|
|
|
本节从计算机病毒的特点、分离、发展趋势来介绍计算机病毒。
|
|
|
|
|
|
传统意义上的计算机病毒一般具有破坏性、隐蔽性、潜伏性、传染性等特点。随着计算机软件和网络技术的发展,在今天的网络时代,计算机病毒又有了很多新的特点:
|
|
|
|
(1)主动通过网络和邮件系统传播。从当前流行的计算机病毒来看,绝大部分病毒都可以利用邮件系统和网络进行传播。例如,“求职信”病毒就是通过电子邮件传播的,这种病毒程序代码往往夹在邮件的附件中,当收邮件者点击附件时,病毒程序便得以执行并迅速传染。它们还能搜索计算机用户的邮件通信地址,继续向网络进行传播。
|
|
|
|
(2)传播速度极快。由于病毒主要通过网络传播,因此一种新病毒出现后,可以迅速通过国际互联网传播到世界各地。例如,“爱虫”病毒在一两天内迅速传播到世界的主要计算机网络,并造成欧美国家的计算机网络瘫痪。
|
|
|
|
(3)变种多。现在很多新病毒都不再使用汇编语言编写,而是使用高级程序设计语言。例如,“爱虫”是脚本语言病毒,“美丽杀”是宏病毒。它们容易编写,并且很容易被修改,生成很多病毒变种。“爱虫”病毒在十几天中,就出现了三十多个变种。“美丽杀”病毒也生成了三四个变种,并且此后很多宏病毒都是使用了“美丽杀”的传染机理。这些变种的主要传染和破坏的机理与母本病毒一致,只是某些代码作了修改。
|
|
|
|
(4)具有病毒、蠕虫和黑客程序的功能。随着网络技术的普及和发展,计算机病毒的编制技术也在不断地提高。过去病毒最大的特点是能够复制自身给其他的程序。现在计算机病毒具有了蠕虫的特点,可以利用网络进行传播。同时有些病毒还具有了黑客程序的功能,一旦侵入计算机系统后,病毒控制者可以从入侵的系统中窃取信息,远程控制这些系统。呈现出计算机病毒功能的多样化,因而更具有危害性。
|
|
|
|
|
|
|
|
(1)文件型病毒。文件型病毒通过在执行过程中插入指令,把自己依附在可执行文件上。然后,利用这些指令来调用附在文件中某处的病毒代码。当文件行时,病毒会调出自己的代码来执行,接着又返回到正常的执行指令序列。通常这个执行过程发生得很快,以至于用户并不知道病毒代码已被执行。
|
|
|
|
(2)引导扇区病毒。引导扇区病毒改变每一个用DOS格式来格式化的磁盘的第一个扇区里的程序。通常引导扇区病毒先执行自身的代码,然后再继续PC的启动进程。大多数情况,在一台染有引导型病毒的计算机上对可读写的软盘进行读写操作时,这块软盘也会被感染该病毒。引导扇区病毒会潜伏在软盘的引导扇区里,或在硬盘的引导扇区或主引导记录中插入指令。此时,如果计算机从被感染的软盘引导时,病毒就会感染到引导硬盘,并把自己的代码调入内存。触发引导区病毒的典型事件是系统日期和时间。
|
|
|
|
(3)混合型病毒。混合型病毒有文件型和引导扇区型两类病毒的某些共同特性。当执行一个被感染的文件时,它将感染硬盘的引导扇区或主引导记录,并且感染在机器上使用过的软盘。这种病毒能感染可执行文件,从而能在网上迅速传播蔓延。
|
|
|
|
(4)变形病毒。变形病毒随着每次复制而发生变化,通过在可能被感染的文件中搜索简单、专门的字节序列,是不能检测到这种病毒的。变形病毒是一种能变异的病毒,随着感染时间的不同而改变其不同的形式,不同的感染操作会使病毒在文件中以不同的方式出现,使传统的模式匹配法杀毒软件对这种病毒显得软弱无力。
|
|
|
|
(5)宏病毒。宏病毒不只是感染可执行文件,它可以感染一般软件文件。虽然宏病毒不会对计算机系统造成严重的危害,但它仍令人讨厌。因为宏病毒会影响系统的性能及用户的工作效率。宏病毒是利用宏语言编写的,不受操作平台的约束,可以在DOS、Windows、UNIX甚至在OS/2系统中散播。这就是说宏病毒能被传播到任何可运行编写宏病毒的应用程序的机器中。
|
|
|
|
|
|
随着Internet的发展和计算机网络的日益普及,计算机病毒出现了一系列新的发展趋势。
|
|
|
|
(1)无国界。新病毒层出不穷,电子邮件己成为病毒传播的主要途径。病毒家族的种类越来越多,且传播速度大大加快,传播空间大大延伸,呈现无国界的趋势。
|
|
|
|
(2)多样化。随着计算机技术的发展和软件的多样性,病毒的种类也呈现多样化发展的势态,病毒不仅仅有引导型病毒、普通可执行文件型病毒、宏病毒、混合型病毒,还出现专门感染特定文件的高级病毒。特别是Java、Visual Basic和ActiveX的网页技术逐渐被广泛使用后,一些人就利用这些技术来撰写病毒。
|
|
|
|
(3)破坏性更强。新病毒的破坏力更强,手段比过去更加狠毒和阴险,它可以修改文件(包括注册表)、通信端口,修改用户密码,挤占内存,还可以利用恶意程序实现远程控制等。
|
|
|
|
(4)智能化。过去人们的观点是“只要不打开电子邮件的附件,就不会感染病毒”。但是新一代计算机病毒却令人震惊,例如“维罗纳(Verona)”病毒是一个真正意义上的“超级病毒”,它不仅主题众多,而且集邮件病毒的几大特点为一身,令人无法设防。最严重的是它将病毒写入邮件原文。这正是“维罗纳”病毒的新突破,一旦用户收到了该病毒邮件,无论是无意间用Outlook打开了该邮件,还是仅仅使用了预览,病毒就会自动发作,并将一个新的病毒邮件发送给邮件通信录中的地址,从而迅速传播。
|
|
|
|
(5)更加隐蔽化。和过去的病毒不一样,新一代病毒更加隐蔽,主题会随用户传播而改变,而且许多病毒还会将自己伪装成常用的程序,或将病毒代码写入文件内部,而文件长度不发生任何改变,使用户不会产生怀疑。
|
|
|
