知识科普 |计算机病毒的前世今生

计算机病毒传播速度快、自我复制能力强，是对当今网络安全、数据安全影响非常恶劣的恶意软件，本文通过对计算机病毒的逐层梳理与分析，便于安全从业者和非安全从业者了解计算机病毒、认识计算机病毒，对安全从业者在安全防御能力建设中有所补充，对非安全从业者在意识形态上加深对计算机病毒的认识。

系列一：计算机病毒的前世今生-有“代码”就有“病毒”

01 计算机病毒发展简史

1. 计算机病毒初期的攻击目标（1986~1989年）：

主要是感染磁盘引导扇区/感染可执行文件（感染特征比较明显）。

2. 第二代计算机病毒的攻击目标（1989年后，出现混合型病毒）：

▽此病毒既可感染磁盘引导扇区，又可感染可执行文件；

▽此病毒具有隐蔽的方法驻留内存和感染目标；

▽此病毒拥有自我保护措施。

3. 计算机病毒突破地域限制（远程网络兴起、远程访问服务开通）：

▽Word宏病毒成为病毒主流；

▽病毒将因特网作为主要传播途径；

▽传播速度快、隐蔽性强、破坏性大等特点。

02 计算机病毒的共性基础知识

1. 计算机病毒分类：

●常见病毒分类：蠕虫病毒、木马病毒、Flame病毒、MSN性感鸡病毒、千年虫病毒、极虎病毒、勒索病毒。

●按存在媒体分类：引导型病毒、文件型病毒、混合型病毒；

●按链接方式分类：源码型病毒、嵌入型病毒、操作系统型病毒；

2. 计算机病毒特性：

包括繁殖性、破坏性、传染性、潜伏性、隐蔽性、可触发性等；

3. 计算机病毒感染方式：

●通过使用外界被感染的软盘；

●通过硬盘感染与传播；

●通过U盘感染与传播；

●通过光盘感染与传播；

●通过网络感染与传播；

●通过电子邮件感染与传播；

●通过网页感染与传播；

●通过聊天工具和下载软件感染与传播等。

4. 计算机病毒感染对象：

计算机、计算机文件、磁盘启动扇区、系统引导扇区。

5. 常见类型病毒特性分析

——蠕虫类病毒：

蠕虫类病毒是一种可以自我复制的代码，并通过网络传播，通常无需人为干预就能传播。完全控制计算机后会把这台计算机作为宿主进行扫描感染其他计算机，被新入侵的计算机又会成为新的宿主继续扫描并感染其他计算机（即：呈“爆发式”增长）。此类病毒主要的工作流程是首先蠕虫程序随机选取某一段IP地址，接着对这一地址段的主机扫描，当扫描到有漏洞的计算机系统后，将蠕虫主体迁移到目标主机。然后，蠕虫程序进入被感染的系统，对目标主机进行现场处理。同时，蠕虫程序生成多个副本，重复上述流程。

蠕虫类病毒会用各种方法收集目标主机的信息，找到可利用的漏洞或弱点，针对目标主机的漏洞或缺陷，采取相应的技术攻击主机，直到获得主机的管理员权限。对搜集来的信息进行分析，找到可以有效利用的信息。如果有现成的漏洞可以利用，上网找到该漏洞的攻击方法，如果有攻击代码就直接进行COPY，用该代码取得权限；如果没有现成的漏洞可以利用，就用根据搜集的信息试探猜测用户密码，另一方面试探研究分析其使用的系统，争取分析出一个可利用的漏洞。然后利用获取的权限在主机上安装后门、跳板、控制端、监视器等等，清楚日志、进入计算机完成任务。

——木马类病毒：

木马类病毒是特定的编写程序，将控制程序计生于被控制的计算机系统中，里应外合，对被感染木马病毒的计算机实施操作。一般的木马病毒程序主要是寻找计算机后门，伺机窃取被控计算机中密码和重要文件等。木马病毒可对被控计算机实施监控、资料修改等非法操作。同时，木马病毒具有隐蔽性、欺骗性、顽固性、危害性等特点。

木马病毒基于客户端和服务端的通信、监控程序。客户端的程序用于黑客远程控制，可以发出控制命令，接收服务端传来的消息。服务端程序运行在被控制计算机上，一般隐藏在被控计算机中，可以接收客户端发来的命令并执行，将客户端需要的信息发回。推理可看出木马病毒可发作的必要条件是客户端和服务端必须建立起基于IP地址和端口号的网络通信。藏匿在服务端的木马程序一旦被触发执行，就会不断将通信的IP地址和端口号发送给客户端。客户端利用服务端木马程序通信的IP地址和端口号，在客户端和服务端建立起一个通信链路。客户端的黑客便可以利用这条通信链路来控制服务端的计算机。木马病毒的攻击方式一般为向目标群发钓鱼邮件，引诱用户打开附件；U盘传染；计算机系统的.lnk漏洞、Windows键盘文件漏洞、打印缓冲漏洞等。

03 “臭名昭著”的病毒盘点

现如今，电脑已被运用到各行各业中，计算机和计算机网络已经成为人们生活中重要的组成部分，而病毒会对计算机数据的破坏和篡改，盗取会造成严重的网络与数据安全问题，影响使用效益。那么计算机病毒有哪些危害，以下进行了列举：

◆激发病毒会造成危害的角度：大部分计算机病毒被激发后会直接破坏计算机的重要数据、重要信息，会直接破坏CMOS设置或者删除重要文件，会格式化磁盘或者改写目录去，会用“垃圾”数据来改写文件等；

◆消耗内存危害的角度：很多病毒在活动状态下是常驻内存的，一些文件型病毒在短时间内能够感染大量文件，每个文件都会进行不同程度的加长，因此会造成磁盘空间的严重浪费；

◆对用户的心理压力危害：计算机病毒造成的影响及心理压力甚广，时刻会使用户担心遭受了病毒的入侵，但有些情况可能也仅仅是计算机的正常现象（如：死机、运行异常等），由于用户对病毒的恐惧会使其怀疑种了计算机病毒的入侵。所以，计算机病毒给用户心理带来的压力是很重要的危害后果，需要深刻认识臭名昭著的计算机病毒，才能建好心理防线。

以下为对历史上一些“臭名昭著”病毒的介绍：

Flame病毒

■Flame病毒：一种后门程序和木马病毒，同时具有蠕虫病毒（即：以网络和电子邮件为主要传播途径进行复制和传播）的特点，只要操控者发出指令就能自我复制；

■攻击形式：监测网络流量、获取截屏画面、记录音频对话、截取键盘输入等，并将数据传送至操控者手中；

■计算机感染呈现的现状：自动分析自身网络流量规律、自动录音、自动记录用户密码、自动记录敲键盘规律等，并统统打包发送给远程操控病毒服务器；

■Flame病毒特性：复杂性（即：使用5种不同加密算法 、3种不同压缩技术和至少5种不同的文件格式、使用Lua语言编写代码）、选择性（即：对攻击目标具有选择性）、潜伏性；

■Flame病毒收集数据利用介质：如键盘、屏幕、麦克风、移动存储设备、网络、Wi-Fi、蓝牙、USB和系统进程等；

■计算机是否已感染Flame病毒 ：

（一）搜索计算机是否存在~DEB93D.tmp文件（如存在则可能感染了Flame病毒）；

（二）检查注册表HKLMSYSTEM\_CurrentControlSet\Control\Lsa\Authentication Packages，如发现mssecmgr.ocx或authpack.ocx，则说明计算机已被感染；

（三）如果在%windir%\system32\目录下发现以下任一文件，也能说明计算机可能被感染：mssecmgr.ocx、advnetcfg.ocx、msglu32.ocx、nteps32.ocx、soapr32.ocx、ccalc32.sys、boot32drv.sys。……

MSN性感鸡病毒：

■MSN：全称Microsoft Service Network（微软公司旗下的门户网站）；

■病毒属性：是一种蠕虫病毒；

■感染症状：系统自动跳出烧鸡图片、释放名为rbot后门程序、计算机调制静音模式、登录MSN自动给好友发送邮件等；

■MSN小尾巴（Worm.MSNFunny）：预先发送一条网站广告消息，接着再发送一个病毒副本，用户在不知情的情况下，一旦运行了发送来的病毒副本，就会导致中毒；

■传播特点：（一）需要利用及时通信工具MSN进行传播；（二）利用微软三大漏洞（即：WebDay漏洞、冲击波漏洞、震荡波漏洞）；（三）该病毒可破解系统弱口令（如：111、ABC、123等）；

■病毒应对方法：可在任务管理器里把winhost.exe、winis.exe、msnus.exe、dnsserv.exe结束，再到注册表把win32=winhost.exe删除。

千年虫病毒：

■千年虫病毒：是计算机系统的时间变换问题，由早期计算机的设计漏洞引起，该漏洞在计算机更普及的西方国家影响范围更大；

■病毒由来：由以前的操作系统开发者为了节省存储空间所导致（如：记录时间使用两位记录法，导致当前为2000年，在计算机看来还处在1900年）；

■病毒最早出现时间：1999年4月9日开始出现（即：采用两位记录法，数字串99表示文件结束、永久性过期、删除等含义。计算机删除文件时会把遇到99等数字串判定为过期文件执行了删除操作）；

■应对方法：合理利用软件工程学（包括：计划、需求分析、设计、编码、测试、运营、评价等）。

极虎病毒：

■爆发时间：2010年春节放假之前出现并在2月8日全面爆发；

■病毒属性：混合病毒（由磁碟机、AV终结者、中华吸血鬼、猫廯下载器为一体的混合病毒）。（一）磁碟机病毒（dummycom病毒）：2007年出现的一种蠕虫病毒，感染用户的EXE文件，破坏力不强、但更新频次很快；（二）AV终结者（又名爬虫）：是一系列破坏系统安全模式、植入木马下载程度的病毒，意在反击杀毒软件；（三）中华吸血鬼：主要通过网页挂马和U盘传播，侵入用户系统之后能够关闭多种杀毒软件，并下载大量病毒，破坏系统文件；（四）猫廯下载器病毒：计算机在感染病毒时会极大概率伴随网游账号被盗现象，对用户的虚拟财产影响巨大；

■病毒特点：附带病毒种类最多、清楚难度最高、破坏系统程度最大、传播方式最特别、可造成反复感染、拥有自保护驱动对抗杀毒软件、病毒持续更新、可感染计算机所有可执行文件；

l传播途径：（一）网页挂马，可利用0day等漏洞广泛传播；（二）U盘、手机、数码相机等移动设备；（三）局域网，通过局域网共享缺陷以及弱口令进行内网渗透；（四）软件捆绑及欺骗下载；（五）感染的网页文件；（六）可执行文件；（七）压缩文件；（八）系统文件夹中创建usp10.dll和lpk.dll；（九）替换正常服务，如：appmgmts.dll、qmgr.dll、xmlprov.dll等；（十）删除主程序（如：booter.exe），建立后门，利用iexplore.exe重新下载；

■感染症状：开机提示系统文件丢失、杀毒软件失效（无法主动防御）、计算机非常卡顿（系统运行速度变慢、CPU占用了比较高）、桌面IE图标被感染、反复报毒等；

■作乱方法：破坏系统文件、替换系统文件、攻击各种杀毒软件、感染所有可执行文件、联网下载大量盗号/广告类软件等；

■应对方法：（一）预防为主。如：安装杀毒软件、不浏览不健康或可疑网站、持续检查程序进行扫毒、不随意下载软件等；（二）硬盘格式化：如感染已达到很严重程度，需将整个硬盘格式化后使用光盘重装系统。

（本文作者：杭州美创科技有限公司 王泽）