Episode II 计算机病毒概论

Episode II

计算机病毒概论

3

Fred Cohen

erodnFCh

对计算机病毒的定义

• A program that can

‘

infect

itcenf

’

other

programs by modifying them to include a

possibly evolved copy of itself.

Computer Virus - Theory and Experiments,

1984

• 计算机病毒是一种程序

• 它可以感染其它程序

• 感染的方式为在被感染程序中加入计算机

病毒的一个副本

• 这个副本可能是在原病毒基础上演变来的

4

Eugene H.

Spafford

faoSdpfr

对计算机病毒的定义

• Virus is a piece of code that adds itself to

other programs, including operating

systems. It cannot run independently and

it requires that its 'host' program be run

to activate it.

The Internet worm program: an analysis, 1988

• 计算机病毒是一段代码

• 能把自身加到其它程序包括操作系统上

• 它不能独立运行，需要由它的宿主程序运

行来激活它

5

G. C. Merriam

对计算机病毒的定义

• A computer program usually hidden

within another seemingly innocuous

program that produces copies of

itself and inserts them into other

programs and that usually performs

a malicious action (as destroying

data).

Merriam-Webster dictionary, 1993

6

目前我国比较通用的定义

• 计算机病毒，是指编制或者在计算

机程序中插入的破坏计算机功能或

者毁坏数据，影响计算机使用，并

能自我复制的一组计算机指令或者

程序代码。

《中华人民共和国计算机信息系统安全保

护条例》第二十八条，1994

7

病毒的特性

• 主动传染性

• 破坏性（可执行）

• 寄生性

• 隐蔽性（潜伏和隐身）

• 不可预见性

8

部分术语和定义

• 病毒宿主 virus host

病毒能够感染的对象(如：文件、引导记录区等)。

• 病毒样本 virus sample

含有计算机病毒、可独立运行并能结束自我进程

的程序。

• 病毒样本库 set of virus sample

由各类病毒样本组成的集合。

• 流行病毒 prevalent virus(in-the-wild virus)

由两个以上不同地区的用户或反病毒厂商提供的

出现过的病毒、蠕虫和黑客程序，并由检验机构

认证后的病毒集合。

• 传染 infecting

计算机病毒将自身复制于其它程序或存储媒体中。

9

部分术语和定义

• （实时）预防（Real-time）protecting

运行染有计算机病毒的程序时，计算机病毒防治

产品能够对其传染行为予以阻止。

• 检测病毒 detecting virus

对于确定的测试环境，能够准确地报出病毒名

称；该环境包括：内存、文件、扇区(

引导区、

主引导区)

、网络等。

• 清除病毒 cleaning virus

根据不同类型的病毒对感染对象的修改，并按照

病毒的感染特性所进行的恢复，该恢复过程不能

破坏未被病毒修改的内容。

• 误报 false alarm

指病毒防治产品将正常系统或文件报为含有病

毒，或将正常操作报为病毒行为。

10

病毒的传播途径

• 移动存储设备（软盘、光盘、磁带、ZIP

、

JAZ

JZA

、U

盘/USB

活动硬盘，IEEE 1394

活

动存储设备，等等）

• 电子函件

• BBS

和新闻组

• Web

bWe

页面（恶意代码自动下载执行）

• 局域网（文件共享）

• 媒体文件中嵌入的恶意网页访问（等同于

通过Web

bWe

页面传播）

11

病毒的传播途径（续）

• Internet

tIernte

（FTP

、P2P

等）

• 即时通讯软件（MSN

，QQ

等）

• 蓝牙设备（Bluetooth

ltohuBoet

）

• 无线移动设备（Wi-Fi

i-设备、PDA

等）

• 手机彩信

• 专门的硬件芯片

• . . .

12

病毒发作前的现象

• 系统随机性死机

• 计算机偶尔出现引导失败

• Windows

snWdiow

运行不稳定或无法正常启动

• 运行速度明显变慢、上网速度时快时慢

• 曾经正常运行的软件报内存不足、发生死

机或非法错误

• 打印和通讯发生异常

• 系统文件的时间、长度发生变化、网络数

据卷无法调用

13

病毒发作前的现象（续）

• 文档另存时无法以正常的文档格式保存

• 无意中要求对软盘进行写操作

• 磁盘空间迅速减少

• 基本内存发生变化

• 收到标题很诱人且夹带附件的电子函件

• 浏览器自动链接到一些陌生的网站

14

病毒发作时的现象

• 提示一段不相干的话

• 发出一段音乐

• 产生特定的图象

• 硬盘灯不断闪烁或长亮

• 强制进行游戏

• Windows

snWdiow

桌面图标发生变化

• 屏幕上突然全黑没有显示

15

病毒发作时的现象（续）

• 自动弹出对话框

• 鼠标键盘失去响应或自己在动

• 计算机突然自动重启或死机

• 自动发送电子函件或自动打开网页

• 不断往外发送网络数据包

16

病毒发作后的现象

• 系统无法启动

• 硬盘无法访问

• 系统文件丢失

• CPU/

内存等系统资源大量被占用

• 浏览器/

应用程序标题等设置被修改

• 文件、目录被修改，发生混乱

• 数据和文档丢失

17

病毒发作后的现象（续）

• 部分文档自动加密码

• 丢失被病毒加密的有关数据

• 硬盘被格式化

• 网络通讯受阻，无法上网

• 造成计算机硬件故障

18

病毒的分类标准

• 按破坏性质划分

良性病毒、恶性病毒

• 按所攻击的操作系统划分

DOS病毒、Windows病毒、Linux病毒、Unix

病毒…

• 按表观来划分

简单病毒(

也称伴随型病毒)

、变形病毒

• 根据感染的途径及采用的技术划分

引导型病毒、文件型病毒、混合型病毒...

19

通常采用的病毒分类方法

• 目前通常根据感染的途径及采用的

技术来划分计算机病毒的种类。

• 传统分类

• 引导型病毒（Boot Sector Virus

）：只感染引

导扇区

• 可执行文件型病毒（Executable Virus

）：只

感染可执行文件

• 混合型病毒（Multipartite Virus

）：既感染引

导扇区又感染文件

20

目前流行的病毒分类

• 保留引导型病毒、混合型病毒类别

• 将可执行文件型病毒细分为DOS

病毒、

Windows

sodnwWi

病毒、Win32/PE

23nPEWi

病毒等

• 变形病毒（Polymorphic/Mutation Virus

）

• 宏病毒（Macro Virus

）

• 电子函件病毒（Email Virus

）

• 脚本病毒（Script Virus

）

• 网络蠕虫（Network worm

）

• 黑客程序（Hack program

）

21

目前流行的病毒分类

• 木马/

后门程序（Trojan / Backdoor /

trapdoor program

）

• Java

恶意代码（Java malicious code

）

• 恶意网页（malicious HTML

icaoLTmMHlus

）

• 间谍程序（Spyware

eaSrpyw

）

• 密码窃取程序（Password Stealer

seraodPwlsr ）

• ELF

病毒

• 手机病毒

• . . .

22

目前暂不被认为是病毒的…

• 垃圾邮件（Spam

）

• 商业电子广告（

UCE

：Unsolicited

Commercial Email

ilceraoCmEilm

）

• 广告软件（Ad-ware

eadAwr-

）

• 自动拨号软件（Auto Dialer

ieraouA ）

• Spider

rSdepi

软件，又称Robot

或Crawler

leraCw

• 各种软件的破解工具（Loader

roLade

、patcher

crhpeat

）

• 各种游戏的工具（trainer

tranie

、cheater

cerahte

）

23

病毒？非病毒？

• 网络谣言？（Hoaxes

soHaxe

）

• 网络“

钓鱼”

？（Phishing

）

• 逻辑？（Logical bomb

caobLblgoim

）

24

病毒“

僵尸”

• “

僵尸”

是指失去“

活性”

的病毒代码

• 不会被正常的程序流程所执行到

• 但是具有病毒的一切特征

• 可能会被特殊的调用所执行

• 一般被认为是病毒，按通常方法处理

• 造成“

僵尸”

的原因可能是不正确的病毒清

除方法，或是多重感染

25

病毒的命名

• 国际上没有统一的命名规则

• 原则：同一厂商对同一病毒及变种的命名

一致

• 一般采用病毒体字节数、病毒体内的特征

字符串、发作的现象、发作的时间以及相

关的事件、病毒的发源地、病毒生成的文

件名，等等来命名病毒。

• 通常还会加上某些指明病毒属性的前缀，

如W32/xxx

，W97M.mmm

mWm97M

等；还会加上

后缀标识变种版本，一般为英文字母

26

WildList

iltsdLWi

组织——

充当“

翻译者”

• WildList

iltsdLWi

组织会在其网站

(http://

www.wildlist.org

)

上定期公布

目前世界上“

在野”

（in-the-wild

）的

病毒，并有对此病毒的不同别名

（alias

）

• 提供一种不同厂商间病毒名的对应

方法

• 目前各个厂商对病毒的命名都有向

WildList

iltsdLWi

组织的命名靠拢的趋势

• 中国的厂商有些例外

27

常见的病毒名前缀的含义

• 无前缀：DOS

病毒或是可执行文件型病

毒，或是较老的病毒

• W16/Win/Win16/NE

nENW/：感染16

位Windows

snWdiow

系统exe

文件（NE

格式）的病毒

• W32/Win32/PE

nPEW3i322/ ：感染32

位Windows

snWdiow

操作

系统的病毒，一般以感染exe

格式的文件

（PE

格式文件）为主

• O97M/WM/W97M/X97M

等：宏病毒

• Troj

/backdoor

：木马程序/

后门程序

• Hack

akHc

：黑客程序

28

常见的病毒名前缀的含义（续）

• Spy/

Spyware

eaSrpyw

：间谍软件

• WORM

RMWO

：网络蠕虫

• VBS/JS

：脚本病毒

• Java

：Java

恶意代码

• HTML

：恶意网页

• PWSteal

：密码窃取程序

29

容易混淆的地方

• 进行dir操作不会感染病毒

• 复制光盘上带有病毒的文件到硬盘上会中病毒

• FTP下载带毒文件会中病毒

• Windows操作系统的自动预览不会激活病毒

• 使用Outlook Express不双击打开邮件就不会中毒

• 用记事本程序打开带病毒的文件也会感染病毒

• Linux/Unix

不会感染病毒

• 未装反病毒软件就一定不安全

• 装了反病毒软件，系统不及时打补丁也不要紧

• 安装个人防火墙可以抵御住各种网络病毒