計(jì)算機(jī)病毒種類
計(jì)算機(jī)病毒種類
惡性程序碼的類別中,電腦病毒和蠕蟲(chóng)是較具破壞力,因?yàn)樗鼈冇袕?fù)制的能力,從而能夠感染遠(yuǎn)方的系統(tǒng)。
計(jì)算機(jī)病毒種類:
引導(dǎo)區(qū)電腦病毒
文件型電腦病毒
復(fù)合型電腦病毒
宏病毒
特洛伊/特洛伊木馬
蠕蟲(chóng)
其他電腦病毒/惡性程序碼的種類和制作技巧
引導(dǎo)區(qū)電腦病毒
90年代中期,最為流行的電腦病毒是引導(dǎo)區(qū)病毒,計(jì)算機(jī)病毒種類主要通過(guò)軟盤在16位元磁盤操作系統(tǒng)(DOS)環(huán)境下傳播。引導(dǎo)區(qū)病毒會(huì)感染軟盤內(nèi)的引導(dǎo)區(qū)及硬盤,而且也能夠感染用戶硬盤內(nèi)的主引導(dǎo)區(qū)(MBR)。一但電腦中毒,每一個(gè)經(jīng)受感染電腦讀取過(guò)的軟盤都會(huì)受到感染。
引導(dǎo)區(qū)電腦病毒是如此傳播:隱藏在磁盤內(nèi),在系統(tǒng)文件啟動(dòng)以前電腦病毒已駐留在內(nèi)存內(nèi)。這樣一來(lái),電腦病毒就可完全控制DOS中斷功能,以便進(jìn)行病毒傳播和破壞活動(dòng)。那些設(shè)計(jì)在DOS或Windows3.1上執(zhí)行的引導(dǎo)區(qū)病毒是不能夠在新的電腦操作系統(tǒng)上傳播,所以這類的電腦病毒已經(jīng)比較罕見(jiàn)了。
典型例子:
Michelangelo是一種引導(dǎo)區(qū)病毒。計(jì)算機(jī)病毒種類它會(huì)感染引導(dǎo)區(qū)內(nèi)的磁盤及硬盤內(nèi)的MBR。當(dāng)此電腦病毒常駐內(nèi)存時(shí),便會(huì)感染所有讀取中及沒(méi)有寫(xiě)入保護(hù)的磁盤。除此以外,Michelangelo會(huì)于3月6日當(dāng)天刪除受感染電腦內(nèi)的所有文件。
文件型電腦病毒
文件型電腦病毒,又稱寄生病毒,通常感染執(zhí)行文件(.EXE),但是也有些會(huì)感染其它可執(zhí)行文件,如DLL,SCR等等...每次執(zhí)行受感染的文件時(shí),電腦病毒便會(huì)發(fā)作:電腦病毒會(huì)將自己復(fù)制到其他可執(zhí)行文件,并且繼續(xù)執(zhí)行原有的程序,以免被用戶所察覺(jué)。
典型例子:
CIH會(huì)感染W(wǎng)indows95/98的.EXE文件,并在每月的26號(hào)發(fā)作日進(jìn)行嚴(yán)重破壞。于每月的26號(hào)當(dāng)日,此電腦病毒會(huì)試圖把一些隨機(jī)資料覆寫(xiě)在系統(tǒng)的硬盤,令該硬盤無(wú)法讀取原有資料。此外,這病毒又會(huì)試圖破壞FlashBIOS內(nèi)的資料。
復(fù)合型電腦病毒
復(fù)合型電腦病毒具有引導(dǎo)區(qū)病毒和文件型病毒的雙重特點(diǎn)。
宏病毒
與其他電腦病毒類型的分別是宏病毒是攻擊數(shù)據(jù)文件而不是程序文件。
宏病毒專門針對(duì)特定的應(yīng)用軟件,可感染依附于某些應(yīng)用軟件內(nèi)的宏指令,它可以很容易透過(guò)電子郵件附件、軟盤、文件下載和群組軟件等多種方式進(jìn)行傳播如MicrosoftWord和Excel。宏病毒采用程序語(yǔ)言撰寫(xiě),例如VisualBasic或CorelDraw,而這些又是易于掌握的程序語(yǔ)言。宏病毒最先在1995年被發(fā)現(xiàn),在不久后已成為最普遍的電腦病毒。
典型例子:
JulyKiller這個(gè)電腦病毒通過(guò)VB宏在MSWord97文件中傳播。一但打開(kāi)染毒文件,這病毒首先感染共用范本(normal.dot),從而導(dǎo)致其它被打開(kāi)的文件一一遭到感染。此電腦病毒的破壞力嚴(yán)重。如果當(dāng)月份是7月時(shí),這病毒就會(huì)刪除c:\的所有文件。
特洛伊/特洛伊木馬
特洛伊或特洛伊木馬是一個(gè)看似正當(dāng)?shù)某绦颍聦?shí)上當(dāng)執(zhí)行時(shí)會(huì)進(jìn)行一些惡性及不正當(dāng)?shù)幕顒?dòng)。計(jì)算機(jī)病毒種類特洛伊可用作黑客工具去竊取用戶的密碼資料或破壞硬盤內(nèi)的程序或數(shù)據(jù)。與電腦病毒的分別是特洛伊不會(huì)復(fù)制自己。它的傳播技倆通常是誘騙電腦用戶把特洛伊木馬植入電腦內(nèi),例如通過(guò)電子郵件上的游戲附件等。
典型例子:
BackOrifice特洛伊木馬于1998年發(fā)現(xiàn),是一個(gè)Windows遠(yuǎn)程管理工具,讓用戶利用簡(jiǎn)單控制臺(tái)或視窗應(yīng)用程序,透過(guò)TCP/IP去遠(yuǎn)程遙控電腦。
蠕蟲(chóng)
蠕蟲(chóng)是另一種能自行復(fù)制和經(jīng)由網(wǎng)絡(luò)擴(kuò)散的程序。它跟電腦病毒有些不同,電腦病毒通常會(huì)專注感染其它程序,但蠕蟲(chóng)是專注于利用網(wǎng)絡(luò)去擴(kuò)散。從定義上,電腦病毒和蠕蟲(chóng)是非不可并存的。隨著互聯(lián)網(wǎng)的普及,蠕蟲(chóng)利用電子郵件系統(tǒng)去復(fù)制,例如把自己隱藏于附件并于短時(shí)間內(nèi)電子郵件予多個(gè)用戶。有些蠕蟲(chóng)(如CodeRed),更會(huì)利用軟件上的漏洞去擴(kuò)散和進(jìn)行破壞。
典型例子:
于1999年6月發(fā)現(xiàn)的Worm.ExploreZip是一個(gè)可復(fù)制自己的蠕蟲(chóng)。計(jì)算機(jī)病毒種類當(dāng)執(zhí)行時(shí),它會(huì)把自己隱藏在附件,經(jīng)電子郵件傳送予通訊錄內(nèi)的收件人。在Windows環(huán)境下,若用戶開(kāi)啟附件,就會(huì)自動(dòng)執(zhí)行蠕蟲(chóng)。在Windows95/98環(huán)境下,此蠕蟲(chóng)以Explore.exe為名,把自己復(fù)制到C:\windows\system目錄,以及更改WIN.INI文件,以便系統(tǒng)每次啟動(dòng)時(shí)便會(huì)自動(dòng)執(zhí)行蠕蟲(chóng)。
管理工具,讓用戶利用簡(jiǎn)單控制臺(tái)或視窗應(yīng)用程序,透過(guò)TCP/IP去遠(yuǎn)程遙控電腦。
其他病毒/惡性程序碼的種類和制作技巧
電腦病毒及防毒科技不斷變更。因應(yīng)用戶轉(zhuǎn)移至新的平臺(tái)或新的科技,電腦病毒編寫(xiě)者會(huì)試圖研制及傳播新的電腦病毒。例如,在Java及LotusNotes平臺(tái)上的電腦病毒已在近幾年出現(xiàn),其中首只Java病毒(Java.StrangeBrew)是在一九九八年九月上被發(fā)現(xiàn)的。所以,我們不應(yīng)對(duì)于有關(guān)電腦病毒將會(huì)侵占新的電腦平臺(tái)的報(bào)導(dǎo),例如Macromedia、個(gè)人PDA、流動(dòng)儀器或.NET等等而感到驚訝。
以下是現(xiàn)今電腦病毒普遍所采用的技巧:
ActiveContent
VBScript病毒
對(duì)于電腦病毒的發(fā)展,以下有一于趨勢(shì)預(yù)計(jì):
與軟件上的保安漏洞更多結(jié)合
采用多種途徑去散播
可感染多種不同的電腦平臺(tái)
其實(shí),以上所提出的預(yù)測(cè)己經(jīng)發(fā)現(xiàn)在現(xiàn)今一些先進(jìn)的電腦病毒中。例如在Nimda中,它會(huì)使用IIS和IE的保安漏洞去感染服務(wù)器和工作站。Nimda這種復(fù)雜的電腦病毒還采用多種途徑去散播,其中包括電子郵件、網(wǎng)絡(luò)上的共用資源、由CodeRedII所留下的后門、和通過(guò)瀏覽已感染了Nimda的服務(wù)器上的網(wǎng)頁(yè)。計(jì)算機(jī)病毒種類此外,可以同時(shí)感染W(wǎng)indows和Linux的電腦病毒,已經(jīng)在2001年被首次發(fā)現(xiàn)。
在啟動(dòng)項(xiàng)里咯,一些.DLL .com .exe 文件
一是看啟動(dòng)項(xiàng)和任務(wù)進(jìn)程
用殺毒軟件和一些流氓軟件清理工具(比方:windows清理助手等)來(lái)查殺,別一個(gè)就是看注冊(cè)表了