浅谈计算机病毒的类型和特点
关键词:病毒特点、危害、传播
内容摘要:计算机技术的普及和发展使计算机网络化已经成为信息时代的重要标志。随着网页技术的广泛使用,某些不良用心的人便利用操作系统、Office和IE的漏洞及Java、VB和ActiveX的特性来撰写病毒。这些病毒不但影响网络正常的工作,而且会使网络大规模崩溃,破坏网络中计算机的数据,给我们的办公、生活带来极大的不便。
1991年,全球病毒数量不到500种。1998年,电脑病毒变成了1万多种。目前病毒种类已达到7万多种。以前的电脑病毒基本是隔年有一次超大规模爆发,可现在病毒疫情的间隔次数却越来越短。爆发的病毒从特征上看,绝大多数病毒变种能力极强,且传播越来越快,像“熊猫烧香病毒”从2013年1月初至中旬,仅变种数就高达50多个;病毒制造技术持续提高,不仅结合黑客程序可以强行破解和泄密,而且还会交叉感染,形成病毒群集体攻击;病毒危害急剧增大,像蠕虫王病毒一度造成全球骨干网瘫痪。
1.病毒的基本类型
1.1 引导型病毒
引导型病毒主要是感染软盘、硬盘的引导扇区或主引导扇区。当系统引导时,把病毒程序从软硬盘上装入到内存。病毒在运行的一开始就获得控制权,从而在系统运行过程中,使病毒不断扩散。磁盘的引导区存储着磁盘使用的重要信息,通常对磁盘的正常引导记录不进行保护,所以在磁盘的运行过程中能导致对正常引导记录的破坏,出现磁盘不能正常引导的现象。
1.2 可执行文件病毒
可执行文件病毒主要是感染可执行文件(对于DOS或Windows来说是感染COM和EXE等可执行文件)。被感染的可执行文件在执行的同时,病毒被加载并向其他正常的可执行文件传染。像DIR Ⅱ和感染Windows操作系统的CIH、HPS、Murburg,以及感染NT操作系统的Infis、RE等病毒都属此列。文件型的病毒依传染方式的不同, 又分成非常驻型以及常驻型两种:
① 非常驻型病毒(Non-memory Resident Virus)
非常驻型病毒将自己寄生在 *.COM, *.EXE或是 *.SYS的文件中。当这些中毒的程序被执行时,就会尝试去传染给另一个或多个文件。象Datacrime II 资料杀手病毒低阶格式化硬盘,高度破坏资料。
② 常驻型病毒(Memory Resident Virus)
常驻型病毒躲在内存中,往往会对磁盘造成更大的伤害。因为一旦常驻型病毒进入了内存中,只要执行文件被执行,它就对其进行感染的动作, 其效果非常显着。将它赶出内存的唯一方式就是冷开机(完全关掉电源之后再开机)。感染速度相当快的星期五就属于这种类型。
文件型病毒与引导型病毒工作的方式是完全不同的,在各种PC机病毒中,文件型病毒占的数目最大,传播最广,采用的技巧也多。而且,各种文件型病毒的破坏性也各不相同。如CIH病毒,既能感染系统的可执行文件,同时又会破坏计算机BIOS,使计算机无法启动。
1.3 宏病毒
宏病毒主要是利用软件本身所提供的宏能力来设计病毒, 所以凡是具有写宏能力的软件都有宏病毒存在的可能,它与前两种病毒存在很大的区别。宏病毒充分利用宏命令的强大系统调用功能,实现某些涉及系统底层操作的破坏。宏病毒仅向Word、Excel和Access、PowerPoint、Project等办公自动化程序编制的文档进行传染,而不会传染给可执行文件。比较流行的宏病毒有:Macro.Melissa、TaiWan1、Concept、幸福1999、熊猫烧香等,我们所说的蠕虫病毒也应纳入宏病毒范围。
蠕虫是一种在网络的不同主机间传播,而不需修改目标主机上其他文件的一种程序。它的传播依赖于主机或网络的运行,并且仅依靠自身而不需要其他客体程序就可以进行繁殖,不断在主机间自我复制,占用大量系统资源和网络带宽,并通过网络邮件系统快速自动扩散传播,在短时间内造成大面积网络阻塞。
1.4 混合型病毒
混合型病毒是以上几种病毒的混合。混合型病毒的目的是为了综合利用以上3种病毒的传染渠道进行破坏。在我国流行的混合型病毒有One_half、Casper、Natas、Flip等。
混合型病毒不仅传染可执行文件而且还传染硬盘引导区,被这种病毒传染的系统用Format命令格式化硬盘都不能消除病毒。
1.5 Internet语言病毒
随着Internet的发展,Java、VB和ActiveX的网页技术逐渐被广泛使用,某些人便利用Java、VB和ActiveX的特性来撰写病毒。这些病毒虽然从现在的发展情况来看并不能破坏硬盘上的资料,但是如果用户使用浏览器来浏览含有这些病毒的网页,使用者就在神不知鬼不觉的状态下,让病毒进入机器进行复制,并通过网络窃取宝贵的个人秘密信息或使计算机系统资源利用率下降,造成死机等现象。
2.网络病毒的特点及危害性
2.1 破坏性强
网络病毒破坏性极强。以Novel1网为例, 一旦文件服务器的硬盘被病毒感染,就可能造成NetWare分区中某些区域上内容的损坏,使网络服务器无法启动,从而导致整个网络瘫痪,造成不可估量的损失。
中小型企业的办公网络,主要是为企业工作而服务。受到病毒袭击后,不但影响网络正常的工作,而更可怕的是它会使网络崩溃,破坏网络中计算机的数据,使工作成果毁于一旦。
2.2 传播性强
病毒的传播必须要有一定的途径。在完全封闭的单机情况下,病毒是无法从一台计算机传给另一台计算机的;而网络病毒则普遍具有较强的再生机制,一接触就可通过网络扩散与传染。一旦某个公用程序染毒,那么病毒将很快在整个网络上传播,感染其它程序。据有关资料介绍,在网络上病毒传播的速度是单机的几十倍。
在企业简单的网络环境下,病毒的传播可以利用充分的介质,通过简单而快速的内部网络,病毒可以迅速地传播。举个例子:在常见的100M办公网络内,只要有一台工作站染毒,就可在几十秒钟内将同一网络中的数百台计算机全部感染。
2.3传播的形式复杂多样
计算机病毒在网络上一般是通过“工作站——服务器——工作站”的途径进行传播的,但传播的形式复杂多样。
2.4 针对性强
网络病毒并非一定对网络上所有的计算机都进行感染与攻击, 而是具有某种针对性。例如,有的网络病毒只能感染IBM-PC工作机,有的却只能感染Macin-tosh计算机,有的病毒则专门感染使用Unix操作系统的计算机。
2.5 具有潜伏性和可激发性
网络病毒与单机病毒一样,具有潜伏性和可激发性。在一定的环境下受到外界因素刺激,便能活跃起来,这就是病毒的激活。激活的本质是一种条件控制,此条件是多样化的,可以是内部时钟、系统日期和用户名称,也可以是在网络中进行的一次通信。一个病毒程序可以按照病毒设计者的预定要求,在某个服务器或客户机上激活并向各网络用户发起攻击。根据统计,病毒在网络上被清除后,85%的网络在30天内会再次感染。
2.6 扩散面广
由于网络病毒能通过网络进行传播, 所以其扩散面很大,一台PC机的病毒可以通过网络感染与之相连的众多机器。由网络病毒造成网络瘫痪的损失是难以估计的。一旦网络服务器被感染,其解毒所需的时间将是单机的几十倍以上。
2.7 难于彻底清除
单机上的计算机病毒有时可通过删除带毒文件或低级格式化硬盘等措施将病毒彻底清除。而网络中只要有一台工作站未能清除干净,就可使整个网络重新被病毒感染,甚至刚刚完成杀毒工作的一台工作站,就有可能被网上另一台带毒工作站所感染。因此,仅对工作站进行病毒杀除,并不能解决病毒对网络的危害。
目前计算机病毒的传播不再是盲目的、无目的的传播,而是针对可能获取利益的群体进行定向传播。比如06年的光大证券被挂网银木马事件,网银在线被挂黑洞病毒事件,病毒制造者的目标都对准了那些股民以及经常使用网上银行的用户。它象盗取网络游戏的木马一样,在网络游戏论坛、游戏中等处进行传播。
鉴于网络病毒的以上特点,一定要采用相应有效的网络病毒防治方法与技术就显得尤其重要了。希望此文能给计算机使用者如何防范病毒
以启发。
参考文献:
1. 聂真理等编.计算机网络基础教程.北京工业大学出版社.2010-10
