法律定義
以下是中國大陸對計算機病毒的法律定義,司法部門可以據此逮捕病毒的制造者和散布者。
1994 2月18《中華人民共和國計算機信息系統安全保護條例》第二十八條[1]
計算機病毒是指在計算機程序中編譯或插入的壹組破壞計算機功能或數據,影響計算機使用,並能自我復制的計算機指令或程序代碼。
計算機病毒的定義壹直存在爭議,很多人包括全世界的反病毒廠商都把基於網絡的木馬、後門程序、惡意軟件歸為計算機病毒。
中國互聯網協會對惡意軟件的定義[2]
惡意軟件是指在未明確提示用戶或未經用戶許可的情況下,在用戶的計算機或其他終端上安裝運行的侵害用戶合法權益的軟件,但我國現有法律法規已有規定的計算機病毒除外。
歷史
“病毒”壹詞最早是在弗雷德·科恩的1984論文《計算機病毒實驗》中用來表達這個意思的。病毒這個詞因為科幻而廣為人知。壹個是大衛·格羅爾德在20世紀70年代中期寫的《當H.A.R.L.I.E .是壹個人的時候》,其中描述了壹個叫做“病毒”的程序和壹個叫做“抗體”的程序來對抗它;另壹本是約翰·布魯爾的1975小說《Wave Rider》,描述了壹種叫做“磁帶蠕蟲”的程序,它在互聯網上刪除數據。[1]
20世紀60年代初,美國麻省理工學院的壹些年輕研究人員在完成工作後,利用工作時間玩了壹款自己創作的電腦遊戲。做法是有人編譯壹個小程序,然後輸入電腦運行,破壞對方的遊戲程序。而這也可能是計算機病毒的雛形。
據壹家計算機安全公司估計,目前全球有20萬程序員有能力編寫成熟的計算機病毒。
運行時環境
由於世界操作系統市場的90%被微軟Windows系列壟斷[2][3],病毒編寫者紛紛選擇Windows作為病毒攻擊的目標。病毒制造者首先要確定要攻擊的操作系統版本存在哪些漏洞,這是他編寫的病毒利用的關鍵。至於Linux、Mac OS等用戶少的操作系統,能感染的病毒數量確實少得可憐,但這並不代表系統完美,只能說明用戶少,病毒作者認為沒有“攻擊價值”。大多數病毒作者發布病毒都是為了出名[4]。如果他們向冷門操作系統釋放病毒,很可能導致他的“傑作”被“埋沒”。有壹個針對企業的Linux操作系統的修改版本,聲稱是無病毒的。沒過幾天,黑客就找到了漏洞,應對了系統運行環境中病毒的大規模傳播。因此,不存在計算機病毒不能誕生和生存的運行環境。
特性
在計算機科學中,計算機病毒是壹種類似於生物病毒的程序,它會自我復制並傳播到其他主機,並對主機造成損害。主機也是壹個程序,通常是操作系統,它進壹步感染其他程序和其他計算機。計算機病毒通常在傳播過程中隱藏自己,由特定條件觸發,並開始造成損害。[5]
計算機病毒的不良特征有傳播性、隱蔽性、傳染性、潛伏性、興奮性[6]、性能或破壞性。通常情況下,只有上述兩個或兩個以上的特征可以用來識別程序是病毒。
主要功能的詳細說明
傳染性
病毒通常通過使用25個電子郵件端口自動傳播,利用了與微軟操作系統綁定的Outlook中的壹個漏洞。自動復制病毒並發送給存儲的通訊錄列表中的成員。電子郵件標題吸引人們點擊,大多使用“親愛的”等社交工程作為家人和朋友之間的親密話語,以降低人們的警惕性。如果病毒制作者再次應用腳本漏洞,將病毒直接嵌入到郵件中,那麽用戶只要打開帶有壹點郵件標題的郵件就會感染病毒,這比引誘用戶先打開郵件再下載病毒附件再運行的方法高明多了。
偽裝
大多數病毒都是用C語言編寫的,最大的病毒只有1MB,壹般的病毒也只有1KB左右,不僅傳播速度快,而且隱蔽性強。有些病毒采用“無進程”技術,或者被插入到某個系統必要的關鍵進程中,因此在任務管理器中找不到它們單獨運行的進程。病毒本身壹旦運行,就會修改文件名,藏在壹個用戶不常去的系統文件夾裏。這樣的文件夾通常有上千個系統文件,手工搜索很難找到病毒。病毒在運行前的偽裝技術也值得我們關註。病毒和壹個吸引他的文件綁定合並成壹個文件,所以當吸引他的文件正常運行時,病毒也在我們的操作系統中悄悄運行。
傳染的
有些病毒具有傳染性,比如中毒用戶電腦上被感染的可執行文件,如exe、dll、scr格式。通過這種方法達到自我復制、自我保護的目的,類似於生物病毒繁殖中的克隆過程。通常還可以利用網絡享有的漏洞復制傳播給鄰居電腦用戶,使鄰居家的電腦通過路由器或網吧電腦上網的程序全部被感染。
潛伏
有些病毒有壹定的“潛伏期”,會在特定的日子準時爆發,比如某個節日或者壹周中的某壹天。比如1999刷BIOS的著名病毒CIH病毒,每年4月26日爆發。這就像生物病毒壹樣,讓電腦病毒在爆發前最大限度的傳播。
興奮性
根據病毒作者的“需求”,設置觸發病毒攻擊的“奧秘”。例如,CIH病毒的制作者陳盈豪打算設計的病毒是為簡體中文的Windows系統“精心”設計的。病毒運行後,會主動檢測中毒者操作系統的語言。如果發現操作系統的語言是簡體中文,病毒就會自動攻擊電腦,而且語言不是簡體中文版的Windows,所以即使妳運行了病毒,病毒也不會攻擊或者破壞妳的電腦。[7]
表示
病毒運行後,如果是作者設計的,會有壹定的性能特征,如CPU占用率100%,無需用戶任何操作即可讀寫硬盤或其他磁盤數據,死機藍屏,鼠標右鍵無法使用等。但如此明顯的表現特征,有助於被感染者發現自己感染了病毒,對清除病毒有很大幫助,所以隱蔽性是不存在的。
破壞性
有些厲害的病毒運行後直接格式化用戶的硬盤數據,更厲害的比如CIH,可以刷BIOS。壹般來說,病毒的破壞對象集中在操作系統和硬盤數據的破壞上。然而,近年來,壹些極其強大的病毒開始針對計算機硬件,旨在破壞硬件。壹般應用的主要原理是攻擊硬件的頻繁工作,比如執行大量垃圾程序,反復重啟操作系統循環,或者硬件的過載過壓工作,比如超頻。
分類
腳本病毒
主條目:宏病毒
宏病毒會感染高級office系列軟件,如Microsoft Word、Excel等支持運行命令的軟件,因此也被Office文檔中的惡意宏病毒所利用。Openoffice.org對宏的支持並不完善,所以在openoffice.org打開含有宏病毒的文檔後,病毒無法運行。
腳本特洛伊馬是用腳本語言編寫論壇或動態頁面出現上傳漏洞時使用的特洛伊馬。它可以上傳,然後控制整個服務器的硬盤數據。
木馬
主入口:特洛伊馬
也叫遠程監控軟件。如果特洛伊馬能夠連接上,可以說它已經獲得了遠程計算機的所有操作權限。操作遠程電腦和操作自己的電腦沒有太大區別。這類程序可以監控被控用戶的攝像頭,截獲密碼。Windows NT較新版本附帶的“遠程桌面連接”如果被不良用戶使用,無異於特洛伊木馬。
惡意程序
主要條目:蠕蟲病毒
蠕蟲利用類(Worm exploit class),也是最常見的病毒,通常會在全球範圍內大規模爆發。如沖擊波病毒和沖擊波病毒對抗未打補丁的舊版本Windows XP。
間諜軟件和流氓軟件是壹些不良網絡公司制作的軟件,用來收集用戶的瀏覽習慣,制定自己的廣告策略。這個軟件本身對電腦的傷害不是很大,但是中毒者的隱私被泄露,壹旦安裝就無法刪除卸載。
惡作劇軟件,如破壞性的“網格炸彈”,運行程序後自動格式化硬盤,原本只是為了“忽悠”用戶,但這種惡意程序運行後會對用戶的重要數據造成巨大損失。
免殺技術和新功能
免殺指的是壹種處理病毒的技術,使它們可以避免被殺毒軟件殺死。通常,在病毒作者傳播之前,病毒本身不會被殺死。甚至可以說“病毒比殺毒軟件更新,所以殺毒軟件根本識別不出它是病毒”。但由於傳播後有用戶向殺毒軟件公司舉報中毒,會引起安全公司的註意,將其特征碼納入其病毒庫,病毒會被殺毒軟件識別。
病毒作者可以通過對病毒的重新保護,如使用匯編技術或給文件添加外殼,輕松避開殺毒軟件的病毒特征碼庫,避免被殺毒軟件查殺。
來自羅馬尼亞的BitDefender、俄羅斯的卡巴斯基反病毒、歐洲的NOD32、美國的諾頓反病毒和邁克菲在國際上的口碑都很好,但是他們的反病毒和查殼能力有限,目前病毒庫總數只有50萬左右。
自我更新是近年來病毒的另壹個新特征。病毒可以借助網絡進行變異和更新,獲得最新的無病毒版本,繼續在用戶感染的電腦上運行。
個別病毒除了自我更新外,還具有殺毒軟件和防火墻產品殺毒軟件對抗它們的全新特性。只要病毒運行,就會自動破壞中毒電腦上安裝的殺毒軟件和防火墻產品,導致病毒生存能力更強。
保持警惕
及時安裝和更新殺毒軟件和防火墻產品。
保留最新的病毒數據庫,以便發現最新的病毒。比如卡巴斯基反病毒軟件的升級服務器有新的病毒庫包,供用戶每3小時更新壹次。在使用防火墻時,要註意禁止未知軟件訪問網絡。
修復操作系統及其捆綁軟件中的漏洞。
主條目:Microsoft Update
Windows NT及以下版本可以安裝在微軟更新補丁系統,Windows 2000SP2或以上,Windows XP和Windows 2003等。通過系統的“自動補丁”程序下載補丁。關閉系統的默認網絡訪問,防止局域網入侵或蠕蟲傳播。
不要點擊未知的連接,運行未知的程序[8]
未知連接很可能是蠕蟲通過電子郵件或即時通訊軟件自動發送的,如QQ病毒之壹的QQ tail。這些信息中大部分的聯系指向了利用IE瀏覽器漏洞的網站。用戶訪問這些網站後,可能會直接獲得更多的病毒,而無需下載。另外,不要運行來歷不明的程序,比如壹些騙人點擊的“性誘惑”文件名,點擊後病毒就會在系統中運行。
建議安裝冷門操作系統或者檢測工具包。
主入口:後門
冷門的操作系統,很少有病毒作者會去思考在這樣的環境下,他設計的病毒如何爆發。當然,應用於服務器市場的Linux和FreeBSD也不能算是服務器市場的冷門。如果個人用戶覺得Linux不錯,建議安裝Linux的免費Redhat發行版。很多開源操作系統漏洞都是檢測出來的,所以實際操作中漏洞會很少。因為後門,比如下載器或者盜取密碼的軟件,由於防火墻本身的原理,大多可以穿過網絡防火墻,而安裝網絡防火墻是沒有用的,所以建議安裝sniffer工具來分析網絡數據包,這樣妳所在的網絡就會非常安全。