簡介

?? 在本文中簡要介紹了計算機病毒的演變，從最初相對簡單的病毒到如今存在的各種各樣的惡意軟件。本文定義了已知惡意軟件類型和技術的分類，同時提供有關的信息。

?? 1、計算機病毒的演變

?? 20 世紀 80 年代早期出現了第一批計算機病毒。這些早期的嘗試大部分是試驗性的，并且是相對簡單的自行復制的文件，它們僅在執行時顯示簡單的惡作劇而已。

?? 1986 年，報道了攻擊 Microsoft? MS-DOS? 個人計算機的第一批病毒；人們普遍認為 Brain 病毒是這些計算機病毒中的第一種病毒。然而，1986 年出現的其他首批病毒還包括 Virdem（第一個文件病毒）和 PC-Write（第一個特洛伊木馬病毒，此程序看上去有用或無害，但卻包含了旨在利用或損壞運行該程序的系統的隱藏代碼。）在 PC-Write 中，特洛伊木馬程序偽裝成一個同名的流行共享軟件：字處理器應用程序。

?? 隨著更多的人開始研究病毒技術，病毒的數量、被攻擊的平臺數以及病毒的復雜性和多樣性都開始顯著提高。病毒在某一時期曾經著眼于感染啟動扇區，然后又開始感染可執行文件。1988 年出現了第一個 Internet 蠕蟲病毒（一種使用自行傳播惡意代碼的惡意軟件，它可以通過網絡連接，自動將其自身從一臺計算機分發到另一臺計算機）。Morris Worm 導致 Internet 的通信速度大大地降低。為了應對這種情況以及病毒爆發次數的不斷增長，出現了 CERT Coordination Center（網址：http://www.cert.org/），通過協調對病毒爆發和事件的響應來確保 Internet 的穩定性。

?? 1990 年，網上出現了病毒交流布告欄，成為病毒編寫者合作和共享知識的平臺。此外，還出版了第一本關于病毒編寫的書籍，并且開發出了第一個多態病毒（通常稱為 Chameleon 或 Casper）。多態病毒是一種惡意軟件，它使用不限數量的加密例程以防止被檢測出來。多態病毒具有在每次復制時都可以更改其自身的能力，這使得用于"識別"病毒的基于簽名的防病毒軟件程序很難檢測出這種病毒。此后不久，即出現了 Tequila 病毒，這是出現的第一個比較嚴重的多態病毒攻擊。接著在 1992 年，出現了第一個多態病毒引擎和病毒編寫工具包。

?? 自那時起，病毒就變得越來越復雜：病毒開始訪問電子郵件通訊簿，并將 其自身發送到聯系人；宏病毒將其自身附加到各種辦公類型的應用程序文件并攻擊這些文件；此外還出現了專門利用操作系統和應用程序漏洞的病毒。電子郵件、對等 (P2P) 文件共享網絡、網站、共享驅動器和產品漏洞都為病毒復制和攻擊提供了平臺。在已感染系統上創建的后門（由惡意軟件引入的秘密或隱藏的網絡入口點）使得病毒編寫者（或黑客）可以返回和運行他們所選擇的任何軟件。

?? 有些病毒附帶其自身的嵌入式電子郵件引擎，可以使已感染的系統直接通過電子郵件傳播病毒，而繞過此用戶的電子郵件客戶端或服務器中的任何設置。病毒編寫者還開始認真地設計病毒攻擊的結構并使用社會工程，來開發具有可信外觀的電子郵件。這種方法旨在獲取用戶的信任，使其打開附加的病毒文件，來顯著地增加大規模感染的可能性。

?? 惡意軟件演變的同時，防病毒軟件也處在不斷的發展之中。但是，當前大多數防病毒軟件幾乎完全依賴于病毒簽名或惡意軟件的識別特性來識別潛在有害的代碼。從一個病毒的初始版本到此病毒的簽名文件被防病毒供應商廣泛分發之間，仍然存在存活機會。因此，現在發布的許多病毒在最初的數天內感染速度極快，之后一旦分發了應對病毒的簽名文件，感染速度則迅速降低。

????2、惡意軟件

?? "惡意軟件"作為一個集合名詞，來指代故意在計算機系統上執行惡意任務的病毒、蠕蟲和特洛伊木馬。

?? 對于籠統的防病毒討論，可使用以下簡單的惡意軟件類別定義：

?? ? 特洛伊木馬：該程序看上去有用或無害，但卻包含了旨在利用或損壞運行該程序的系統的隱藏代碼。特洛伊木馬程序通常通過沒有正確說明此程序的用途和功能的電子郵件傳遞給用戶。它也稱為特洛伊代碼。特洛伊木馬通過在其運行時傳遞惡意負載或任務達到此目的。

?? ? 蠕蟲：蠕蟲使用自行傳播的惡意代碼，它可以通過網絡連接自動將其自身從一臺計算機分發到另一臺計算機上。蠕蟲會執行有害操作，例如，消耗網絡或本地系統資源，這樣可能會導致拒絕服務攻擊。某些蠕蟲無須用戶干預即可執行和傳播，而其他蠕蟲則需用戶直接執行蠕蟲代碼才能傳播。除了復制，蠕蟲也可能傳遞負載。

?? ? 病毒：病毒代碼的明確意圖就是自行復制。病毒嘗試將其自身附加到宿主程序，以便在計算機之間進行傳播。它可能會損害硬件、軟件或數據。宿主程序執行時，病毒代碼也隨之運行，并會感染新的宿主，有時還會傳遞額外負載。

?? 在提及特洛伊木馬或特洛伊類型活動時，還有兩個經常使用的術語，其識別方法和解釋如下：

?? ? 遠程訪問特洛伊：某些特洛伊木馬程序使黑客或數據竊取者可以遠程地控制系統。此類程序稱為"遠程訪問特洛伊"(RAT) 或后門。RAT 的示例包括 Back Orifice、Cafeene 和 SubSeven。

?? ? Rootkit：Rootkit 是軟件程序集，黑客可用來獲取計算機的未經授權的遠程訪問權限，并發動其他攻擊。這些程序可能使用許多不同的技術，包括監視擊鍵、更改系統日志文件或現有的系統應用程序、在系統中創建后門，以及對網絡上的其他計算機發起攻擊。Rootkit 通常被組織到一組工具中，這些工具被細化為專門針對特定的操作系統。第一批 Rootkit 是在 20 世紀 90 年代被識別出來的，當時 Sun 和 Linux 操作系統是它們的主要攻擊對象。目前，Rootkit 可用于許多操作系統，其中包括 Microsoft Windows 平臺。

??? 3、惡意軟件的特征

?? 每類惡意軟件可以表現出來的各種特征通常非常類似。例如，病毒和蠕蟲可能都會使用網絡作為傳輸機制。然而，病毒會尋找文件以進行感染，而蠕蟲僅嘗試復制其自身。以下部分說明了惡意軟件的典型特征。
目標環境

?? 惡意軟件試圖攻擊宿主系統時，可能需要許多特定的組件，攻擊才能成功。下面是一個典型示例，說明惡意軟件在攻擊宿主系統時所需的組件：

?? ? 設備。某些惡意軟件將一種設備類型作為專門的攻擊目標，例如，個人計算機、Apple Macintosh 計算機甚至個人數字助理 (PDA)，但是請注意，PDA 惡意軟件目前非常少見。

?? ? 操作系統。惡意軟件可能需要特殊的操作系統才會有效。

?? ? 應用程序。惡意軟件可能需要在目標計算機上安裝特定的應用程序，才能傳遞負載或進行復制。
攜帶者對象

?? 如果惡意軟件是病毒，它會試圖將攜帶者對象作為攻擊對象（也稱為宿主）并感染它。目標攜帶者對象的數量和類型隨惡意軟件的不同而大不相同，以下列表提供了最常用的目標攜帶者的示例：

?? ? 可執行文件。這是通過將其自身附加到宿主程序進行復制的"典型"病毒類型的目標對象。除了使用 .exe 擴展名的典型可執行文件之外，具有以下擴展名的文件也可用作此用途：.com、.sys、.dll、.ovl、.ocx 和 .prg。

?? ? 腳本。將腳本用作攜帶者目標文件的攻擊，這些文件使用諸如 Microsoft Visual Basic? Script、JavaScript、AppleScript 或 Perl Script 之類的腳本語言。此類文件的擴展名包括：.vbs、.js、.wsh 和 .prl。

?? ? 宏。這些攜帶者是支持特定應用程序（例如，字處理器、電子表格或數據庫應用程序）的宏腳本語言的文件。例如，病毒可以在 Microsoft Word 和 Lotus Ami Pro 中使用宏語言來生成許多效果，從惡作劇效果（在文檔四處改變單詞或更改顏色）到惡意效果（格式化計算機的硬盤驅動器）。

?? ? 啟動扇區。計算機磁盤（硬盤和可啟動的可移動媒體）上的特定區域（例如，主啟動記錄 (MBR) 或 DOS 啟動記錄）也可被認為是攜帶者，因為它們可以執行惡意代碼。當某個磁盤被感染時，如果使用該磁盤來啟動其他計算機系統，將會復制病毒。
注意：如果病毒同時將文件和啟動扇區作為感染目標，可稱其為"多部分"病毒。

?? 傳輸機制

?? 攻擊可以使用一個或多個不同方法，在計算機系統之間嘗試并復制。本部分提供了與惡意軟件使用的幾個比較常見的傳輸機制有關的信息。

?? ? 可移動媒體。計算機病毒和其他惡意軟件最初的、并且可能也是最多產的傳送器（至少到當前為止）是文件傳輸。此機制開始于軟盤，然后移動到網絡，目前正在尋找新的媒體，例如，通用串行總線 (USB) 設備和火線。感染速度并不像基于網絡的惡意軟件那樣快，但安全威脅卻始終存在，而且難以完全消除，因為系統之間需要交換數據。

?? ? 網絡共享一旦為計算機提供了通過網絡彼此直接連接的機制，就會為惡意軟件編寫者提供另一個傳輸機制，而此機制所具有的潛力可能會超出可移動媒體的能力，從而可以傳播惡意代碼。由于在網絡共享上實現的安全性級別很低，因此會產生這樣一種環境，其中惡意軟件可以復制到大量與網絡連接的計算機上。這在很大程度上替代了使用可移動媒體的手動方法。

?? ? 網絡掃描。惡意軟件的編寫者使用此機制來掃描網絡，以查找容易入侵的計算機，或隨意攻擊 IP 地址。例如，此機制可以使用特定的網絡端口將利用數據包發送到許多 IP 地址，以查找容易入侵的計算機進行攻擊。

?? ? 對等 (P2P) 網絡。要實現 P2P 文件傳輸，用戶必須先安裝 P2P 應用程序的客戶端組件，該應用程序將使用一個可以通過組織防火墻的網絡端口，例如，端口 80。應用程序使用此端口通過防火墻，并直接將文件從一臺計算機傳輸到另一臺。這些應用程序很容易在 Internet 上獲取，并且惡意軟件編寫者可以直接使用它們提供的傳輸機制，將受感染的文件傳播到客戶端硬盤上。

?? ? 電子郵件。電子郵件已成為許多惡意軟件攻擊所選擇的傳輸機制。電子郵件可以很容易地傳送到幾十萬人，而惡意軟件作惡者又無須留下自己的計算機，這使得電子郵件成為一種非常有效的傳輸方式。使用此方式哄騙用戶打開電子郵件附件要相對容易一些（使用社會工程技術）。因而，許多最多產的惡意軟件爆發已使用電子郵件作為它們的傳輸機制。有兩種使用電子郵件作為傳輸機制的基本類型的惡意軟件：

?? ? 郵件程序。這種類型的惡意軟件通過使用宿主上安裝的郵件軟件（例如，Microsoft Outlook? Express），或使用其自身的內置簡單郵件傳輸協議 (SMTP) 引擎，將其自身作為郵件發送到限定數量的電子郵件地址。

?? ? 大量郵件程序。這種類型的惡意軟件使用宿主上安裝的郵件軟件或其自身的內置 SMTP 引擎，在受感染的計算機上搜索電子郵件地址，然后將其自身作為郵件大量發送到這些地址。


?? ? 遠程利用。惡意軟件可能會試圖利用服務或應用程序中的特定安全漏洞來進行復制。此行為通常可以在蠕蟲中見到；例如， Slammer 蠕蟲利用 Microsoft SQL Server? 2000 中的漏洞。此蠕蟲生成了一個緩沖區溢出，允許一部分系統內存被可在和 SQL Server 服務相同的安全上下文中運行的代碼覆蓋。緩沖區溢出這種情況的出現，是因為向緩沖區添加的信息多于其可以存儲的信息量。攻擊者可能會利用此漏洞來占用系統。Microsoft 在 Slammer 發布的數月之前即識別并修復了此漏洞，但是由于有少數系統未被更新，使得此蠕蟲得以傳播。

??? 4、 其他惡意軟件

?? 有許多存在的威脅并不被認為是惡意軟件，因為它們不是具有邪惡意圖的計算機程序。但是，這些威脅對于一個用戶而言仍然具有安全和經濟上的影響。
玩笑軟件

?? 玩笑應用程序旨在生成一個微笑，或在最糟糕的情況下浪費某人的時間。這些應用程序自從人們開始使用計算機以來就一直存在。它們不是出于邪惡的目的而被開發的，而且很明白地標識為玩笑，
惡作劇

?? 與其他形式的惡意軟件一樣，惡作劇也使用社會工程來試圖欺騙計算機用戶執行某些操作。但是，在惡作劇中并不執行任何代碼；惡作劇者通常只嘗試欺騙受害者。至今惡作劇已經采用了多種形式。但特別常見的一個示例為，某個電子郵件聲稱發現了一種新的病毒類型，并要您通過轉發此郵件來通知您的朋友。這些惡作劇會浪費人們的時間，消耗電子郵件資源并占用網絡帶寬。
欺詐

?? 實際上，違法者已經使用過各種通信形式（在這一次或那一次），試圖欺騙人們執行會給其帶來某些經濟利益的操作。Internet、網站和電子郵件都不例外。一個比較常見的示例是，違法者發送電子郵件，試圖欺騙收件人透露個人信息（例如，銀行帳戶信息），然后將這些信息用于非法用途。有一種特殊類型的欺詐稱為"phishing"（發音同"fishing"，也稱為"品牌欺騙"或"carding"）。

?? phishing 的示例包括發件人偽裝知名公司（例如，eBay）試圖獲取用戶帳戶信息這種情況。Phishing 欺詐通常使用一個模仿某公司官方網站外觀的網站。電子郵件用于將用戶指向虛假站點，并欺騙用戶輸入其用戶帳戶信息，而這些信息將被保存并用于非法用途。這些案例類型應認真處理，并要報告給本地的法律執行機構。

?? 垃圾郵件


?? 垃圾郵件是未經請求的電子郵件，用于為某些服務或產品做廣告。它通常被認做是討厭的東西，但是垃圾郵件不是惡意軟件。但是，所發送的垃圾郵件數量的飛速增長已經成為 Internet 基礎結構的一個問題，這可導致員工工作效率的降低，因為他們每天必須費力查看并刪除此類郵件。

?? 間諜軟件

?? 此類軟件有時也稱為"spybot"或"跟蹤軟件"。間諜軟件使用其他形式的欺騙性軟件和程序，它們在沒有獲取用戶相應許可的情況下即在計算機上執行某些活動。這些活動可以包括收集個人信息，以及更改 Internet 瀏覽器配置設置。除了令人討厭之外，間諜軟件還會導致各種問題，從降低計算機的總體性能到侵犯個人隱私。

?? 分發間諜軟件的網站使用各種詭計，使用戶下載并將其安裝在他們的計算機上。這些詭計包括創建欺騙性的用戶體驗，以及隱蔽地將間諜軟件和用戶可能需要的其他軟件（例如，免費的文件共享軟件）捆綁在一起。

?? 廣告軟件

?? 廣告軟件通常與宿主應用程序組合在一起，只要用戶同意接受廣告軟件即可免費提供宿主應用程序。因為廣告軟件應用程序通常在用戶接受說明應用程序用途的許可協議之后進行安裝，因而不會給用戶帶來任何不快。但是，彈出式廣告會非常令人討厭，并且在某些情況下會降低系統性能。此外，有些用戶原來并沒有完全意識到許可協議中的條款，這些應用程序收集的信息可能會導致他們擔心隱私問題。

??? 5、風險防護

?? 加強自我防范意識是我們防御網絡威脅的第一步，我們將從以下11個方面來介紹平時使用網絡過程中需加強的防范意識。
　　
?? 1、預防第一
　　保持獲取信息。通過相關途徑獲取最新爆發的病毒和威脅的信息和防范方式。
　　
?? 2、得到保護
　　安裝防病毒程序。如果你是一個家庭或者個人用戶，下載任何一個排名最佳的程序都相當容易，而且可以按照安裝向導進行操作。如果你在一個網絡中，首先咨詢你的網絡管理員。
　　
?? 3、定期掃描你的系統
　　如果你剛好是第一次啟動防病毒軟件，最好讓它掃描一下你的整個系統。干凈并且無病毒問題地啟動你的電腦是很好的一件事情。通常，防病毒程都能夠設置成在計算機每次啟動時掃描系統或者在定期計劃的基礎上運行。一些程序還可以在你連接到互聯網上時在后臺掃描系統。定期掃描系統是否感染有病毒，最好成為你的習慣。
　　
?? 4、更新你的防病毒軟件
　　既然你安裝了病毒防護軟件，就應該確保它是最新的。一些防病毒程序帶有自動連接到互聯網上，并且只要軟件廠商發現了一種新的威脅就會添加新的病毒探測代碼的功能。你還可以在此掃描系統查找最新的安全更新文件。

?? 5、不要輕易執行附件中的EXE和COM等可執行程序
　　這些附件極有可能帶有計算機病毒或是黑客程序，輕易運行，很可能帶來不可預測的結果。對于認識的朋友和陌生人發過來的電子函件中的可執行程序附件都必須檢查，確定無異后才可使用。

?? 6、不要輕易打開附件中的文檔文件
　　對方發送過來的電子函件及相關附件的文檔，首先要用“另存為…”命令（“Save As…”）保存到本地硬盤，待用查殺計算機病毒軟件檢查無毒后才可以打開使用。如果用鼠標直接點擊兩下DOC、XLS等附件文檔，會自動啟用Word或Excel，如有附件中有計算機病毒則會立刻傳染；如有“是否啟用宏”的提示，那絕對不要輕易打開，否則極有可能傳染上電子函件計算機病毒。
　　
?? 7、不要直接運行附件
　　對于文件擴展名很怪的附件，或者是帶有腳本文件如*.VBS、*.SHS等的附件，千萬不要直接打開，一般可以刪除包含這些附件的電子函件，以保證計算機系統不受計算機病毒的侵害。
　　
?? 8、郵件設置
　　如果是使用Outlook作為收發電子郵件軟件的話，應當進行一些必要的設置。選擇“工具”菜單中的“選項”命令，在“安全”中設置“附件的安全性”為“高”；在“其他”中按“高級選項”按鈕，按“加載項管理器”按鈕，不選中“服務器腳本運行”。最后按“確定”按鈕保存設置。
　　
?? 9、慎用預覽功能
　　如果是使用Outlook Express作為收發電子函件軟件的話，也應當進行一些必要的設置。選擇“工具”菜單中的“選項”命令，在“閱讀”中不選中“在預覽窗格中自動顯示新聞郵件”和“自動顯示新聞郵件中的圖片附件”。這樣可以防止有些電子函件計算機病毒利用Outlook Express的缺省設置自動運行，破壞系統。
　　
?? 10、卸載Scripting Host
　　對于使用Windows 98操作系統的計算機，在“控制面板”中的“添加/刪除程序”中選擇檢查一下是否安裝了Windows Scripting Host。如果已經安裝，請卸載，并且檢查Windows的安裝目錄下是否存在Wscript.exe文件，如果存在的話也要刪除。因為有些電子函件計算機病毒就是利用Windows Scripting Host進行破壞的。
　　
?? 11、警惕發送出去的郵件
　　對于自己往外傳送的附件，也一定要仔細檢查，確定無毒后，才可發送。雖然電子函件計算機病毒相當可怕，只要防護得當，還是完全可以避免傳染上計算機病毒的，仍可放心使用。
　　
?? 通過以上對蠕蟲病毒的種種描述及其爆發的癥狀，相信大家已經對其有了較深的理解。由于蠕蟲病毒是通過網絡傳播的，在如今網絡高度發達的時期，蠕蟲病毒是防不勝防的，我們只有筑好自己電腦上的防火墻和養成良好的上網習慣，才能把危害降到最低。