内容载入中...
10月28日,世界各地的媒体纷纷刊发一条很是轰动的消息:世界电脑软件业龙头老大美国微软公司的电脑系统几天前被“黑”,生产软件的源代码被窃,新开发的Windows和Office产品的具体计划被盗!联想到以前“美丽莎”“爱虫”等病毒沸沸扬扬,ABC、CNN、YAHOO等大公司也相继遭到黑客入侵;网络安全,特别是电子邮件的通讯安全和蠕虫病毒等越来越引人注目。结合新出现的一些病毒(为了方便,本文将恶意程序、黑客程序、木马等也称为病毒)综合有关方面的的报告,结合本人的实践,本人谈谈新一代病毒的特点和注意问题。
与过去相比,新病毒具有智能化、隐蔽化和多样化的特点,破坏力更强。
首先谈一下智能化,过去人们的观点是电子邮件只要不下载就不会感染病毒,但是新一代病毒却令人震惊:例如: 大名鼎鼎的“维罗纳(Verona)”病毒是一个真正意义上的“超级病毒”,它不仅“主题”众多,而且集邮件病毒的几大特点为一身,令人无法设防:最严重的是它将病毒写入邮件原文。这正是“维罗纳”病毒的新突破,一旦用户收到了该病毒邮件,无论是无意间用Outlook或Outlook Express打开了该邮件,还是仅仅使用了预览,病毒就会自动发作,并将一个新的病毒邮件发送给从而迅速传播开来。这就使得一旦“维罗纳”类的病毒来临,用户将根本无法逃避。
该病毒本身对用户计算机系统并不造成严重危害,但是这一病毒的出现已经是病毒技术的一次巨大“飞跃”,它无疑为今后更大规模、更大危害的病毒的出现做了一次技术上的试验及预演,一旦这一技术与以往危害甚大的病毒技术或恶意程序、特洛伊木马等相结合,它可能造成的危害将是无法想象的。另外一个叫做Kak的电邮病毒,它能感染任何支持HTML语言的电子邮件程序。因为Kak是利用微软程序中ActiveX控件scriptlet.typelib中存在的缺陷传播,因而凡是安装了IE5.0或Office2000的电脑都有可能被感染。
Kak的发作不需要浏览器软件运行,有人评价这种病毒的破坏性已经达到了史无前例的地步,即它不需要附件就能袭击受害者的电脑。此外,电脑病毒还可以监视你的一举一动,例如一种名为“矩阵(matrix)”的新病毒是一个混合型病毒,既可在每次WINDOWS重启时自动运行,还能跟随你往外发送的每一封电子邮件进行传播。专家们同时发现,该病毒可以像“黑客”一样监控你的上网行为, 一旦它发现用户试图访问一个反病毒站点或者给反病毒公司发电子邮件,将进行自我销毁。该病毒在WINDWOS目录里的文件名为“Iepack.exe。、“Win32.dⅡ”。
这种病毒,我遭遇过,特别麻烦,特别是注册表中要把病毒清除干净,否则后果会更严重:如果手头没有杀毒软件或版本太旧,也可以在“开始” —〉“查找”中检查是否有“Iepack.exe”的文件,或看一下“Win32.dll”的大小是否有变化,通常大于40K就应注意,电脑已经感染了病毒。当然向内行或反病毒公司求救才是上策。有的病毒还会自动监测并阻止受害用户访问互联网上的反病毒网站,使用户无法下载经过更新、升级后的相应杀毒软件或发布病毒警告消息。
其次是隐蔽化,和过去的病毒不一样,新一代病毒更加隐蔽,“主题”会随用户传播而改变,而且许多木马还会将自己装成常用的程序(如Notepad.exe、Sysexplr.exe),或者将病毒代码写入文件内部长度没有发生任何改变,使用户不会产生怀疑。例如“维罗纳(Verona)”病毒,也叫Blebla病毒,它是一个HTML格式的信息,将病毒写入邮件原文,而且“主题”众多,更替频繁,使用户麻痹大意而感染。猖狂一时的“HAPPY99病毒”(它是和危险的蠕虫病毒,可以将你电脑的全部内容自动发送给别人,但清除它远比新病毒容易)本身虽是附件,却呈现为卡通的样子,让你迷惑点击而中招。以前笔者看过一篇文章,说新的病毒可以将自身写入.JPG等图片,一旦打开图片,它就会运行某些程序将用户电脑的硬盘格式化,以后无法恢复;如今看来,这决非危言耸听。
现在我们感受最深的就是,电子邮件的形式(病毒所依存的附件类型)发生过去难以置信的变化,例如“TROJ_SHOCKWAVE.A” 病毒的形式是带有“CREATIVE.EXE”档案,它最特殊之处在于以多媒体档来吸引电脑使用者点击。它包含的一个有效载体,会移动所有“.JPG” and “.ZIP” 文件到 C:\ root 目录下。当执行时,该蠕虫将自身作为附件大量发送给Microsoft Outlook地址簿中的所有用户。还有象“矩阵(matrix)”等病毒会自动隐藏、变形,甚至阻止受害用户访问反病毒网站和向病毒记录的反病毒地址发送电子邮件,无法下载经过更新、升级后的相应杀毒软件或发布病毒警告消息。
第三,新的病毒不断涌现,老病毒也焕发青春,并且呈多样化的特点;因此如果再象以前那样,不即使更新观念,提高警惕,麻烦早晚会降临你我头上。一般说来,新病毒会将“主题(主旨)”进行变换,形式还可以是脚本、可执行程序、HTML网页等;例如“W95/MTX”是一种病毒、蠕虫,又有人称之为秘密访问的特洛伊木马。它通过电子邮件附件传播,还经常变换文件名。一旦发作,会删除文件,很难清除。“W95/MTX”曾经运用以下文件名诱骗用户打开病毒程序,诸如README.TXT.pifI_wanna_see_YOU.TXT.pif, MATRiX_Screen_Saver.SCR,LOVE_LETTER_FOR_YOU.TXT.pif, NEW_playboy_Screen_saver.SCR, BILL_GATES_PIECE.JPG.pif, NEW_NAPSTER_site.TXT.pif.和I_am_sorry.DOC.pif,FUCKING.WHIT_DOGS.SCR等等。这种病毒笔者也遭遇过,清除起来非常麻烦,而且不同的杀毒软件会呈现不同的杀毒结果。
还有臭名昭著的“圣诞节病毒Navidad”(北京市公安局11月9日已经下达了通缉令,这是继CIH后的第二次)藏在电子邮件的附件中,一旦文件被开启执行之后,病毒便会自动复制原有邮件的e-mail主旨,并将收件夹中所有邮件的附件都自动变更为navidad.exe档,再自动回覆给邮件的寄件者,引起连锁感染效应,造成更大范围的传播。这些和以前的蠕虫病毒没有什么区别,但是它却能够自动复制到Windows下,并修改注册表,造成电脑的应用程序无法正常运行。
病毒形式已经单纯由电子邮件向可执行文件程序、OICQ(网上传呼机)、网上贺卡、卡通人物、多媒体、图片等变化,传播途径由电脑向掌上电脑、手机、网络驱动器等转变。例如入侵“微软”的“ Qaz.Trojan”病毒看起来就像是附在一封正常普通电子邮件上的一份附件,一旦有用户打开该附件,那么QAZ病毒就会自行复制,取代用户电脑中的视窗笔记本软件,然后就给黑客开了一个进入用户电脑的“后门”!它通常伪装成Windows应用软件“Notepad”。入侵者可以利用潜入的“Qaz.Trojan”远程操作电脑。于是用户的机密文件及密码等重要信息就有可能会被盗。 而许多黑客程序通过OICQ、、ICR、贺卡也能进入你的电脑;还有出现了专门危害手机、掌上电脑、电视等的病毒。
病毒呈现智能化、多样化、隐蔽化的一个重要原因在于,许多新病毒是通过高级语言编写的病毒易于修改并产生新的变种以躲避反毒产品的追捕。例如“爱虫”病毒的编写采用是一种非常人性化的语言———“VBSCRIPT”语言。病毒制造者只要通过WIN?DOWS下自带的编辑软件修改病毒代码中的重要位置,就能轻易地制造病毒变种(如发作条件、病毒主题等),以躲避反病毒软件的追击。像VBS文件,JS文件这样脚本病毒,它们比嵌在HTML内的危险脚本更毒,因为即使它们调用了像FileSystem这样的危险对象来搞破坏,双击它们运行时也没有任何提示。所以“爱虫”才会造成如此大的破坏。
这样的文件类型还有.wsc、.wsf、.vbe、.jse等,它们的共同特点是双击它们都会自动调用WScript.exe来解释执行。而在法国出现的“巴比伦尼亚病毒”和曾经横行欧美的“履历病毒”(它通常是将正文体现为求职者的电子邮件而得名)也很独特,能够不断自行更新而产生出新的功能。 它的主体模块能够侵入Windows中的地址簿,因此轻而易举的就可以从中获取大批电子邮件地址用以发送含有其诱发模块的病毒邮件。该病毒邮件的第一版有着一个十分特别的标题叫“选择你的毒药”,且随身携带有一个名为GIRLS.EXE的附件。
新病毒的破坏力更强,手段比过去更加狠毒和阴险,它可以修改文件(包括注册表)、通讯端口,修改用户密码,挤占内存,还可以利用恶意程序实现远程控制等。当笔者将要完成本文时,一种名为“白雪公主(Win32/Hybris.Worm)”的病毒正向我们走来。“Hybris”是一种电子邮件病毒,在Windows环境下发作,该感染程序非常典型,它会修改WSOCK32.DLL,截取外发的信息,其方式和曾经引起严重后果的Happy99及MTX病毒极为类似。
该蠕虫病毒会自动附加在受感染的邮件上,一旦收信人执行附件程序,蠕虫就会感染个人主机;在Windows System目录下生成一个WSOCK32.DLL的副本,副本的文件名是随机生成的8个字母,没有文件扩展名,由于病毒自身有修补连接、发送与接收数据功能,从而会感染这一副本文件;病毒还会修改Windows目录下的WININIT.INI文件,使下次Windows启动时原WSOCK32.DLL文件被覆盖。
据专家称,“Hybris”病毒的程序代码的复杂性前所未有,它可以被认为是目前最为精致的恶意代码,并且插件程序本身使得作者可以时时修改版本,从而使该病毒出现无数变种成为可能,令人无法设防。而最令人担忧的是,一旦计算机被病毒感染,其内部的所有数据、信息以及核心机密都将在病毒制造者面前暴露无疑,他可以随心所欲地控制所有受感染的计算机来达到自己的任何目的。 该病毒集邮件病毒、蠕虫病毒和黑客程序于一体,破坏性十分严重,因此专家建议用户选择使用经过权威机构认证具备完善实时反病毒、查杀多种压缩文件功能的反病毒软件。
对病毒的原则是:对待任何一种病毒绝对不要大意,更不允许带毒操作,对此可能很多人有切肤之痛。如果自己能力有限,最好是请有经验的高手或专业人员帮忙。对于和本人一样,对病毒不算精通的用户,防范病毒的方法是:1)尽快安装防火墙,特别是网络防火墙,本人建议买正版的杀毒软件,一般用户推荐买瑞星(RISING),升级快,操作简便;此外还可以考虑金辰(KILL)、PC-CILLIN(趋势)等。专业人员可以用KV3000(江民)诺顿(NORTON)等。
养成定期用杀毒软件检查计算机、并定期在反病毒网站上将杀毒软件升级的习惯。2)用户不随意从网上,特别是自己不熟悉的网站下载文件;也不从在线聊天系统的陌生人那里接受附件。3)不轻易打开来路不明的电子邮件附件;特别是没有主题的电子邮件和附件类型异常的(如扩展名为.SCR、.EXE.、.ZIP、.PHP、.PIF、.VBS、.TXT、.HAQ等);不要轻信邮件附件的文件的图像和。4)使用外来的软硬盘时,先用杀毒软件测试;尽量不要在计算机上玩电子游戏。5)不要使用“将计算机进入睡眠状态”、不使用计算机时,最好断开你的网络和modem或者关闭电源。6)重要文件一定要有备份,这一点非常重要,因为病毒再凶,只要文件没有受损,大不了将系统重装。
当今,新病毒不断涌现(已经出现了专用的病毒编写软件),各种杀毒软件仅仅能起到有限的保护(至多清除已知的病毒);由于互联网的脆弱和共享性,使得网络安全越来越重要。在全球化和电子商务发展的今天,我们更应认识到这一点,保护我们的利益。我们有理由相信“魔高一尺、道高一丈”,随着法律和安全技术的完善,在正义与邪恶的较量中,光明一定会重新降临网络。
