味着,混合着多种黑客手段的病毒从此诞生。
尼姆达是一种新型的、复杂的、发送大量邮件的蠕虫病毒,它通过网络进行传播。尼姆达病毒总是伪装成一封主题行空缺的电子邮件展开对计算机的侵袭。打开这封"来历不明"的电子邮件,就会发现随信有一个名为readme.exe(即可执行自述文件)的附件,如果该附件被打开,尼姆达就顺利地完成了侵袭电脑的第一步。接下来,该病毒不断搜索局域网内共享的网络资源,将病毒文件复制到用户计算机中,并随机选择各种文件作为附件,再按照用户储存在计算机里的邮件地址发送病毒,以此完成病毒传播的一个循环过程。
11、2002年,求职信Klez病毒,邮件病毒,主要影响微软的Outlook Express用户。
12、"附件在哪啊?你找到我吗?放心打开来,这是一个重要文件,可以查杀QQ病毒的专杀工具请查收附件。"如果你收到一封这样的电子邮件,千万不要打开,这是国内第一例中文混合型病毒,会导致电脑里的各种密码,包括操作系统、网络游戏、电子邮件的各种密码被窃取。
13、冲击波,2003年8月11日,冲击波席卷全球,利用微软网络接口RPC漏洞进行传播,造成众多电脑中毒,机器不稳定,重启,死机,部分网络瘫痪,没打过补丁的WINDOWS操作系统很难逃出它的魔爪。
14、震荡波:具有类似冲击波的表现形式,感染的系统重新启动计算机,原因是给蠕虫病毒导致系统文件lsess.Exe的崩溃。
15、小球病毒,作为Dos时代的老牌病毒,它也是国内流行起来的第一例电脑病毒。小球病毒可以险恶地控制电脑,使程序运行缓慢甚至无法运行。
特洛伊木马,一经潜入,后患无穷
据说在海湾战争中,美国防部一秘密机构曾对伊拉克的通讯系统进行了有计划的病毒攻击,一度使伊拉克的国防通讯陷于瘫痪。
1、MSN小丑(MsnFunny),自动向用户的msn发送消息和病毒
2、Word文档杀手:破坏文档数据,记录管理员密码。
3、雏鹰(BBeagle):木马程序,电子邮件传播,监测系统时间,2004年2月25日则自动退出。
4、好大(Sobig):1分钟300封病毒邮件
5、红色代码(I-Worm Redcode):感染对象,服务器,修改服务器网站网页
6、蓝色代码(Bluecode):启动多个进程,系统运行速度非常慢,cpu占用率急速上升,甚至瘫痪
7、密码杀手2004:通过键盘记录技术截取几乎所有登录窗口的输入信息,通过电子邮件发送给病毒作者。
8、挪威客(Mydoom.e):疯狂发送带毒邮件,随机删除计算机数据。
9、网络天空(Netsky):带毒邮件大量传播,消耗网络资源,影响企业的邮件服务器
10、武汉男生:qq发送诱惑信息,盗取传奇密码以邮件形式发给盗密码者,并结束多种反病毒软件。
11、证券大盗(PSW.Soufan):特洛伊木马,盗取多家证券交易系统的交易账户和密码。记录键盘信息的同时通过屏幕快照将用户资料已图片形式发送。
2008年度十大病毒/木马
根据病毒危害程度、病毒感染率以及用户的关注度,计算出综合指数,最终得出以下十大病毒/木马为2008年最具影响的十大病毒/木马。
1、 机器狗系列病毒
关键词:底层穿磁盘 感染系统文件
机器狗病毒因最初的版本采用电子狗的照片做图标而被网民命名为"机器狗",该病毒变种繁多,多表现为杀毒软件无法正常运行。该病毒的主要危害是充当病毒木马下载器,通过修改注册表,让大多数流行的安全软件失效,然后疯狂下载各种盗号工具或黑客工具,给广大网民的网络虚拟财产造成巨大威胁。
机器狗病毒直接操作磁盘以绕过系统文件完整性的检验,通过感染系统文件(比如explorer.exe,userinit.exe,winhlp32.exe等)达到隐蔽启动;通过底层技术穿透冰点、影子等还原系统软件导致大量网吧用户感染病毒,无法通过还原来保证系统的安全;通过修复SSDT、映像挟持、进程操作等方法使得大量的安全软件失去作用;联网下载大量的盗号木马。部分机器狗变种还会下载ARP恶意攻击程序对所在局域网(或者服务器)进行ARP欺骗影响网络安全。
2、AV终结者病毒系列
关键词:杀毒软件无法打开 反复感染
AV终结者最大特点是禁用所有杀毒软件以及大量的安全辅助工具,让用户电脑失去安全保障;破坏安全模式,致使用户根本无法进入安全模式清除病毒;强行关闭带有病毒字样的网页,只要在网页中输入"病毒"相关字样,网页遂被强行关闭,即使是一些安全论坛也无法登陆,用户无法通过网络寻求解决办法;在磁盘根目录下释放autorun.Inf,利用系统自播放功能,如果不加以清理,重装系统以后也可能反复感染。
2008年年末出现的"超级AV终结者"结合了AV终结者、机器狗、扫荡波、autorun病毒的特点,是金山毒霸"云安全"中心捕获的新型计算机病毒。它对用户具有非常大的威胁。它通过微软特大漏洞MS08067在局域网传播,并带有机器狗的穿还原功能,下载大量的木马,对网吧和局域网用户影响极大。
3、onlinegames系列
关键词:网游 盗号
这是一类盗号木马系列的统称,这类木马最大的特点就是通过ShellExecuteHooks启动,盗取流行的各大网络游戏(魔兽,梦幻西游等)的帐号从而通过买卖装备获得利益。这类病毒本身一般不会对抗杀毒软件,但经常伴随着超级Av终结者、机器狗等病毒出现。
4 、HB蝗虫系列木马
关键词:网游盗号
HB蝗虫病毒新型变种是金山毒霸"云安全"中心截获的年末最"牛"的盗号木马病毒。该系列盗号木马技术成熟,传播途径广泛,目标游戏非常的多(存在专门的生成器),基本囊括了市面上大多数的游戏,例如魔兽世界、大话西游onlineII、剑侠世界、封神榜II、完美系列游戏、梦幻西游、魔域等等。
该类木马主要通过网页挂马、流行病毒下载器传播。而传播此盗号木马的的下载器一般会对抗杀毒软件,造成杀毒软件不能打开、电脑反映速度变慢。
5 、扫荡波病毒
关键词:新型蠕虫 漏洞
这是一个新型蠕虫病毒。是微软"黑屏"事件后,出现的最具攻击性的病毒之一。"扫荡波"运行后遍历局域网的计算机并发起攻击,攻击成功后,被攻击的计算机会下载并执行一个下载者病毒,而下载者病毒还会下载"扫荡波",同时再下载一批游戏盗号木马。被攻击的计算机中"扫荡波"而后再向其他计算机发起攻击,如此向互联网中蔓延开来。据了解,之前发现的蠕虫病毒一般通过自身传播,而扫荡波则通过下载器病毒进行下载传播,由于其已经具备了自传播特性,因此,被金山毒霸反病毒工程师确认为新型蠕虫。
微软宣布"黑屏"后的第3天,紧急发布了MS08-067安全公告,提示用户注意一个非常危险的漏洞,而后利用该漏洞发动攻击的恶意程序不断涌现;10月24日晚,金山发布红色安全预警,通过对微软MS08-067漏洞进行详细的攻击原型模拟演示,证实了黑客完全有机会利用微软MS08-067漏洞发起远程攻击,微软操作系统面临大面积崩溃威胁;11月7日,金山再次发布预警,"扫荡波"病毒正在利用该漏洞进行大面积攻击;11月7日晚,金山已证实"扫荡波"实为一个新型蠕虫病毒,并发布周末红色病毒预警。
6、QQ盗圣
关键词:QQ盗号
这是QQ盗号木马系列病毒,病毒通常释放病毒体(类似于UnixsMe.Jmp,Sys6NtMe.Zys,)到IE安装目录(C:Program FilesInternet Explore),通过注册表Browser Helper Objects实现开机自启动。当它成功运行后,就把之前生成的文件注入进程,查找QQ登陆窗口,监视用户输入盗取的帐号和密码,并发送到木马种植者指定的网址。
7、RPC盗号者
关键词:不能复制粘贴
该系列木马采用替换系统文件,达到开机启动的目的,由于替换的是RPC服务文件rpcss.dll ,修复不当,会影响系统的剪切板、上网等功能。部分版本加入了反调试功能,导致开机的时候系统加载缓慢。
8、伪QQ系统消息
关键词:QQ系统消息,杀毒软件不能使用
经金山毒霸"云安全"检测为钓鱼程序,病毒最大的特点是伪装QQ系统消息,用户一旦点击,钱财及电脑安全将面临巨大威胁。
该病毒的综合破坏能力比较强,它利用AUTO技术自动传播,当进入电脑后就运行自带的对抗模块,尝试映像劫持或直接关闭用户系统中的安全软件。病毒还带有下载器的功能,可下载其它木马到电脑中运行。
9、QQ幽灵
关键词:QQ 木马下载器
此病毒查找QQ安装目录,并在其目录释放一个精心修改psapi.dll,当QQ启动的时候将会将这个dll文件加载(程序加载dll文件的顺序1:应用程序的安装目录2:当前的工作目录3:系统目录4:路径变量),从而执行恶意代码下载大量病毒到用户电脑。
10、磁盘机
关键词:无法彻底清除 隐蔽
磁盘机与AV终结者、机器狗极为相似。最大特点是导致大量用户杀毒软件和安全工具无法运行,进入安全模式后出现蓝屏现象;而且更为严重的是,由于Exe文件被感染,重装系统仍无法彻底清除。
磁盘机病毒主要通过网站挂马、U盘、局域网内的ARP传播等方式进行传播,而且非常隐蔽,病毒在传播过程中,所利用的技术手段都是用户甚至杀毒软件无法截获的。病毒一旦在用户电脑内成功运行后,会自动下载自己的最新版本以及大量的其他一些木马到本地运行,盗取用户虚拟资产和其他机密信息;同时该病毒会感染用户机器上的exe文件,包括压缩包内的exe文件,并会通过UPX加壳,导致用户很难彻底清除。
二、2008年计算机病毒、木马的特点分析
2008年是病毒、木马异常活跃的一年。从病毒传播的角度看2008年大量的病毒通过网页挂马方式进行传播,主要利用的是realplay,adobe flash和IE漏洞进行传播。从病毒的运作模式看2008年大量病毒采用的方式是下载器对抗安全软件,关闭安全软件然后下载大量盗号木马到用户电脑--盗取用户网游的账号发送到黑客的数据库。从病毒的危害来看2008年绝大多数流行的病毒都为网游盗号类木马,其次是远程控制类木马。
1、病毒制造进入"机械化"时代
由于各种病毒制作工具的泛滥和病毒制作的分工更加明细和程式化,病毒作者开始按照既定的病毒制作流程制作病毒。病毒制造进入了"机械化"时代。
这种"机械化"很大程度上得益于病毒制作门槛的降低和各种制作工具的流行。"病毒制造机"是网上流行的一种制造病毒的工具,病毒作者不需要任何专业技术就可以手工制造生成病毒。金山毒霸全球反病毒监测中心通过监测发现网络上有诸多此类广告,病毒作者可根据自己对病毒的需求,在相应的制作工具中定制和勾选病毒功能。病毒傻瓜式制作导致病毒进入"机械化"时代。
病毒的机械化生产导致病毒数量的爆炸式增长。反病毒厂商传统的人工收集以及鉴定方法已经无法应对迅猛增长的病毒。金山毒霸2009依托于"云安全"技术,一举实现了病毒库病毒样本数量增加5倍、日最大病毒处理能力提高100倍 、紧急病毒响应时间缩短到1小时以内,给用户带来了更好的安全体验。
2、病毒制造的模块化、专业化特征明显
病毒团伙按功能模块发外包生产或采购技术先进的病毒功能模块,使得病毒的各方面功能都越来越"专业",病毒技术得以持续提高和发展,对网民的危害越来越大,而解决问题也越来越难。例如年底出现的"超级AV终结者"集病毒技术之大成,是模块化生产的典型代表。
在专业化方面,病毒制造业被自然的分割成以下几个环节:病毒制作者、病毒批发商、病毒传播者、"箱子"批发商、"信封"批发商、"信封"零售终端。病毒作者包括有"资深程序员",甚至可能有逆向工程师。病毒批发商购买病毒源码,并进行销售和生成木马。病毒传播者负责将病毒通过各种渠道传播出去,以盗取有价值的QQ号码、游戏帐号、装备等。"箱子"批发商通过出租或者销售"箱子"(即可以盗取虚拟资产的木马,可以将盗取的号码收集起来)牟利,他们往往拥有自己的木马或者木马生成器。"信封"批发商通过购买或者租用"箱子",通过出售收获的信封牟利。"信封"零售终端负责过滤"信封"中收集到的有价值的虚拟资产并进行销售。每个环节各司其职,专业化趋势明显。
3、病毒"运营"模式互联网化
病毒团伙经过2008一年的运营已经完全转向互联网,攻击的方式一般为:通过网站入侵->写入恶意攻击代码->利用成为新型网络病毒传播的主要方式,网民访问带有挂马代码的‘正常网站'时,会受到漏洞攻击而‘不知不觉'中毒。这种传播方式的特点是快速、隐敝性强、适合商业化运营(可像互联网厂商一样精确统计收益,进行销售分成)。
例如 "机器狗"病毒,"商人"购买之后,就可以通过"机器狗"招商。因为机器狗本身并不具备"偷"东西的功能,只是可以通过对抗安全软件保护病毒,因此"机器狗"就变成了病毒的渠道商,木马及其他病毒都纷纷加入"机器狗"的下载名单。病毒要想加入这些渠道商的名单中,必须缴纳大概3000块钱左右的"入门费"。而"机器狗"也与其他类似的"下载器"之间互相推送,就像正常的商业行为中的资源互换。这样,加入了渠道名单的病毒就可以通过更多的渠道进入用户的电脑。病毒通过哪个渠道进入的,就向哪个渠道缴费。
此外,病毒的推广和销售都已经完全互联网化。病毒推广的手法包括通过一些技术论坛进行推广,黑客网站也是推广的重要渠道,此外还包括网络贴吧、QQ群等渠道进行推广。其销售渠道也完全互联网化,销售的典型渠道包括:公开拍卖网站,比如淘宝、易趣等。还有通过QQ直销,或者通过专门网站进行销售。
4、病毒团伙对于"新"漏洞的利用更加迅速
IE 0day漏洞被利用成2008年最大安全事件。当ms08-67漏洞被爆光后部分流行木马下载器就将此漏洞的攻击代码集成到病毒内部实现更广泛的传播。而年底出现的IE0day漏洞,挂马集团从更新挂马连接添加IE 0day漏洞攻击代码到微软更新补丁已经过了近10天。期间有上千万网民访问过含有此漏洞攻击代码的网页。
此外,2008年Flash player漏洞也给诸多网民造成了损失。由于软件在自身设计、更新、升级等方面的原因,存在一些漏洞,而这些漏洞会被黑客以及恶意网站利用。在用户浏览网页的过程中,通过漏洞下载木马病毒入侵用户系统,进行远程控制、盗窃用户帐号和密码等,从而使用户遭受损失。
金山毒霸团队密切关注windows系统软件漏洞和第三方应用软件漏洞信息,及时更新漏洞库信息,同时金山清理专家采用P2SP技术,大大提高了补丁下载的速度,减少了用户电脑的风险暴露时间。
5、 病毒与安全软件的对抗日益激烈
在病毒产业链分工中,下载器扮演了‘黑社会'的角色,它结束并破坏杀毒软件,穿透还原软件,‘保护'盗号木马顺利下载到用户机器上,通过‘保护费'和下载量分脏。下载者在2008年充当了急先锋,始终跑在对抗杀毒软件的第一线,出尽风头且获得丰厚回报。
从‘AV终结者'的广泛流行就不难看出,对抗杀毒软件已经成为下载者病毒的‘必备技能'。
纵观08年的一些流行病毒,如机器狗、磁盘机、AV终结者等等,无一例外均为对抗型病毒。而且一些病毒制作者也曾扬言"饿死杀毒软件"。对抗杀毒软件和破坏系统安全设置的病毒以前也有,但08年表现得尤为突出。主要是由于大部分杀毒软件加大了查杀病毒的力度,使得病毒为了生存而必须对抗杀毒软件。这些病毒使用的方法也多种多样,如修改系统时间、结束杀毒软件进程、破坏系统安全模式、禁用windows自动升级等功能。
病毒与杀毒软件对抗特征主要表现为对抗频率变快,周期变短,各个病毒的新版本更新非常快,一两天甚至几个小时更新一次来对抗杀毒软件。
金山毒霸通过强化自保护功能,提高病毒攻击的技术门槛。目前,金山毒霸云安全体系可以做到病毒样本的收集、病毒库更新测试和升级发布全无人值守,自动化的解决方案以应对病毒传播制作者不断花样翻新的挑战。
三、2009年计算机病毒、木马发展趋势预测
1、0Day漏洞将与日俱增
2008年安全界关注的最多的不是Windows系统漏洞,而是每在微软发布补丁随后几天之后,黑客们放出来的0Day 漏洞,这些漏洞由于处在系统更新的空白期,使得所有的电脑都处于无补丁的可补的危险状态。
黑客在尝到0day漏洞攻击带来的巨大感染量和暴利以后会更加关注于0day漏洞的挖掘,2009年可能会出现大量新的0day漏洞(含系统漏洞及流行互联网软件的漏洞),病毒团伙利用0day漏洞的发现到厂商发布补丁这一时间差发动漏洞攻击以赚取高额利润。
2、网页挂马现象日益严峻
网页挂马已经成为木马、病毒传播的主要途径之一。入侵网站,篡改网页内容,植入各种木马,用户只要浏览被植入木马的网站,即有可能遭遇木马入侵,甚至遭遇更猛烈的攻击,造成网络财产的损失。
2008年,网站被挂马现象屡见不鲜,大到一些门户网站,小到某地方电视台的网站,都曾遭遇挂马问题。伴随着互联网的日益普及,网页挂马已经成为木马、病毒传播的主要途径之一的今天,金山毒霸反病毒工程师预测2009年网络挂马问题将更加严峻,更多的网站将遭遇木马攻击。
3、病毒与反病毒厂商对抗将加剧
随着反病毒厂商对于安全软件自保护能力的提升,病毒的对抗会越发的激烈。病毒不再会局限于结束和破坏杀毒软件,隐藏和局部‘寄生'系统文件的弱对抗性病毒将会大量增加。
4、新平台上的尝试
病毒、木马进入新经济时代后,肯定是无孔不入;网络的提速让病毒更加的泛滥。因此在2009年,我们可以预估vista系统,windows 7系统的病毒将可能成为病毒作者的新宠;当我们的智能手机进入3G时代后,手机平台的病毒/木马活动会上升。软件漏洞的无法避免,在新平台上的漏洞也会成为病毒/木马最主要的传播手段。
四、2009年反病毒技术发展趋势
在病毒制作门槛的逐步降低,病毒、木马数量的迅猛增长,反病毒厂商与病毒之间的对抗日益激烈的大环境下,传统"获取样本->特征码分析->更新部署"的杀毒软件运营模式,已无法满足日益变化及增长的安全威胁。在海量病毒、木马充斥互联网,病毒制作者技术不断更新的大环境下,反病毒厂商必须要有更有效的方法来弥补传统反病毒方式的不足,"云安全"应运而生。
金山毒霸"云安全"是为了解决木马商业化的互联网安全角势应运而生的一种安全体系结构。它包括智能化客户端、集群式服务端和开放的平台三个层次。"云安全"是现有反病毒技术基础上的强化与补充,最终目的是为了让互联网时代的用户都能得到更快、更全面的安全保护。
首先稳定高效的智能客户端,它可以是独立的安全产品,也可以作为与其他产品集成的安全组件,比如金山毒霸 2009和网络安全中心等,它为整个云安全体系提供了样本收集与威胁处理的基础功能;
其次服务端的支持,它是包括分布式的海量数据存储中心、专业的安全分析服务以及安全趋势的智能分析挖掘技术,同时它和客户端协作,为用户提供云安全服务;
最后,云安全需要一个开放性的安全服务平台作为基础,它为第三方安全合作伙伴提供了与病毒对抗的平台支持,使得缺乏技术储备与设备支持的第三方合作伙伴,也可以参与到反病毒的阵线中来,为反病毒产业的下游合作伙伴提供商业上的激励,摆脱目前反病毒厂商孤军奋战的局面。
H. 计算机病毒的发展历程
自从1987年发现了全世界首例计算机病毒以来,病毒的数量早已超过1万种以上,并且还在以每年两千种新病毒的速度递增,不断困扰着涉及计算机领域的各个行业。计算机病毒的危害及造成的损失是众所周知的,发明计算机病毒的人同样也受到社会和公众舆论的谴责。也许有人会问:“计算机病毒是哪位先生发明的?”这个问题至今无法说清楚,但是有一点可以肯定,即计算机病毒的发源地是科学最发达的美国。
虽然全世界的计算机专家们站在不同立场或不同角度分析了病毒的起因,但也没有能够对此作出最后的定论,只能推测电脑病毒缘于以下几种原因:一、科幻小说的启发;二、恶作剧的产物;三、电脑游戏的产物;四、软件产权保护的结果.
IT行业普遍认为,从最原始的单机磁盘病毒到现在逐步进入人们视野的手机病毒,计算机病毒主要经历了六个重要的发展阶段。
第一阶段为原始病毒阶段。产生年限一般认为在1986-1989年之间,由于当时计算机的应用软件少,而且大多是单机运行,因此病毒没有大量流行,种类也很有限,病毒的清除工作相对来说较容易。主要特点是:攻击目标较单一;主要通过截获系统中断向量的方式监视系统的运行状态,并在一定的条件下对目标进行传染;病毒程序不具有自我保护的措施,容易被人们分析和解剖。
第二阶段为混合型病毒阶段。其产生的年限在1989-1991年之间,是计算机病毒由简单发展到复杂的阶段。计算机局域网开始应用与普及,给计算机病毒带来了第一次流行高峰。这一阶段病毒的主要特点为:攻击目标趋于混合;采取更为隐蔽的方法驻留内存和传染目标;病毒传染目标后没有明显的特征;病毒程序往往采取了自我保护措施;出现许多病毒的变种等。
第三阶段为多态性病毒阶段。此类病毒的主要特点是,在每次传染目标时,放入宿主程序中的病毒程序大部分都是可变的。因此防病毒软件查杀非常困难。如1994年在国内出现的“幽灵”病毒就属于这种类型。这一阶段病毒技术开始向多维化方向发展。
第四阶段为网络病毒阶段。从上世纪90年代中后期开始,随着国际互联网的发展壮大,依赖互联网络传播的邮件病毒和宏病毒等大量涌现,病毒传播快、隐蔽性强、破坏性大。也就是从这一阶段开始,反病毒产业开始萌芽并逐步形成一个规模宏大的新兴产业。
第五阶段为主动攻击型病毒。典型代表为2003年出现的“冲击波”病毒和2004年流行的“震荡波”病毒。这些病毒利用操作系统的漏洞进行进攻型的扩散,并不需要任何媒介或操作,用户只要接入互联网络就有可能被感染。正因为如此,该病毒的危害性更大。
第六阶段为“手机病毒”阶段。随着移动通讯网络的发展以及移动终端--手机功能的不断强大,计算机病毒开始从传统的互联网络走进移动通讯网络世界。与互联网用户相比,手机用户覆盖面更广、数量更多,因而高性能的手机病毒一旦爆发,其危害和影响比“冲击波”“震荡波”等互联网病毒还要大。
I. 当前计算机病毒有哪些新的发展
随着计算机技术的发展,计算机病毒也在不断发展,计算机病毒与反病毒技术就象敌我双方一样在相互牵制的过程中使自身不断发展壮大,而且从目前情况来看,计算机病毒总是主动的一方,我们在被动防御和抵抗中。nbsp;计算机病毒将呈现新的发展趋势:在给我们带来很多方便和帮助的同时,互联网、局域网已经成为计算机病毒传播的主要途径;在与反病毒技术的斗争中,计算机病毒的变形速度和破坏力不断地提高;混合型病毒的出现令以前对计算机病毒的分类和定义逐步失去意义,也使反病毒工作更困难了;病毒的隐蔽性更强了,不知不觉“中毒”带来的后果更严重;人们使用最多的一些软件将成为计算机病毒的主要攻击对象。nbsp;一、计算机网络(互联网、局域网)成为计算机病毒的主要传播途径,使用计算机网络逐渐成为计算机病毒发作条件的共同点nbsp;计算机病毒最早只通过文件拷贝传播,当时最常见的传播媒介是软盘和盗版光盘。随着计算机网络的发展,目前计算机病毒可通过计算机网络利用多种方式(电子邮件、网页、即时通讯软件等)进行传播。计算机网络的发展有助于计算机病毒的传播速度大大提高,感染的范围也越来越广。可以说,网络化带来了计算机病毒传染的高效率。这一点以“冲击波”和“震荡波”的表现最为突出。以“冲击波”为例,冲击波是利用RPCnbsp;DCOM缓冲溢出漏洞进行传播的互联网蠕虫。它能够使遭受攻击的系统崩溃,并通过互联网迅速向容易受到攻击的系统蔓延。nbsp;它会持续扫描具有漏洞的系统,并向具有漏洞的系统的135端口发送数据,然后会从已经被感染的计算机上下载能够进行自我复制的代码MSBLAST.EXE,并检查当前计算机是否有可用的网络连接。如果没有连接,蠕虫每间隔10秒对Internet连接进行检查,直到Internetnbsp;连接被建立。一旦Internet连接建立,蠕虫会打开被感染的系统上的4444端口,并在端口69进行监听,扫描互联网,尝试连接至其他目标系统的135端口并对它们进行攻击。与以前计算机病毒给我们的印象相比,计算机病毒的主动性(主动扫描可以感染的计算机)、独立性(不再依赖宿主文件)更强了。nbsp;二、计算机病毒变形(变种)的速度极快并向混合型、多样化发展nbsp;“震荡波”大规模爆发不久,它的变形病毒就出现了,并且不断更新,从变种A到变种F的出现,时间不用一个月。在人们忙于扑杀“震荡波”的同时,一个新的计算机病毒应运而生—-“震荡波杀手”,它会关闭“震荡波”等计算机病毒的进程,但它带来的危害与“震荡波”类似:堵塞网络、耗尽计算机资源、随机倒计时关机和定时对某些服务器进行攻击。在反病毒服务提供商Sophos公布的一份报告中称,今年5月份互联网上出现的各类新的蠕虫病毒种类数量创下30个月以来的新高,共出现了959种新病毒,创下了自2001年12月份以来的新高。这959种新病毒中包括了之前一些老病毒的新变种。计算机病毒向混合型、多样化发展的结果是一些病毒会更精巧,另一些病毒会更复杂,混合多种病毒特征,如红色代码病毒(Codenbsp;Red)就是综合了文件型、蠕虫型病毒的特性,这种发展趋势会造成反病毒工作更加困难。2004年1月27日,一种新型蠕虫病毒在企业电子邮件系统中传播,导致邮件数量暴增,从而阻塞网络。不同反病毒厂商将其命名为Novarg、Mydoom、SCO炸弹、诺威格、小邮差变种等,该病毒采用的是病毒和垃圾邮件相结合的少见战术,不知情用户的推波助澜使得这种病毒的传播速度似乎比近来其他几种病毒的传播速度要快。nbsp;三、运行方式和传播方式的隐蔽性nbsp;9月14日,微软安全中心发布了9月漏洞安全公告。其中MS04-028所提及的GDI+漏洞,危害等级被定为“严重”。瑞星安全专家认为,该漏洞涉及GDI+组件,在用户浏览特定JPG图片的时候,会导致缓冲区溢出,进而执行病毒攻击代码。该漏洞可能发生在所有的Windows操作系统上,针对所有基于IE浏览器内核的软件、Office系列软件、微软.NET开发工具,以及微软其它的图形相关软件等等,这将是有史以来威胁用户数量最广的高危漏洞。这类病毒(“图片病毒”)有可能通过以下形式发作:1、群发邮件,附带有病毒的JPG图片文件;2、nbsp;采用恶意网页形式,浏览网页中的JPG文件、甚至网页上自带的图片即可被病毒感染;3、通过即时通信软件(如QQ、MSN等)的自带头像等图片或者发送图片文件进行传播。nbsp;在