法律定義
本詞條只有部分地區觀點或材料,需要補充世界性內容。
歡迎對本文進行改進,或者討論本文中的任何問題。
病毒的定義壹直有爭議[1],很多人包括全世界的反病毒廠商也把基於網絡的木馬、後門程序、惡意軟件歸為計算機病毒。
以下是中國大陸對計算機病毒的法律定義,司法部門可以據此逮捕病毒的制造者和散布者。
1994 2月18《中華人民共和國計算機信息系統安全保護條例》第二十八條[2]
計算機病毒是指編譯或插入計算機程序中的壹組計算機指令或程序代碼,它破壞計算機功能或數據,影響計算機的使用,並能自我復制。
截至2007年2月5日,中國仍在使用該條例,沒有任何新的修訂。
中國互聯網協會對惡意軟件的定義[3]
惡意軟件是指在未明確提示用戶或未經用戶許可的情況下,在用戶的計算機或其他終端上安裝運行的侵害用戶合法權益的軟件,但我國現有法律法規已有規定的計算機病毒除外。
[編輯]病毒作者
見:被捕黑客名單。
許多病毒制造者和黑客已被逮捕和起訴,各國的量刑輕重不壹。例如,MSBlast。羅馬尼亞西歐的Banny寫的f變種,用了15分鐘,只感染了大約1000臺電腦。根據他們國家的法律,他最高可能被判15年有期徒刑。1998年,臺省病毒作者陳盈豪編寫的CIH病毒被壹些人視為“迄今為止危害最大的病毒”[4],使全球6000萬臺電腦癱瘓。但由於被捕後無人起訴,他免於法律制裁。2001,陳盈豪作為CIH的受害者被起訴,這使他再次被捕。根據當時臺灣省的法律,他會被判刑。
國內木馬程序“證券大盜”作者張勇利用其木馬程序攔截股東賬戶密碼,盜取價值11419000元的股票,非法獲利38.6萬元。被捕後,他因盜竊和金融犯罪被起訴,最終判決是無期徒刑。
根據壹家公司的分析報告,目前全球有200萬程序員有能力編寫成熟的計算機病毒。[5]
[編輯]歷史記錄
主要項目:著名病毒和蠕蟲的歷史年表
“病毒”壹詞最早是在弗雷德·科恩的1984論文《計算機病毒實驗》中用來表達這個意思的。病毒這個詞因為科幻而廣為人知。壹個是H.A.R.L.I.E .是David Gerrold在1970年代中期寫的,描述了壹個叫做“病毒”的程序和壹個叫做“抗體”的程序。另壹本是約翰·布魯爾在1975寫的小說《ShakewaveRider》,描述了壹個叫做“磁帶蠕蟲”的程序在互聯網上刪除數據。[6]
65438+20世紀60年代初,美國麻省理工學院的壹些年輕研究人員,在完成工作後,利用工作時間玩了壹款自己創作的電腦遊戲。做法是有人編譯壹個小程序,然後輸入電腦運行,破壞對方的遊戲程序。而這也可能是計算機病毒的雛形。
[編輯]操作環境和溝通渠道
由於世界操作系統桌面環境市場90%使用微軟Windows系列產品[7],病毒作者紛紛選擇Windows作為病毒攻擊的目標。病毒制造者首先要確定要攻擊的操作系統版本的漏洞,這是他編寫的病毒利用的關鍵。Windows沒有有效的內在安全功能,用戶經常在沒有管理員權限的情況下運行未經安全檢查的軟件,這也為Windows下的病毒泛濫提供了溫床。對於Linux、Mac OS等操作系統,用戶數量相對較少,病毒壹般不容易傳播。大多數病毒發布者有各種各樣的目的,包括惡作劇、破壞、報復、成名和對病毒研究的特殊愛好。
病毒主要通過互聯網瀏覽和下載、盜版CD或DVD以及可移動磁盤快速傳播。[8]
[編輯]命名
下表是國際病毒命名約定的前綴解釋,DOS下的病毒壹般沒有前綴:
前綴含義
宏病毒WM Word6.0和Word95
WM97 Word97宏病毒
XM Excel5.0,Excel95宏病毒
X97M Excel5.0和Excel97。
XF Excel程序病毒
AM Access95宏病毒
AM97M Access97宏病毒
W95 Windows95,98病毒
Win Windows3.x病毒
W32 32位病毒感染所有32位Windows系統。
WINT 32位Windows病毒,只感染Windows NT。
特洛伊/特洛伊木馬
用VBS VBScript編程語言編寫的病毒
VSM感染了Visio VBA(Visual Basic for Applications)宏或腳本的宏或腳本病毒。
用JS JScript編程語言寫的壹個病毒。
帶有PE 32位尋址的Windows病毒
OSX·麥克·OSX病毒
中間部分是指病毒的英文名,後綴壹般是變種代碼。
[編輯]功能
在計算機科學中,計算機病毒是壹種類似於生物病毒的程序,它會自我復制並傳播到其他主機,並對主機造成損害。主機也是壹個程序,通常是操作系統,它進壹步感染其他程序和其他計算機。計算機病毒通常在傳播過程中隱藏自己,由特定條件觸發,並開始造成損害。
計算機病毒的不良特征有傳播性、隱蔽性、傳染性、潛伏性、興奮性[9]、表現性或破壞性。通常,只要表現出以上兩個以上的特征,程序就可以被識別為病毒。
計算機病毒的生命周期是發展期、感染期、潛伏期、攻擊期、發現期、消化期和滅絕期。[8][10]
[編輯]主要功能的詳細說明
[編輯]溝通
病毒通常通過使用25個電子郵件端口自動傳播,利用了與微軟操作系統綁定的Outlook中的壹個漏洞。自動復制病毒並發送給存儲的通訊錄列表中的成員。電子郵件標題吸引人們點擊,大多使用“我愛妳”等社交工程作為家人和朋友之間的親密話語,以降低人們的警惕性。如果病毒制作者再次應用腳本漏洞,將病毒直接嵌入郵件中,那麽用戶只要打開帶有壹點標題的郵件,就會感染病毒。
[編輯]隱藏
最大的病毒只有1MB,壹般的病毒只有1KB左右,不僅傳播速度快,而且隱蔽性極強。有些病毒使用了“無進程”技術,或者被插入到壹個系統必要的關鍵進程中(在工作管理器中的處理程序中,無法關閉),所以在任務管理器中找不到。病毒本身壹旦運行,就會修改文件名,藏在壹個用戶不常去的系統文件夾裏。這樣的文件夾通常有上千個系統文件,手工搜索很難找到病毒。病毒在運行前的偽裝技術也值得我們關註。病毒和壹個吸引他的文件綁定合並成壹個文件,所以當吸引他的文件正常運行時,病毒也在我們的操作系統中悄悄運行。
[編輯]傳染性
有些病毒是有傳染性的,比如中毒用戶電腦上的可執行文件,比如exe、bat、scr、com格式。這樣就可以達到自我復制,自我保護的目的。通常我們還可以利用網絡共享的漏洞復制傳播給鄰居的電腦用戶,讓鄰居家的電腦通過路由器或者網吧的電腦訪問互聯網的程序全部被感染。
[編輯]延遲
有些病毒有壹定的“潛伏期”,會在特定的日子準時爆發,比如某個節日或者壹周中的某壹天。例如,在1999破壞BIOS的CIH病毒在每年的4月26日爆發。這就像生物病毒壹樣,讓電腦病毒在爆發前最大限度的傳播。
[編輯]興奮性
根據病毒作者的“需求”,設置觸發病毒攻擊的“奧秘”。例如,CIH病毒的制作者陳盈豪打算設計的病毒是為簡體中文的Windows系統“精心”設計的。病毒運行後,會主動檢測中毒者操作系統的語言。如果發現操作系統的語言是簡體中文,病毒就會自動攻擊電腦,而且語言不是簡體中文版的Windows,所以即使妳運行了病毒,病毒也不會攻擊或者破壞妳的電腦。[11]
[編輯]表現力
病毒運行後,如果是作者設計的,會有壹定的性能特征,如CPU占用率100%,無需用戶任何操作即可讀寫硬盤或其他磁盤數據,死機藍屏,鼠標右鍵無法使用等。但如此明顯的表現特征,反而有助於感染者發現自己已經感染了病毒,對清除病毒很有幫助,所以隱蔽性是不存在的。
[編輯]破壞性
壹些強大的病毒運行後直接格式化用戶的硬盤數據,更有甚者可以破壞引導扇區和BIOS,對硬件環境造成了相當大的破壞。
[編輯]分類
根據中國國家計算機病毒應急處理中心公布的報告統計,近45%的病毒為特洛伊馬,蠕蟲病毒占總病毒的25%以上,腳本病毒占15%以上。其余的病毒類型是文件病毒、破壞性程序和宏病毒。
[編輯]特洛伊馬/僵屍網絡
主入口:特洛伊馬
也叫遠程監控軟件。如果特洛伊馬能夠連接上,可以說它已經獲得了遠程計算機的所有操作權限。操作遠程電腦和操作自己的電腦沒有太大區別。這類程序可以監控被控用戶的攝像頭,截獲密碼。Windows NT較新版本附帶的“遠程桌面連接”如果被不良用戶使用,無異於特洛伊木馬。
主要項目:僵屍網絡
用戶壹旦中毒,就會變成“僵屍”或“肉雞”,成為黑客手中的“機器人”。通常情況下,黑客或腳本小子可以利用成千上萬的“僵屍”發送大量虛假包或垃圾數據包來攻擊預定目標,導致被攻擊目標癱瘓。
[編輯]有害軟件
主要條目:蠕蟲病毒
蠕蟲利用類(Worm exploit class),也是最常見的病毒,通常會在全球範圍內大規模爆發。如沖擊波病毒和沖擊波病毒對抗未打補丁的舊版本Windows XP。有時候用僵屍網絡,主要用緩存溢出技術。
主營項目:灰色軟件
間諜軟件和流氓軟件是壹些不良網絡公司制作的軟件,用來收集用戶的瀏覽習慣,制定自己的廣告策略。這類軟件本身對電腦的傷害不是很大,但是中毒者的隱私被泄露和收集,壹旦安裝就無法正常刪除和卸載。比如ie瀏覽器的廣告軟件,會自動修改並鎖定用戶的默認主頁,加載廣告公司的工具欄。
主要項目:惡意軟件
惡作劇軟件,如破壞性的“網格炸彈”,運行程序後自動格式化硬盤,原本只是為了“忽悠”用戶,但這種惡意程序運行後會對用戶的重要數據造成巨大損失。DOS中的文件感染病毒和根扇區病毒也是如此。
[編輯]腳本病毒
主條目:宏病毒
宏病毒感染微軟開發的office系列軟件。微軟Word、Excel這些辦公軟件,支持運行命令,可以執行某些文件操作,所以也被Office文檔中的惡意宏病毒所利用。Openoffice.org只支持編輯微軟的VBS宏,不運行,所以含有宏病毒的MS Office文檔在openoffice.org打開後無法運行。
[編輯]免殺技術和新功能
免殺指的是壹種處理病毒的技術,使其可以避免被殺毒軟件查殺。通常,在病毒作者傳播之前,病毒本身不會被殺死。甚至可以說“病毒比殺毒軟件更新,所以殺毒軟件根本識別不出它是病毒”。但由於傳播後有用戶向殺毒軟件公司舉報中毒,會引起安全公司的註意,將其特征碼納入其病毒庫,病毒會被殺毒軟件識別。
病毒作者可以輕松避開殺毒軟件的病毒特征碼庫,通過對病毒的重新保護,比如使用匯編指令或者給文件添加外殼,避免被殺毒軟件查殺。
來自羅馬尼亞的BitDefender、俄羅斯的卡巴斯基反病毒、斯洛伐克的Dr.Web、NOD32、美國的諾頓殺毒、McAfee、西班牙的熊貓殺毒等產品在國際上的口碑都很好[12],但是它們的反病毒和查殼能力有限,病毒庫總數目前也只有幾十萬左右。
自我修補是近年來病毒的另壹個新特征。病毒可以借助網絡打補丁,獲得最新的無病毒版本,繼續在用戶感染的電腦上運行。比如熊貓燒香病毒的作者建立了壹個“病毒升級服務器”,在最頻繁的幾個小時內每天升級病毒8次,比某些殺毒軟件病毒庫打補丁還快,所以殺毒軟件無法識別病毒。
很多病毒除了自殺、自打補丁之外,還有殺毒軟件和防火墻產品殺毒軟件針對它們的全新功能。只要病毒運行,病毒就會自動破壞中毒電腦上安裝的殺毒軟件和防火墻產品,比如病毒自帶的驅動Rootkit防護強制檢測,結束殺毒軟件進程。可以通過主流殺毒軟件“主動防禦”,穿透軟硬件恢復的機器狗[13],自動修改系統時間,導致部分殺毒軟件廠商正版認證失效,殺毒軟件失效,從而讓病毒更加強大。
隨著免殺技術的泛濫,同壹個原型病毒理論上可以衍生出幾乎無窮無盡的變種,這給依靠特征碼技術檢測的殺毒軟件帶來了極大的麻煩。近年來,國際反病毒界普遍開展了多種前瞻性的技術研究,試圖扭轉過度依賴特征碼造成的不利局面。目前代表產品是基於虛擬機技術的啟發式掃描軟件,代表廠商NOD32和Dr.Web,基於行為分析技術的主動防禦軟件,代表廠商中國微點主動防禦軟件。
[編輯]預防
修復操作系統及其捆綁軟件中的漏洞。
主條目:Microsoft Update
為系統及其捆綁軟件(如Internet Explorer和Windows Media Player)安裝漏洞安全補丁。以Windows為例。Windows NT及以下版本可以安裝在微軟更新補丁系統,Windows 2000SP2或以上,Windows XP和Windows 2003等。您可以使用系統的“自動補丁”程序下載補丁。設置強系統密碼,關閉系統默認網絡共享,防止局域網入侵或弱密碼蠕蟲傳播。定期檢查系統配置實用程序的啟動選項卡,並停止未知的Windows服務。
及時安裝和修補殺毒軟件和防火墻產品。
保留最新的病毒庫,這樣可以找出最新的病毒。例如,壹些殺毒軟件升級服務器有新的病毒庫包,供用戶每小時打壹次補丁。在使用防火墻時,要註意禁止未知軟件訪問網絡。由於免殺、進程註入等原因,壹些病毒很容易穿過殺毒和防火墻的雙重防禦。這種情況下要註意使用專用防火墻防止進程註入,並經常檢查啟動項和服務。壹些專門的防火墻可以“主動防禦”,實時監控註冊表,每次不良程序針對電腦的惡意操作,都能攔截阻斷。
不要點擊未知連接和運行未知程序[14]
未知連接很可能是蠕蟲通過電子郵件或即時通訊軟件自動發送的,如QQ病毒之壹的QQ tail。這些信息中大部分的聯系指向了利用IE瀏覽器漏洞的網站。用戶訪問這些網站後,可能會直接獲得更多的病毒,而無需下載。另外,不要運行來歷不明的程序,比如壹些騙人點擊的“性誘惑”文件名,點擊後病毒就會在系統中運行。