病毒都具有一定的基本特性,这些基本特性主要指的是病毒的传染性、繁殖性、破坏性、恶作剧等其它表现,这是普通病毒所应具备的基本特性。 过去,一些教科书里对病毒的基本定义简单的说是“具有传染性质的一组代码,可称为‘病毒’”。即病毒从一个文件传染到另一个文件上,许多文件会染毒。引导区病毒从一个磁盘传染到另一个磁盘上。 而在互联网时代,网络会在互联网上通过一台机器自动传播到另一台机器上,一台机器中只有一个蠕虫病毒,当然,也有的蠕虫可以在当前机器中感染大量文件。 现在应发展一下对病毒的基本定义。即对病毒的基本定义简单的说是“具有传播性质的一组代码,可称为‘病毒’”。 病毒的这些基本特性不能用来决定病毒是属于第几代的。能用变化自身代码和形状来对抗反病毒手段的变形病毒才是下一代病毒首要的基本特征。我们通过多年的反病毒研究,对变形病毒做了以下定义: 变形病毒特征主要是,病毒传播到目标后,病毒自身代码和结构在空间上、时间上具有不同的变化。我们以下简要划分的变形病毒种类分为四类。 第一类变形病毒的特性是:具备普通病毒所具有的基本特性,然而,病毒每传播到一个目标后,其自身代码与前一目标中的病毒代码几乎没有三个连续的字节是相同的,但这些代码其相对空间的排列位置是不变动的, 这里称为:一维变形病毒。 在一维变形病毒中, 个别的病毒感染系统后,遇到检测时能够进行自我加密或脱密,或自我消失。有的列目录时能消失增加的字节数,或加载跟踪时,病毒能破坏跟踪或者逃之夭夭。 第二类变形病毒的特性是:除了具备一维变形病毒的特性外,并且那些变化的代码相互间的排列距离(相对空间位置),也是变化的,这里称为:二维变形病毒。 在二维变形病毒中, 有如前面提到的MADE-SP病毒等,能用某种不动声色特殊的方式或混载于正常的系统命令中去修改系统关键内核,并与之溶为一体,或干脆另创建一些新的中断调用功能。有的感染文件的字节数不定,或与文件溶为一体。 第三类变形病毒的特性是:具备二维变形病毒的特性,并且能分裂后分别潜藏在几处,当病毒引擎被激发后都能自我恢复成一个完整的病毒。病毒在附着体上的空间位置是变化的,即潜藏的位置不定。比如:可能一部分藏在第一台机器硬盘的主引导区,另外几部分也可能潜藏在几个文件中,也可能潜藏在覆盖文件中,也可能潜藏在系统引导区、也可能另开垦一块区域潜藏...等等。而在下一台被感染的机器内,病毒又改变了其潜藏的位置。这里称为:三维变形病毒。 第四类变形病毒的特性是:具备三维变形病毒的特性,并且,这些特性随时间动态变化。比如,在染毒的机器中,刚开机时病毒在内存里变化为一个样子,一段时间后又变成了另一个样子,再次开机后病毒在内存里又是一个不同的样子。还有的是这样一类病毒,其本身就是具有传播性质的“病毒生产机”病毒,它们会在计算机内或通过网络传播时,将自己重新组合代码生成于前一个有些代码不同的变种新病毒,这里称为:四维变形病毒。 四维变形病毒大部分具备网络自动传播功能,在网络的不同角落里到处隐藏。 还有一些这类高级病毒不再持有以往绝大多数病毒那种“恶作剧”的目的,它可能主要是,人类在信息社会投入巨资研究出的、可扰乱破坏社会的信息、政治、经济制序等、或是主宰战争目的的一种“信息战略武器”病毒。它们有可能接受机外遥控信息,也可以向外发出信息。比如在多媒体机上可通过视频、音频、无线电或互联网收发信息。也可以通过计算机的辐射波,向外发出信息。也可以潜藏在联接Internet网的计算机中,收集密码和重要信息,再悄悄的随着主人通信时,将重要信息发出去(I-WORM/MAGISTR(马吉思)病毒就有此功能),这些变形病毒的智能化程度相当高。 以上,我们把变形病毒划分定义为一维变形病毒、二维变形病毒、三维变形病毒、四维变形病毒。这样,可使我们站在一定的高度上对变形病毒有一个较清楚的认识,以便今后针对其采取强而有效的措施进行诊治。 以上的四类变形病毒可以说是病毒发展的趋向,也就是说:病毒主要朝着能对抗反病毒手段和有目的方向发展。目前,已发展到了一维、二维、三维变形病毒。互联网的发展,使病毒、黑客、后门、漏洞、有害代码等相互结合起来,对信息社会造成极大的威胁。 国际上最早最有名的Backdoor.BO1.2、BO2K和国产的“冰河”的客户端程序是一个可潜伏在用户机中的后门程序,它可将用户上网后的计算机大开后门,任意进出。可以记录各种口令信息,获取系统信息,限制系统功能:包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制;还可远程文件操作:包括创建、上传、下载、复制、修改、删除文件或目录、文件压缩、快速浏览文件、远程打开文件等多项文件操作功能;还可对注册表操作:包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能。这在当时,影响极大。 国产类似上述的后门程序有“冰河”一系列版本,被散发的面积很大,有相当多的用户在不知不觉中使机器中“毒”。 这是一个基于TCP/IP协议和WINDOWS操作系统的网络工具,可用于监控远程计算机和配置服务器程序。但是,其被监控端后台监控程序在被执行时,没有明显的告诫警示不明用户的安装界面和安装路径及其屏幕右下角没有最小化托盘图标,而是悄悄的就安装在用户机中了,为用户带来潜在的危害。所以,被所有反病毒公司的反病毒软件做为“后门有害程序”而杀掉。 类似这类的国内外程序还有,YAI、PICTURE、NETSPY、NETBUS、DAODAN、BO.PROC、CAFCINI.09、BADBOY、INTERNA 、QAZ、SPING、THETHING、MATRIM、SUBx等等。主要的特络依木马有SURFSPY、EXEBIND、SCANDRIV、NCALRPC、WAY20、OICQ.KEY、CAINABEL151、ZERG、BO.1EANPB、COCKHORSE、ZSPYIIS、NETHISF等等。 其中OICQ.KEY、NETHISF一种可将IP地址、系统密码等发出去的特络依木马,被不轨人悄声捆绑在某OICQ在线聊天程序中,结果被人下载了几十万多次,真不知有多少人受到伤害。 还有那些直接就破坏的恶性程序,如shanghai.TCBOMB(上海TC×××),放在网上供人下载。不知情的用户一执行后,瞬间硬盘就不能用了,数据就取不出来了,这会使受害者茹痛不生。还有HARM/DEL-C,这个程序被人用了一个响亮的名字,一执行后,C盘下的文件全被删除了。这类恶意程序还有FUNJOKE、SIJI、HA-HA、MAILTOSPAM、SYSCRASH、CLICKME、QUAKE、WAY20、TDS.SE、STRETCH、NUKER等等。 还有那些不破坏的恶作剧,出现一幅吓人的画面,或死机,或屏幕抖动等等。这类程序有JOKE/GHOS(女鬼)、TBLUEBOMB、FLUKE、JOKEWOW等等。 攻击类的黑客程序,它是行为人(黑客)使用的工具,一般的反病毒软件不去查它,留给“网络防火墙”来处理。 网络的广泛使用和漫无边际的交流,为破坏者提供了场所。一些恶性破籨ang绦蚝投褡骶绲雀髦指餮
全部脚印 不留脚印 留下脚印: