1.计算机病毒
我国于1994年2月18日颁布实施的《中华人民共和国计算机信息系统安全保护条例》第二十八条中对计算机病毒有明确的定义:计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用,并且能够自我复制的一组计算机指令或程序代码。
也就是说:
①计算机病毒是一段程序。
②计算机病毒具有传染性,可以传染其他文件。
③计算机病毒的传染方式是修改其他文件,将自身的复制嵌入其他程序中。
④计算机病毒并不是自然界中发展起来的生命体,它们不过是某些人专门做出来的、具有一些特殊功能的程序或者程序代码片段。
病毒既然是计算机程序,它的运行就需要消耗计算机的资源。当然,病毒并不一定都具有破坏力,有些病毒可能只是恶作剧,例如计算机感染病毒后,只是显示一条有趣的消息或者一幅恶作剧的画面,但是多数病毒的目的都是设法毁坏数据。
2.计算机病毒的产生
自从1946年第一台冯·诺依曼型计算机ENIAC诞生以来,计算机已被应用到人类社会的各个领域。计算机的先驱者冯·诺依曼在他的一篇论文里,已经勾勒出病毒程序的蓝图。不过在当时,绝大部分的计算机专家都无法想象会有这种能自我繁殖的程序。到20世纪70年代,一位作家在一部科幻小说中构想出了世界上第一个“计算机病毒”,一种能够自我复制,可以从一台计算机传染到另一台计算机,利用通信渠道进行传播的计算机程序。这实际上是计算机病毒的思想基础。1987年10月,在美国,世界上第一例计算机病毒巴基斯智囊病毒(Brian)被发现,这是一种系统引导型病毒。它以强劲的执着蔓延开来!世界各地的计算机用户几乎同时发现了形形色色的计算机病毒,如大麻、IBM圣诞树等。在国内,最初引起人们注意的病毒是20世纪80年代末出现的“黑色星期五”“米氏病毒”“小球病毒”等。因当时软件种类不多,用户之间的软件交流较为频繁且反病毒软件并不普及,造成了病毒的广泛流行。后来出现的Word宏病毒及Windows 98下的CIH病毒,使人们对病毒的认识更加深了一步。
今天,计算机病毒的发展已经经历了DOS引导阶段、DOS可执行阶段、伴随和批次型阶段、幽灵和多形阶段、生成器和变体机阶段、网络和蠕虫阶段、视窗阶段、宏病毒阶段、互联网阶段、Java和邮件炸弹阶段等。
计算机病毒是一种精巧严谨的代码,按照严格的秩序组织起来,与所在的系统网络环境相适应和配合。计算机病毒不会是偶然形成的,并且需要有一定的长度,这个长度从概率上来讲是不可能通过偶然的随机代码产生的。现在流行的病毒是由人为故意编写的,多数病毒可以找到作者和产地信息,从大量的统计分析来看,病毒的作者主要的目的是:程序员为了表现和证明自己的能力;出于对社会环境、生活现状的不满;为了好奇、为了报复、为了祝贺或求爱;为了得到控制口令;为了软件拿不到报酬预留的陷阱等。当然也有因政治、军事、宗教、民族、专利等方面的需求而专门编写的,其中也包括一些病毒研究机构和黑客的测试病毒。
3.计算机病毒的特征
作为一段程序,病毒与正常的程序一样可以执行,以实现一定的功能,达到一定的目的。但病毒一般不是一段完整的程序,而需要附着在其他正常的程序之上,并且要不失时机地传播和蔓延。所以,病毒又具有普通程序所没有的特性。计算机病毒一般具有以下特征。
(1)传染性
传染性是病毒的基本特征。病毒通过将自身嵌入一切符合其传染条件的未受感染的程序上,实现自我复制和自我繁殖,达到传染和扩散的目的。其中,被嵌入的程序叫作宿主程序。病毒的传染可以通过各种移动存储设备,如U盘、移动硬盘、可擦写光盘、手机等,也可以通过有线网络、无线网络、手机网络等渠道迅速波及全球,而是否具有传染性是判别一个程序是否为计算机病毒的最重要条件。
(2)潜伏性
病毒在进入系统之后通常不会马上发作,可长期隐蔽在系统中,除了传染以外不进行什么破坏,以提供足够的时间繁殖扩散。病毒在潜伏期不破坏系统,因而不易被用户发现。潜伏性越好,其在系统中的存在时间越久,病毒的传染范围就会越大。病毒只有在满足特定触发条件时才能启动。
(3)可触发性
病毒因某个事件或数值的出现,激发其进行传染,或者激活病毒的表现部分或破坏部分的特性称为可触发性。例如,CIH病毒26日发作,“黑色星期五”病毒在逢13号的星期五发作等。病毒运行时,触发机制检查预定条件是否满足,满足条件时,病毒触发感染或破坏动作,否则继续潜伏。
(4)破坏性
病毒对计算机系统具有破坏性,根据破坏程度分为良性病毒和恶性病毒。良性病毒通常并不破坏系统,主要是占用系统资源,造成计算机工作效率降低。恶性病毒主要是破坏数据、删除文件、加密磁盘、格式化磁盘,甚至导致系统崩溃,造成不可挽回的损失。CIH、红色代码等均属于这类恶性病毒。
(5)寄生性
病毒程序通常隐藏在正常程序之中,也有个别的以隐含文件形式出现,如果不经过代码分析,很难区别病毒程序和正常程序。大部分病毒程序具有很高的程序设计技巧、代码短小精悍,一般只有几百字节,非常隐蔽。
(6)衍生性(www.xing528.com)
变种多是当前病毒呈现出的新特点。很多病毒使用高级语言编写,如“爱虫”是脚本语言病毒,“梅丽莎”是宏病毒,它们比以往用汇编语言编写的病毒更容易理解和修改,通过分析计算机病毒的结构可以了解设计者的设计思想和目的,从而衍生出各种不同于原版本的新的计算机病毒,称为病毒变种,这就是计算机病毒的衍生性。变种病毒造成的后果可能比原版病毒更为严重。“爱虫”病毒在10多天内出现30多种变种。“梅丽莎”病毒也有很多变种,而且此后很多宏病毒都使用了“梅丽莎”的传染机理。
随着计算机软件和网络技术的发展,网络时代的病毒又具有很多新的特点,如利用微软漏洞主动传播,主动通过网络和邮件系统传播,传播速度极快、变种多;病毒与黑客技术融合,更具攻击性。
4.计算机病毒的类型
自从病毒第一次出现以来,在病毒编写者和反病毒软件作者之间就存在着一个连续的战争赛跑。当对已经存在的病毒类型研制了有效的对策时,新病毒类型又出现了。计算机病毒可分为单机环境下的传统病毒和网络环境下的现代病毒两大类。
(1)单机环境下的传统病毒
①文件病毒。这是传统的并且仍是最常见的病毒形式。病毒寄生在可执行程序体内,只要程序被执行,病毒也就被激活,病毒程序会首先被执行,并将自身驻留在内存,然后设置触发条件,进行传染。如CIH病毒。
②引导区病毒。感染主引导记录或引导记录,而将正常的引导记录隐藏在磁盘的其他地方,这样系统一启动病毒就获得了控制权,当系统从包含了病毒的磁盘启动时则进行传播。如“大麻”病毒和“小球”病毒。
③宏病毒。这是寄生于文档或模板宏中的计算机病毒。一旦打开带有宏病毒的文档,病毒就会被激活,并驻留在Normal模板上,所有自动保存的文档都会感染上这种宏病毒。如“Taiwan No.1”宏病毒。
④混合型病毒。这是既能感染可执行文件又能感染磁盘引导记录的病毒。
目前,许多病毒还具有隐形的功能,即该病毒被设计成能够在反病毒软件检测时隐藏自己。还有一些病毒具有多形特性,即每次感染时会产生变异的病毒。
(2)网络环境下的现代病毒
①蠕虫病毒。这种病毒是以计算机为载体,以网络为攻击对象,利用网络的通信功能将自身不断地从一个节点发送到另一个节点,并且能够自动启动的程序,这样不仅消耗了大量的本机资源,而且大量占用了网络的带宽,导致网络堵塞而使网络服务拒绝,最终造成整个网络系统的瘫痪。如“冲击波”病毒、“熊猫烧香”病毒。
②木马病毒。是指在正常访问的程序、邮件附件或网页中包含了可以控制用户计算机的程序,这些隐藏的程序非法入侵并监控用户的计算机,窃取用户的账号和密码等机密信息。如“QQ木马”病毒。
③攻击型病毒。就是在感染后对计算机的软件甚至硬件进行攻击破坏。如CIH病毒。
5.计算机病毒的破坏方式
不同的计算机病毒实施不同的破坏,主要的破坏方式有以下几种。
①破坏操作系统,使计算机瘫痪。有一类病毒用直接破坏操作系统的磁盘引导区、文件分区表、注册表的方法,强行使计算机无法启动。
②破坏数据和文件。病毒发起进攻后会改写磁盘文件甚至删除文件,造成数据永久性丢失。
③占用系统资源,使计算机运行异常缓慢,或使系统因资源耗尽而停止运行。例如,振荡波病毒,如果攻击成功,则会占用大量资源,使CPU占用率达到100%。
④破坏网络。如果网络内的计算机感染了蠕虫病毒,蠕虫病毒会使该计算机向网络中发送大量的广播包,从而占用大量的网络带宽,使网络拥塞。
⑤泄露计算机内的信息。有的木马病毒专门将所驻留计算机的信息泄露到网络中,比如“广外女生”“Netspy.698”;有的木马病毒会向指定计算机传送屏幕显示情况或特定数据文件(如搜索到的口令)。
⑥扫描网络中的其他计算机,开启后门。感染“口令蠕虫”病毒的计算机会扫描网络中的其他计算机,进行共享会话,猜测别人计算机的管理员口令。如果猜测成功,就将蠕虫病毒传送到那台计算机上,开启VNC后门,对该计算机进行远程控制。被传染的计算机上的蠕虫病毒又会开启扫描程序,扫描、感染其他的计算机。
各种破坏方式的计算机病毒都是自动复制、感染其他的计算机,扰乱计算机系统和网络系统的正常运行,对社会构成了极大危害。防治病毒是保障计算机系统安全的重要任务。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
