计算机病毒知识与防治(2)

2.8 黑客型病毒

-走后门、发黑色信件、瘫痪网络

　　自从 2001七月 CodeRed红色警戒利用 IIS 漏洞，揭开黑客与病毒并肩作战的攻击模式以来，CodeRed 在病毒史上的地位，就如同第一只病毒 Brain 一样，具有难以抹灭的历史意义。

　　如同网络安全专家预料的，CodeRed 将会成为计算机病毒、计算机蠕虫和黑客"三管齐下"的开山鼻祖，日后的病毒将以其为样本，变本加厉地在网络上展开新型态的攻击行为。果不其然，在造成全球 26.2 亿美金的损失后， 不到 2 个月同样攻击 IIS 漏洞的Nimda 病毒，其破坏指数却远高于 CodeRed。 Nimda 反传统的攻击模式，不仅考验着 MIS 人员的应变能力，更使得传统的防毒软件面临更高的挑战。

　　继红色代码之后，出现一只全新攻击模式的新病毒，透过相当罕见的多重感染管道在网络上大量散播，包含： 电子邮件、网络资源共享、微软IIS服务器的安全漏洞等等。由于 Nimda 的感染管道相当多，病毒入口多，相对的清除工作也相当费事。尤其是下载微软的 Patch，无法自动执行，必须每一台计算机逐一执行，容易失去抢救的时效。

　　每一台中了Nimda 的计算机，都会自动扫描网络上符合身份的受害目标，因此常造成网络带宽被占据，形成无限循环的 DoS阻断式攻击。另外，若该台计算机先前曾遭受 CodeRed 植入后门程序，那么两相挂勾的结果，将导致黑客为所欲为地进入受害者计算机，进而以此为中继站对其它计算机发动攻势。

类似Nimda威胁网络安全的新型态病毒，将会是 MIS 人员最大的挑战。"

认识计算机病毒与黑客

　　防止计算机黑客的入侵方式，最熟悉的就是装置「防火墙 」(Firewall)，这是一套专门放在 Internet 大门口 (Gateway) 的身份认证系统，其目的是用来隔离 Internet 外面的计算机与企业内部的局域网络，任何不受欢迎的使用者都无法通过防火墙而进入内部网络。有如机场入境关口的海关人员，必须核对身份一样，身份不合者，则谢绝进入。否则，一旦让恐怖份子进入国境破坏治安，要再发布通缉令逮捕，可就大费周章了。

　　一般而言，计算机黑客想要轻易的破解防火墙并入侵企业内部主机并不是件容易的事，所以黑客们通常就会用采用另一种迂回战术，直接窃取使用者的帐号及密码，如此一来便可以名正言顺的进入企业内部。而 CodeRed、Nimda即是利用微软公司的 IIS网页服务器操作系统漏洞，大肆为所欲为。

--宽带大开方便之门

　　CodeRed 能在短时间内造成亚洲、美国等地 36 万计算机主机受害的事件，其中之一的关键因素是宽带网络（Broadband）的"always-on" (固接，即二十四小时联机)特性特性所打开的方便之门。

　　宽带上网，主要是指 Cable modem 与 xDSL这两种技术，它们的共同特性，不单在于所提供的带宽远较传统的电话拨接为大，同时也让二十四小时固接上网变得更加便宜。事实上，这两种技术的在本质上就是持续联机的，在线路两端的计算机随时可以互相沟通。

　　当 CodeRed 在 Internet 寻找下一部服务器作为攻击发起中心时，前提必须在该计算机联机状态方可产生作用，而无任何保护措施的宽还用户，"雀屏中选"的机率便大幅提升了。

　　当我们期望Broadband（宽 带网络）能让我们外出时仍可随时连上家用计算机，甚至利用一根小手指头遥控家中的电饭锅煮饭、咖啡炉煮咖啡时，同样的，黑客和计算机病毒也有可能随时入侵 到我们家中。计算机病毒可能让我们的马桶不停地冲水，黑客可能下达指令炸掉家里的微波炉、让冰箱变成烤箱、甚至可能利用家用监视摄影机来监视我们的一举一 动。唯有以安全为后盾，有效地阻止黑客与病毒的觊觎，才能开启宽带网络的美丽新世界。

　　计算机及网络家电镇日处于always-on的 状态，也使得计算机黑客有更多入侵的机会。在以往拨接上网的时代，家庭用户对黑客而言就像是一个移动的目标，非常难以锁定，如果黑客想攻击的目标没有拨接 上网络，那幺再厉害的黑客也是一筹莫展，只能苦苦等候。相对的，宽带上网所提供的二十四小时固接服务却让黑客有随时上下其手的机会，而较大的带宽不但提供 家庭用户更宽广的进出渠道，也同时让黑客进出更加的快速便捷。 过去我们认为计算机防毒与防止黑客是两回事（见表一），然而 CodeRed却改写了这个的定律，过去黑客植入后门程序必须一台计算机、一台计算机地大费周章的慢慢入侵，但CodeRed却以病毒大规模感染的手法，瞬间即可植入后门程序，更加暴露了网络安全的严重问题。

表一：黑客与计算机病毒比较

七．病毒的命名

对病毒命名，各个反毒软件亦不尽相同，有时对一种病毒不同的软件会报出不同的名称。如“SPY”病毒，KILL起名为SPY，KV300则叫“TPVO-3783”。给病毒起名的方法不外乎以下几种：

按病毒出现的地点，如“ZHENJIANG_JES”其样本最先来自镇江某用户。按病毒中出现的人名或特征字符，如“ZHANGFANG—1535”，“DISK KILLER”，“上海一号”。按病毒发作时的症状命名，如“火炬”，“蠕虫”。按病毒发作的时间，如“NOVEMBER 9TH”在11月9日发作。有些名称包含病毒代码的长度，如“PIXEL.xxx”系列,“KO.xxx”等体。

八．病毒的危害

计算机病毒会感染、传播，但这并不可怕，可怕的是病毒的破坏性。其主要危害有：

1、攻击硬盘主引导扇区、Boot扇区、FAT表、文件目录，使磁盘上的信息丢失。

2、删除软盘、硬盘或网络上的可执行文件或数据文件，使文件丢失。

3、占用磁盘空间。

4、修改或破坏文件中的数据，使内容发生变化。

5、抢占系统资源，使内存减少。

6、占用CPU运行时间，使运行效率降低。

7、对整个磁盘或扇区进行格式化。

8、破坏计算机主板上BIOS内容，使计算机无法工作。

9、破坏屏幕正常显示，干扰用户的操作。

10、破坏键盘输入程序，使用户的正常输入出现错误。

11、攻击喇叭，会使计算机的喇叭发出响声。有的病毒作者让病毒演奏旋律优美的世界名曲，在高雅的曲调中去杀戮人们的信息财富。有的病毒作者通过喇叭发出种种声音。

12.干扰打印机，假报警、间断性打印、更换字符。

十．病毒的发展

当前计算机病毒的最新发展：

1、病毒的演化，任何程序和病毒都一样，不可能十全十美，所以一些人还在修改以前的病毒，使其功能更完善，使杀毒软件更难检测。

2、在时下操作系统抢占市场的时候，各种操作系统应运而生，其它操作系统上的病毒也千奇百怪。

3、一些新病毒变得越来越隐蔽。

4、 多变型病毒也称变形发动机，是新型计算机病毒。这类病毒采用复杂的密码技术，在感染宿主程序时，病毒用随机的算法对病毒程序加密，然后放入宿主程序中，由 于随机数算法的结果多达天文数字，所以，放入宿主程序中的病毒程序每次都不相同。这样，同一种病毒，具有多种形态，每一次感染，病毒的面貌都不相同，犹如 一个人能够“变脸”一样，检测和杀除这种病毒非常困难。

5、即然杀病毒软件是杀病毒的，而就有人却在搞专门破坏杀病毒软件的病毒，一是可以避过杀病毒软件，二是可以修改杀病毒软件，使其杀毒功能改变。

十一.怎样发现病毒

计算机病毒发作时，通常会出现以下几种情况，这样我们就能尽早地发现和清除它们。

1、电脑运行比平常迟钝

2、程序载入时间比平常久

有些病毒能控制程序或系统的启动程序，当系统刚开始启动或是一个应用程序被载入时，这些病毒将执行他们的动作，因此会花更多时间来载入程序。

3、对一个简单的工作，磁盘似乎花了比预期长的时间

例如：储存一页的文字若需一秒，但病毒可能会花更长时间来寻找未感染文件。

4、不寻常的错误信息出现

例如你可能得到以下的信息：

write protect error on driver A

表示病毒已经试图去存取软盘并感染之，特别是当这种信息出现频繁时，表示你的系统已经中毒了！

5、硬盘的指示灯无缘无故的亮了

当你没有存取磁盘，但磁盘指示灯却亮了，电脑这时已经受到病毒感染了。

6、系统内存容量忽然大量减少

有些病毒会消耗可观的内存容量，曾经执行过的程序，再次执行时，突然告诉你没有足够的内存可以利用，表示病毒已经存在你的电脑中了！

7、磁盘可利用的空间突然减少

这个信息警告你病毒已经开始复制了！

8、可执行程序的大小改变了！

正常情况下，这些程序应该维持固定的大小，但有些较不聪明的病毒，会增加程序的大小

9、坏轨增加

有些病毒会将某些磁区标注为坏轨，而将自己隐藏其中，於是往往扫毒软件也无法检查病毒的存在，例如Disk Killer会寻找3或5个连续未用的磁区，并将其标示为坏轨

10、程序同时存取多部磁盘

11、内存内增加来路不明的常驻程序

12、文件奇怪的消失

13、文件的内容被加上一些奇怪的资料

14、文件名称，扩展名，日期，属性被更改过 

十二.病毒的预防

1、平常准备可正常开机之软盘，并贴上写保护。

※检查电脑的任何问题，或者是解毒，最好在没有病毒干扰的环境下进行，才能完整测出真正的原因，或是彻底解决病毒的侵入。

2、重要资料，必须备份。

※资料是最重要的，程序损坏了可重新COPY，甚至再买一份，但是自己键入的资料，可能是三年的会计资料，可能是画了三个月的图片，结果某一天，硬盘坏了或者病毒的因素，会让人欲哭无泪，所以一般性的备份是绝对必要的。

3、记住COMMAND.COM之长度，若有异常，即有中毒的可能。

※中毒的程序，绝大部份会改变长度，所以记住一个常见程序的长度，有助於判定是否有中病毒，尤其是COMMAND.COM文件，这部份如果被病毒感染，则你的电脑将体无完肤。

4、经常利用DOS指令MEM或CHKDSK，检验内存之使用情形，若BASE RAM异常，少於640KB，则有中毒的可能。

※利用CHKDSK检查MEMORY之大小一般为655360 total bytes memory，若中病毒，此数字将减少。

5、尽量避免在无防毒软件的机器上，使用电脑可移动磁盘。

※一般人都以为不要使用别人的磁盘，即可防毒，但是不要随便用别人的电脑也是非常重要的，否则有可能带一大堆病毒回家。

6、使用新进软件时，先用扫毒程序检查，可减少中毒机会。

※主动检查，可以过滤大部份的病毒。

7、准备一份具有查毒、防毒、解毒及重要功能之软件，将有助於杜绝病毒。

8、遇到电脑有不明音乐传出或当机时，而硬盘的灯持续亮著，应即刻关机。

※发现电脑HDISK的灯持续闪烁，可能是病毒正在FORMAT硬盘。

9、若硬盘资料已遭到破坏，不必急著FORMAT，因病毒不可能在短时间内，将全部硬盘资料破坏，故可利用灾后重建的解毒程序，加以分析，重建受损状态。

十三.怎样杀除病毒

唉，即然中了病毒，也就不要怪谁，常言道“兵来将挡”，以下给各位提供一些杀除病毒的建议供大家参考：

1、如果发现病毒，首先是停止使用机子，用干净启动软盘启动机子，将所有资料备份；

2、用正版杀毒软件进行杀毒，最好能将杀毒软件升级到最新版；

3、如果一个杀毒软件不能杀除，可到网上找一些专业性的杀病毒网站下载最新版的其它杀病毒软件，进行查杀；

4、如果多个杀毒软件均不能杀除，可将此病毒发作情况发布到网上，或到专门的BBS论坛留下贴子；

5、可用此染毒文件上报杀病毒网站，让专业性的网站或杀毒软件公司帮你解决。

来源：互联网

上一篇：用卡巴斯基系统报告生成avz脚本清除木马病毒(1)

下一篇：计算机病毒知识与防治(1)