壹 摘 要
文章概略的揭示了計算機病毒出現由簡單到復雜的特性與目的,編病毒者還拋出了“病毒自動生產機”軟件。文中指出了計算機病毒自身結構主要將向能對抗反病毒手段的變形病毒方向發展,並把這類病毒歸納為壹維、二維、三維、四維變形病毒,使人們站在壹定的高度上對變形病毒有壹個較清楚的認識,以便今後針對其采取有效的措施進行主動診治。文中提到的病毒名字都是作者親自編程殺過的, 作者總結了多年的反病毒經驗,提出抗病毒最基本的做法是:壹備份,二快升級,三災難恢復。
二 我們將與病毒長久***存
人類進入了信息社會創造了智能機器(電子計算機), 同時也創造了機器(電子計算機)病毒,福禍同降。 人類在信息社會更容易與機器(電子計算機)融為壹個整體,可是,破壞這個整體的壹個方面將是機器病毒(計算機病毒),人類同時在與生物病毒作鬥爭時又要與機器病毒作鬥爭,這是人類在方便自己時也在為難自己。
從壹九八三年計算機病毒首次被確認以來,並沒有引起人們的重視。直到壹九八七年計算機病毒才開使受到世界範圍內的普遍重視。我國於壹九八九年在計算機界發現病毒。至今,全世界已發現近數萬種病毒,並且還在高速度的增加。
由於計算機軟件的脆弱性與互聯網的開放性,我們將與病毒長久***存。而且,病毒主要朝著能更好的隱蔽自己並對抗反病毒手段的方向發展。同時,病毒已被人們利用其特有的性質與其他功能相結合進行有目的的活動。
病毒的花樣不斷翻新,編程手段越來越高,防不勝防。特別是Internet的廣泛應用,促進了病毒的空前活躍,網絡蠕蟲病毒傳播更快更廣,Windows病毒更加復雜,帶有黑客性質的病毒和特絡依木馬等有害代碼大量湧現。
下面按病毒先後出現的順序,簡要例舉部分病毒的特性就可看出其發展過程。
三 病毒的發展過程
20世紀60年代初,美國貝爾實驗室裏,三個年輕的程序員編寫了壹個名為“磁芯大戰”的遊戲,遊戲中通過復制自身來擺脫對方的控制,這就是所謂“病毒”的第壹個雛形。
20世紀70年代,美國作家雷恩在其出版的<>壹書中構思了壹種能夠自我復制的計算機程序,並第壹次稱之為“計算機病毒”。
1983年11月,在國際計算機安全學術研討會上,美國計算機專家首次將病毒程序在VAX/750計算機上進行了實驗,世界上第壹個計算機病毒就這樣出生在實驗室中。
20世紀80年代後期,巴基斯坦有兩個編軟件為生的兄弟,他們為了打擊那些盜版軟件的使用者,設計出了壹個名為“巴基斯坦智囊”的病毒,該病毒只傳染軟盤引導。這就是最早在世界上流行的壹個真正的病毒。
1988年至1989年,我國也相繼出現了也能感染硬盤和軟盤引導區的Stoned(石頭)病毒,該病毒體代碼中有明顯的標誌“Your PC is now Stoned!”、“LEGALISE MARIJUANA!”,也稱為“大麻”病毒”等。該病毒感染軟硬盤0面0道1扇區,並修改部分中斷向量表。該病毒不隱藏也不加密自身代碼,所以很容易被查出和解除。類似這種特性的還有“小球、Azusa/Hong-Kong/2708、 Michaelangelo,這些都是從國外傳染進來的。而國產的有Bloody、 Torch、Disk Killer等病毒,實際上它們大多數是Stoned病毒的翻版。
20世紀90年代初,感染文件的病毒有Jerusalem(黑色13號星期五)、 YankeeDoole、 Liberty、 1575、 Traveller、1465、2062,4096等,主要感染.COM和.EXE文件。這類病毒修改了部分中斷向量表,被感染的文件明顯的增加了字節數,並且病毒代碼主體沒有加密,也容易被查出和解除。 這些病毒中, 略有對抗反病毒手段的只有Yankee Doole病毒, 當它發現妳用DEBUG工具跟蹤它的話,它會自動從文件中逃走。
接著, 又壹些能對自身進行簡單加密的病毒相繼出現,有1366(DaLian)、1824(N64)、1741(Dong)、1100等病毒。它們加密的目的主要是防止跟蹤或掩蓋有關特征等。
在內存有1741病毒時, 用DIR列目錄表,病毒會掩蓋被感染文件所增加的字節數,使看起來字節數很正常。
而1345-64185病毒卻每傳染壹個目標就增加壹個字節, 增到64185個字節時,文件就被破壞。
以後又出現了引導區、文件型“雙料”病毒,這類病毒既感染磁盤引導區、又感染可執行文件,常見的有Flip/Omicron、 XqR(New century)、Invader/侵入者、 Plastique/塑料炸彈、3584/鄭州(狼)、3072(秋天的水)、ALFA/3072-2、Ghost/One_Half/3544(幽靈)、Natas(幽靈王)、TPVO/3783等,如果只解除了文件上的病毒,而沒解除硬盤主引導區的病毒,系統引導時又將病毒調入內存,會重新感染文件。如果只解除了主引導區的病毒,而可執行文件上的病毒沒解除,壹執行帶毒的文件時,就又將硬盤主引導區感染。
Flip/Omicron(顛倒)、XqR(New century新世紀)這兩種病毒都設計有對抗反病毒技術的手段,Flip(顛倒)病毒對其自身代碼進行了隨機加密,變化無窮,使絕大部分病毒代碼與前壹被感染目標中的病毒代碼幾乎沒有三個連續的字節是相同的,該病毒在主引導區只潛藏了少量的代碼,病毒另將自身全部代碼潛藏於硬盤最後6個扇區中,並將硬盤分區表和DOS引導區中的磁盤實用扇區數減少了6個扇區,所以再次起動系統後, 硬盤的實用空間就減少了6個扇區。這樣,原主引導記錄和病毒主程序就保存在硬盤實用扇區外,避免了其它程序的覆蓋,而且用DEBUG的L命令也不能調出查看,就是用FORMAT進行格式化也不能消除病毒,可見,病毒編制者用意深切!與此相似的還有Denzuko病毒。
XqR(New century新世紀)病毒也有它更狡猾的壹面,它監視著INT13、INT21中斷有關參數,當妳要查看或搜索被其感染了的主引導記錄時,病毒就調換出正常的主引導記錄給妳查看或讓妳搜索,使妳認為壹切正常,病毒卻蒙混過關。病毒的這種對抗方法,我們在此稱為:病毒在內存時,具有“反串”(反轉)功能。這類病毒還有Mask(假面具)、2709/ROSE(玫瑰)、One_Half/3544(幽靈)、Natas/4744、Monkey、PC_LOCK、DIE_HARD/HD2、GranmaGrave/Burglar/1150、 3783病毒等,現在的新病毒越來越多的使用這種功能來對抗按裝在硬盤上的抗病毒軟件,但用無病毒系統軟盤引導機器後,病毒就失去了“反串”(反轉)功能。
1345、 1820、PCTCOPY-2000病毒卻直接隱藏在COMMAND.COM文件內的空閑(0代碼)部位,從外表上看,文件壹個字節也沒增加。
INT60(0002)病毒隱藏的更加神秘,它不修改主引導記錄, 只將硬盤分區表修改了兩個字節,使那些只檢查主引導記錄的程序認為完全正常,病毒主體卻隱藏在這兩個字節指向的區域。硬盤引導時,ROM-BIOS程序糊理糊塗的按這兩個字節的引向,將病毒激活。病毒太狡猾了,只需兩個字節,就可以牽著機器的鼻子走!
Monkey(猴子)、PC_LOCK(加密鎖)病毒將硬盤分區表加密後再隱藏起來, 如果輕易將硬盤主引導記錄更換,或用FDISK/MBR格式輕易將硬盤主引導記錄更換, 那麽,就再進不了硬盤了,數據也取不出來了,所以,不要輕易使用FDISK/MBR格式。
1992年以來,DIR2-3、DIR2-6、NEW DIR2病毒以壹種全新的面貌出現,具有感染力極強,無任何表現,不修改中斷向量表,而直接修改系統關鍵中斷的內核,修改可執行文件的首簇數, 將文件名字與文件代碼主體分離。 在系統有此病毒的情況下,壹切就象沒發生壹樣。而在系統無病毒時,妳用無病毒的文件去覆蓋有病毒的文件,災難就會發生,全盤所有被感染的可執行文件內容都是剛覆蓋進去的文件內容。這是病毒“我死妳也活不成”的罪惡伎倆。該病毒的出現,使病毒又多了壹種新類型。
20世紀內,決大多數病毒是基於DOS系統的,有80%的病毒能在WINDOWS中傳染。TPVO/3783病毒是“雙料性”、(傳染引導區、文件)“雙重性”(DOS、WINDOWS)病毒,這是病毒隨著操作系統發展而發展。當然,Internet的廣泛應用,Java惡意代碼病毒也出現了。
腳本病毒“HAPPYTIME快樂時光”是壹種傳染能力非常強的病毒。
該病毒利用體內VBScript代碼在本地的可執行性(通過Windows Script Host進行),對當前計算機進行感染和破壞。即,壹旦我們將鼠標箭頭移到帶有“HAPPYTIME快樂時光”病毒體的郵件名上時,不必打開信件,就能受到HAPPYTIME“快樂時光”病毒的感染,該病毒傳染能力很強。
近幾年,出現了近萬種WORD(MACRO宏)病毒,並以迅猛的勢頭發展,已形成了病毒的另壹大派系。由於宏病毒編寫容易,不分操作系統,再加上Internet網上用WORD格式文件進行大量的交流,宏病毒會潛伏在這些WORD文件裏,被人們在Internet網上傳來傳去。
早在1995年時,出現了壹個更危險的信號,在我們對眾多的病毒剝析中,發現部分病毒好象出於壹個家族,其“遺傳基因”相同,簡單的說,是“同族”病毒。但絕不是其他好奇者簡單的修改部分代碼而產生的“改形”病毒。
“改形”病毒的定義此應簡單的說,與“原種”病毒的代碼長度相差不大,絕大多數病毒代碼與“原種”的代碼相同, 並且相同的代碼其位置也相同, 否則就是壹種新的病毒。
大量具有相同“遺傳基因”的“同族”病毒的湧現,使人不的不懷疑“病毒生產機”軟件已出現。1996年下半年在國內終於發現了“G2、IVP、VCL”三種“病毒生產機軟件”,不法之徒,可以用來編出千萬種新病毒。目前國際上已有上百種“病毒生產機”軟件。
這種“病毒生產機”軟件可不用絞盡腦汁的去編程序,便會輕易的自動生產出大量的“同族”新病毒。這些病毒代碼長度各不相同,自我加密、解密的密鑰也不相同,原文件頭重要參數的保存地址不同,病毒的發作條件和現象不同,但是,這些病毒的主體構造和原理基本相同。
“病毒生產機”軟件,其“規格”有專門能生產變形病毒的、有專門能生產普通病毒的。目前,國內發現的、或有部分變形能力的病毒生產機有“G2、 IVP、VCL病毒生產機等十幾種。具備變形能力的有CLME、DAME-SP/MTE病毒生產機等。它們生產的病毒都有“遺傳基因”於相同的特點,沒有廣譜性能的查毒軟件,只能是知道壹種,查壹種,難於應付“病毒生產機”生產出的大量新病毒。
據港報載, 香港已有人也模仿歐美的Mutation Eneine(變形金剛病毒生產機)軟件編寫出了壹種稱為CLME(Crazy Lord Mutation Eneine)即“瘋狂貴族變形金剛病毒生產機”, 已放出了幾種變形病毒, 其中壹種名為CLME.1528。 國內也發現了壹種名為CLME.1996、DAME-SP/MTE的病毒。 更令人可惡的是,編程者公然在BBS站和國際互聯網Internet中縱恿他人下傳。“病毒生產機”的存在,隨時就有可能存在著“病毒暴增”的危機!
危機壹個接壹個,網絡蠕蟲病毒I-WORM.AnnaKournikova,就是壹種VBS/I-WORM病毒生產機生產的,它壹出來,短時間內就傳遍了全世界。這種病毒生產機也傳到了我國。
Windows9x、win2000操作系統的發展,也使病毒種類和樣隨其變化而變化。以下例舉幾個點型的WINDOWS病毒。
WIN32.CAW.1XXX病毒是駐留內存的Win32病毒,它感染本地和網絡中的PE格式文件。該病毒的產生是來源壹種32位的Windows“CAW病毒生產機”, 該“CAW病毒生產機”是國際上壹家有名的病毒編寫組織開發的。
……………………