第五節 電腦毒及其防治
目前電腦已經應用到現代社會的各個領域,並且帶來巨大的社會和經濟效益。然而隨著電腦的普及,一種在電腦係統中迅速蔓延並對電腦係統造成巨大損害的高科技犯罪現象一電腦病毒也迅速傳播到世界各地區,並且已經產生了許多嚴重的後果。電腦病毒使許多人感到驚慌失措,對電腦應用前景感到悲觀。
確實,由於電腦病毒傳播迅速,種類繁多,隱蔽性強,防治困難,所以危害很大?但是電腦病毒也是人所研製出的,因此也是能夠進行防治的。隻要我們了解病毒的特征、危害和傳播方式,就能有效地防止病毒的危害,保證自己的電腦係統的安全。
一、電腦病毒的現狀和特征
有資料認為,目前世界上已經發現的電腦病毒種類已超過100種,在我國已發現的也已經有十幾種之多。常見的如:小球,大麻,巴基斯坦智囊,楊基都德,耶路撒冷,磁盤殺手等等。
計算機病毒具有以下特點:
它是一個程序,但不是一個完整的程序。一般寄生在其他程序中,隨其他程序進入電腦運行。
電腦病毒具有傳染性。這是指它能夠通過內存儲器和磁盤等媒體將自身複製到其他對象上。這些對象可以是電腦係統、磁盤或軟件程序。電腦病毒便借此迅速傳播和擴散。
電腦病毒具有欺騙性。病毒程序寄生在其他程序上,在使用者非授權情況下加載和運行的。因此電腦用戶往往在不知不覺中受到病毒攻擊,造成損失。
電腦病毒具有很大的危害性。其破壞對象十分廣泛,包括破壞係統軟件,刪除和修改程序和數據,占用電腦係統資源以及幹擾電腦正常運行等等。
從傳染性的需要出發,病毒程序一般還具有隱蔽性、潛伏性、精巧性等特點。
二、電腦病毒的分類
電腦病毒種類非常多,可以從幾個方麵將電腦病毒加以分類,以便於了解其特性。
1.從電腦病毒產生的後果來分,可分為“良性”病毒和惡性病毒兩種。所謂“良性”病毒是指僅占用係統資源(內存儲器、中央處理機和磁盤),但不破壞數據和程序的病毒。當然,“良性”病毒也要影響電腦正常工作,同樣會造成損失。
“惡性”病毒是指那些破壞係統程序,刪除數據和文件,甚至摧毀電腦係統的病毒。
2.以電腦病毒的寄生方式劃分,可以分為以下四種:
(1)操作係統型病毒
這種病毒可代替正常操作係統模塊,在係統運行時進入內存,待機發作。微型電腦中常受這種病毒攻擊的部分有:DOS引導記錄、文件分配表等。如我國流行較廣的“小球”、“大麻”等都是係統病毒。在啟動係統時不使用軟盤,是避免係統型病毒感染的有效方法。
(2)外殼病毒
這種病毒將自身的複製品包圍在宿主程序的周圍,對宿主程序不作修改。當運行宿主程序時,病毒首先進入內存,可以感染其他程序。同時,宿主程序也可以被多次感染,每感染一次,程序的長度增加一定的字節數。常見的“耶路撒冷”、“揚基都德”均屬於此類病毒。一般可以通過檢查文件運行前後的字節數變化來判斷是否被感染。
(3)入侵型病毒
這種病毒會改寫宿主程序,將自身複製品或其變種侵入到宿主程序內。因此被感染的程序長度可能沒有變化,但程序的功能改變了。這種病毒比較難發現和刪除。
(4)源碼病毒
大多數病毒是攻擊執行文件的。而源碼病毒則在高級語言程序編譯之前插入程序中,因此編譯後形成執行文件時很難發現。
3.從電腦病毒的攻擊對象上劃分,有兩種。
一種稱作係統病毒,主要攻擊操作係統和內存。
另外一種稱作文件病毒,主要攻擊磁盤上的文件。
三、電腦病毒作用機製
為了防治電腦病毒,首先要了解電腦病毒的構成和它們的作用機製。電腦病毒的種類很多,並且不斷地出現新的種類和變種。但不管有多少種類,病毒的基本結構和作用機製是類似的。了解了電腦病毒是如何侵入電腦係統,如何傳染,如何破壞的機製,就有了防治病毒的方法。
1.病毒的一般構成
電腦病毒為了發揮破壞作用,一般由三大功能模塊所組成,即引導模塊、傳播模塊和表現/破壞/模塊。
引導模塊的作用是:將潛伏在外存儲器(磁盤)上的靜態病毒程序裝入內存,並成為活動狀態。以便在滿足觸發條件時進行傳染和破壞。大多數病毒在進入內存後,就長期駐留下來,直到關機。因此病毒入侵後可以多次發生作用。
傳播模塊的功能是:在滿足條件時,將電腦病毒自身的複製品,傳染到其他對象上去。
表現/破壞模塊的作用是:在被觸發後運行,破壞係統,刪除文件,或完成一些自我表現動作,如改變顯示,發出聲音等等。
2.病毒的引導機製
電腦病毒引導模塊的功能是使病毒進入電腦係統並駐留於內存中。病毒程序的加載可以由病毒引導模塊在宿主程序運行時完成,也可以在DOS係統加載時進行。
為了能夠駐留於內存,病毒引導模塊采用兩種方法:一種是與宿主程序同時駐留,一種是加載時將病毒程序移到內存高端地址區並且隱蔽起來。
3.電腦病毒的傳播機製
電腦病毒總是借助於一定的載體而存在和傳播。從高層次來看:病毒總是從一個存儲媒體(軟盤、硬盤、磁帶)傳播到另外的存儲媒體上。從低層次來看:病毒是從一個文件或程序傳播到另一個文件或程序中。這其中要借助於電腦係統的運行,借助於電腦的內存儲器。隻有在內存中,病毒才能被激發而具有傳染性。對於聯網的電腦係統,病毒也可以通過電腦網絡通訊線路在電腦係統間傳播。
在現階段,由於電腦網絡在我國仍是少數。電腦病毒傳染主要途徑主要還是由於帶毒軟盤在不同電腦係統中運行所造成的。如果把住軟件和軟盤傳遞這一關,電腦病毒的傳染是可以防止的。
3.電腦病毒的破壞機製
電腦病毒的破壞方式多種多樣:有的僅僅作某些表現,有些刪除文件和數據,有些則破壞係統。破壞機製與傳播相似,首先需判斷破壞條件是否滿足,在滿足時執行破壞功能。破壞模塊的觸發條件往往與電腦係統的時鍾有關。例如:常見的“耶路撒冷”又稱“黑色星期五”,它是在係統時鍾指向某月13日並且日期是星期五時被觸發。如果人為地修改係統時鍾,跳過這一時刻,則即使係統被病毒感染也不會發作。
四、幾種常見的電腦病毒及其分析
目前國內發現的常見的病毒主要有:“小球”、“大麻”、“巴基斯坦”、“維也納”、“猶太人”、“1701”等病毒。下麵對這幾種病毒作一分析。
1.“小球”病毒
小球病毒又叫“圓點”病毒或“乒乓”病毒,它屬於操作係統型良性病毒,對磁盤(含硬盤)感染。發作症狀:屏幕上出現類似乒乓球的小圓點,四處跳彈,同時係統速度變慢,幹擾機器正常運行。其變種具有極危險的破壞力\小球病毒的工作原理為:用病毒程序取代係統盤的引導程序,將正常引導區(Boot區)和部分病毒程序放於某一空閑簇,並將此簇標記為壞簇,在用病毒引導係統時,病毒首先進入內存,修改INT8H和INT13H的入口地址,並處於活動狀態,在一定條件下發作。
小球病毒感染方法是:
(1)在帶有病毒的機器上對盤進行讀寫操作,即使簡單的內部命令DIR也會造成感染;
(2)對病毒盤進行類似DISKCOPY的操作。
2.“大麻”病毒
“大麻”病毒又叫做“石頭”病毒、“Marijuana”病毒或“Stone”病毒,它屬於操作係統型惡性病毒。對磁盤(含硬盤)進行感染,(對軟盤僅感染A驅動器中的盤)。
其感染方法同“小球”病毒。“大麻”病毒固定放在磁盤的0麵0道1扇區。其病毒標誌為“EA0500C0”四個字節。對於軟盤,0麵0道1扇區正好為引導區。因此,病毒程序占據此位置後,將原引導程序移至該盤的1麵0道3扇區(邏輯扇區為11)中。檢測時,隻需用DEBUG來查看引導扇區,若有,則將正確的引導程序(在1麵0道3扇區)重新放到0麵0道1扇區即可。
對於硬盤,由於0麵0道1扇區為主引導扇區,不屬於DOS區,若重寫時,要從另外一台同機型和同分區同DOS版本的機器上讀取主引導扇區,再寫入帶有病毒的0麵0道1扇區即可。
3.“巴基斯坦”病毒
“巴基斯坦”病毒又叫“巴基斯坦智囊”、“PAKISTANIBRAIN”病毒,它屬於操作係統型良性病毒。它僅對軟盤進行感染(其變種有些可感染硬盤)。發作症狀為被感染的軟盤出現帶有“(C)Brain”字樣的卷標。感染方法為:在病毒活動的機器上進行了軟盤讀寫操作或對病毒盤進行類似DISKCOPY的操作。“巴基斯坦”病毒檢測較簡單,用DIR列目錄即可判斷。感染病毒的磁盤卷標上有“(C)Brain”的字樣。該病毒的病毒標誌為“3412”,存放在引導扇區的第5~6字節。該病毒在感染時,將病毒初始部分放在軟盤的引導扇區,而將原來正確引導扇區和病毒的其它部分放入三個連續的簇中(若無空閑簇,則不感染;隻要有一個空簇存在,且其後至少還跟有兩個簇,則不管這兩個簇是否空閑,則將原引導區和病毒其餘部分放在這三個連續的簇中,並在FAT表中將這三個簇標為“壞”簇)。因此,該病毒可能破壞原有的數據。