计算机病毒发展的新趋势研究

摘要:该文对计算机病毒呈现的新的发展趋势进行了分析,针对新的趋势,提出了计算机病毒防治的几点建议。

关键词:计算机病毒;病毒防治;新趋势

中图分类号:TP393文献标识码:A文章编号:1009-3044(2009)24-6896-02

New Trends Study of Computer Viruses Developing

ZHANG Ming-jie

(Department of Information and Management Engineering, Xi"an University of Post and Telecommunications, Xi"an 710061, China)

Abstract: This paper study the new trends of preventing computer viruses. with these new trends, it will proposed a new measures of preventing computer virus.

Key words: computer viruses; virus prevention; new trend

计算机在给我们带来很多方便和帮助的同时,互联网、局域网已经成为计算机病毒传播的主要途径;在与反病毒技术的斗争中,计算机病毒的变形速度和破坏力不断地提高;混合型病毒的出现令以前对计算机病毒的分类和定义逐步失去意义,也使反病毒工作更困难了;病毒的隐蔽性更强了,不知不觉“中毒”带来的后果更严重;人们使用最多的一些软件将成为计算机病毒的主要攻击对象。而且由于近几年传输媒质的改变和Internet的广泛应用导致病毒感染的对象开始由工作站(终端)向网络部件(代理、防护和服务设置等)转变。

1 计算机病毒呈现新的发展趋势

1.1 病毒技术日趋复杂化

病毒制造者充分利用计算机软件的脆弱性和互联网的开放性,不断发展计算机病毒技术,朝着能对抗反病毒手段和有目的方向发展,使得病毒的花样不断翻新,编程手段越来越高,防不胜防。如利用生物工程学的“遗传基因”原理生产出“病毒生产机”软件,该软件无需病毒编写者绞尽脑汁地编写程序,便会轻易地自动生产出大量的主体构造和原理基本相同的“同族”新病毒。又如利用军事领域的“集束炸弹”的原理制造出的“子母弹”病毒,该病毒被激活后就会像“子母弹”一样,分裂出多种类型的病毒来分别攻击并感染计算机内不同类型的文件。由于现在没有广谱性能的查毒软件,现行的查毒软件只能是知道一种查一种,难以应对“病毒生产机”、“子母弹”等生产的大量新病毒。更为严重的是,这些病毒技术的存在造成病毒暴增随时可能发生。

1.2 计算机网络(互联网、局域网)成为计算机病毒的主要传播途径。

使用计算机网络逐渐成为计算机病毒发作条件的共同点。计算机病毒最早只通过文件拷贝传播,当时最常见的传播媒介是软盘和盗版光碟。随着计算机网络的发展,目前计算机病毒可通过计算机网络利用多种方式(电子邮件、网页、即时通讯软件等)进行传播。计算机网络的发展有助于计算机病毒的传播速度大大提高,感染的范围也越来越广。可以说,网络化带来了计算机病毒传染的高效率。这一点以“冲击波”和“震荡波”的表现最为突出。以“冲击波”为例,冲击波是利用RPC DCOM缓冲溢出漏洞进行传播的互联网蠕虫。它能够使遭受攻击的系统崩溃,并通过互联网迅速向容易受到攻击的系统蔓延。 它会持续扫描具有漏洞的系统,并向具有漏洞的系统的135端口发送数据,然后会从已经被感染的计算机上下载能够进行自我复制的代码MSBLAST.EXE,并检查当前计算机是否有可用的网络连接。如果没有连接,蠕虫每间隔10秒对Internet连接进行检查,直到Internet 连接被建立。一旦Internet连接建立,蠕虫会打开被感染的系统上的4444端口,并在端口69进行监听,扫描互联网,尝试连接至其他目标系统的135端口并对它们进行攻击。与以前计算机病毒给我们的印象相比,计算机病毒的主动性(主动扫描可以感染的计算机)、独立性(不再依赖宿主文件)更强了。

1.3 计算机病毒变形(变种)的速度极快并向混合型、多样化发展

“震荡波”大规模爆发不久,它的变形病毒就出现了,并且不断更新,从变种A到变种F的出现,时间不用一个月。在人们忙于扑杀“震荡波”的同时,一个新的计算机病毒应运而生—-“震荡波杀手”,它会关闭“震荡波”等计算机病毒的进程,但它带来的危害与“震荡波”类似:堵塞网络、耗尽计算机资源、随机倒计时关机和定时对某些服务器进行攻击。在反病毒服务提供商Sophos公布的一份报告中称,今年5月份互联网上出现的各类新的蠕虫病毒种类数量创下30个月以来的新高,共出现了959种新病毒,创下了自2001年12月份以来的新高。这959种新病毒中包括了之前一些老病毒的新变种。计算机病毒向混合型、多样化发展的结果是一些病毒会更精巧,另一些病毒会更复杂,混合多种病毒特征,如红色代码病毒(Code Red)就是综合了文件型、蠕虫型病毒的特性,这种发展趋势会造成反病毒工作更加困难。2004年1月27日,一种新型蠕虫病毒在企业电子邮件系统中传播,导致邮件数量暴增,从而阻塞网络。不同反病毒厂商将其命名为Novarg、Mydoom、SCO炸弹、诺威格、小邮差变种等,该病毒采用的是病毒和垃圾邮件相结合的少见战术,不知情用户的推波助澜使得这种病毒的传播速度似乎比近来其他几种病毒的传播速度要快。

1.4 运行方式和传播方式的隐蔽性。

9月14日,微软安全中心发布了9月漏洞安全公告。其中MS04-028所提及的GDI+漏洞,危害等级被定为“严重”。瑞星安全专家认为,该漏洞涉及GDI+组件,在用户浏览特定JPG图片的时候,会导致缓冲区溢出,进而执行病毒攻击代码。该漏洞可能发生在所有的Windows操作系统上,针对所有基于IE浏览器内核的软件、Office系列软件、微软.NET开发工具,以及微软其它的图形相关软件等等,这将是有史以来威胁用户数量最广的高危漏洞。这类病毒(“图片病毒”)有可能通过以下形式发作:1) 群发邮件,附带有病毒的JPG图片文件;2) 采用恶意网页形式,浏览网页中的JPG文件、甚至网页上自带的图片即可被病毒感染;3) 通过即时通信软件(如QQ、MSN等)的自带头像等图片或者发送图片文件进行传播。在被计算机病毒感染的计算机中,你可能只看到一些常见的正常进程如svchost、taskmon等,其实它是计算机病毒进程。前不久,一部与哈里.波特相关的电影分别在美国和英国开始放映。接着,英国某安全公司就发出警告称,“网络天空”蠕虫病毒正在借助科幻角色哈里?波特而死灰复燃。安全公司指出, Netsky.P蠕虫病毒变种感染的用户大幅度增加,原因是它能够将自己伪装成与哈里·波特相关的影片文件、游戏或图书引诱用户下载。“蓝盒子(Worm.Lehs)”、“V宝贝(Win32.Worm.BabyV)”病毒和 “斯文(Worm.Swen)”病毒,都是将自己伪装成微软公司的补丁程序来进行传播的。这些伪装令人防不胜防。

1.5 利用操作系统漏洞传播

操作系统是联系计算机用户和计算机系统的桥梁,也是计算机系统的核心,目前应用最为广泛的是WINDOWS系列的操作系统。2003年的“蠕虫王”、“冲击波”和2004年的“震荡波”、前面所提到的“图片病毒”都是利用WINDOWS系统的漏洞,在短短的几天内就对整个互联网造成了巨大的危害。开发操作系统是个复杂的工程,出现漏洞及错误是难免的,任何操作系统就是在修补漏洞和改正错误的过程中逐步趋向成熟和完善。但这些漏洞和错误就给了计算机病毒和黑客一个很好的表演舞台。随着DOS操作系统使用率的减少,感染DOS操作系统的计算机病毒也将退出历史舞台;随着WINDOWS操作系统使用率的增加,针对WINDOWS操作系统的计算机病毒将成为主流。

1.6 攻击手段呈现多样化

计算机病毒的编制技术随着计算机相关技术的普及和发展而不断提高和变化。过去病毒最大的特点是能够复制自身给其他程序,现在计算机病毒种类繁多,有文件型、引导型、脚本型、多变型等,大多数具有了蠕虫的特点,可以利用网络进行传播。有些病毒还具有黑客程序的功能,一旦侵入计算机系统后,病毒控制者可以从入侵的系统中窃取信息,远程控制这些系统,更具有危害性。

2 计算机病毒防治的几点建议

1) 用常识进行判断。决不打开来历不明邮件的附件或你并未预期接到的附件。对看来可疑的邮件附件要自觉不予打开。千万不可受骗,认为你知道附件的内容,即使附件看来好像是JPG文件。这是因为Windows允许用户在文件命名时使用多个后缀,而许多电子邮件程序只显示第一个后缀,例如,你看到的邮件附件名称是wow.jpg,而它的全名实际是wow.jpg.vbs,打开这个附件意味着运行一个恶意的VBScript病毒,而不是你的JPG察看器。

2) 安装防病毒产品并保证更新最新的病毒定义码。我们建议您至少每周更新一次病毒定义码,因为防病毒软件只有最新才最有效。

3) 当你首次在计算机上安装防病毒软件时,一定要花费些时间对机器做一次彻底的病毒扫描,以确保它尚未受过病毒感染。领先的防病毒软件供应商现在都已将病毒扫描作为自动程序,当用户在初装其产品时自动执行。

4) 确保你的计算机对插入的软盘、光盘和其他的可插拔介质。及对电子邮件和互联网文件都会做自动的病毒检查。

5) 不要从任何不可靠的渠道下载任何软件。因为通常我们无法判断什么是不可靠的渠道,所以比较保险的办法是对安全下载的软件在安装前先做病毒扫描。

6) 警惕欺骗性的病毒。如果你收到一封来自朋友的邮件,声称有一个最具杀伤力的新病毒,并让你将这封警告性质的邮件转发给你所有认识的人,这十有八九是欺骗性的病毒。建议你访问防病毒软件供应商,证实确有其事。这些欺骗性的病毒,不仅浪费收件人的时间,而且可能与其声称的病毒一样有杀伤力。

7) 使用其他形式的文档,如RTF(Rich Text Format)和PDF(Portable document.nbspFormat)。常见的宏病毒使用Microsoft Office的程序传播,减少使用这些文件类型的机会将降低病毒感染风险。尝试用Rich Text存储文件,这并不表明仅在文件名称中用RTF后缀,而是要在Microsoft Word中,用“另存为”指令,在对话框中选择Rich Text形式存储。尽管Rich Text Format依然可能含有内嵌的对象,但它本身不支持Visual Basic Macros或Jscript。而PDF文件不仅是跨平台的,而且更为安全。当然,这也不是能够彻底避开病毒的万全之计。

(8) 禁用Windows Scripting Host。Windows Scripting Host(WSH) 运行各种类型的文本,但基本都是VBScript或Jscript。许多病毒/蠕虫,如Bubbleboy和KAK.worm使用Windows Scripting Host,无需用户点击附件,就可自动打开一个被感染的附件。

9) 使用基于客户端的防火墙或过滤措施。如果你使用互联网,特别是使用宽带,并总是在线,那就非常有必要用个人防火墙保护你的隐私并防止不速之客访问你的系统。如果你的系统没有加设有效防护,你的家庭地址、信用卡号码和其他信息都有可能被窃取。

参考文献:

[1] 卓新建.计算机病毒原理及防治[M].北京:北京邮电大学,2004.

[2] 陈立新.计算机病毒防治百事通[M].北京:清华大学出版社,2001:127-139.

[3] 程胜利,谈冉,雄文龙,程煜.计算机病毒及其防治技术[M].北京:清华大学出版,2004.

推荐访问:计算机病毒 新趋势 研究 发展