RISING 瑞星
首页 » 病毒频道 » 反病毒基地 » 反病毒技术 » 正文 rss
 资讯  病毒

网络病毒的战国时代

作者:蔡骏 来源:北京瑞星信息技术有限公司 时间:2004-03-10 17:03:00

    整个二月份病毒扎堆似的涌现,过年期间大出风头的“SCO炸弹(Worm.Novarg)”(又名:MyDoom)病毒,在二月份又陆续出了六个变种,病毒的传播能力和破坏性都有了不同程度的增强。同时二月份的另外两个“明星”病毒是网络天空(Worm.NetSky)和恶鹰(Worm.Bbeagle),这两个病毒及其变种同样利用互联网资源通过邮件以及其他辅助手段进行大面积传播,使本来就拥塞的全球网络更加雪上加霜。这些病毒都有一些什么样的特征,同时这些病毒的流行又预示着什么样的发展趋势呢?让我们做一些简单的分析。

    病毒为何如此横行?

    二月份的这三大家族近三十个变种,采用了惊人相似的手段:通过邮件进行大规模传播,开启后门破坏网络安全。邮件是现在的网络用户最常用的通讯手段,这些病毒一旦感染,会在用户的电脑里面搜索所有可能带有email地址信息的文件,然后向这些email地址发送带有病毒的邮件。据我们的估计以这种方式搜索出来的email地址一般都在三位数以上,也就是100个email地址到1000个或者更多。可以想象按照平均一台中毒机器发送200封带毒邮件的话,如果病毒不受任何限制就进行传播,网络的邮件病毒会以几何级数暴涨,有限的网络带宽将在短时间内被使用殆尽。

    但是和去年的冲击波病毒有所不同的是,冲击波是利用微软操作系统的漏洞在用户毫无意识的情况下进行感染和传播的,而这三个病毒必须要用户点击运行才会被感染,那为什么用户会那么轻易的将一个病毒程序运行起来呢?我们来看一个典型的病毒邮件:

发件人:administration@****.com
收件人:xixihaha@****.com
标题:  Email account utilization warning.
附件: Text.zip(带有病毒程序的压缩包!)

正文:

Dear user of e-mail server "****.com",

Your e-mail account  will be disabled because  of  improper using in next
three days, if you are still wishing to use  it, please, resign your
account information.

For details see the attached  file.

In order to read the attach you have to use the following password: 50230.

Kind regards,
   The ****.com team                 http://www.****.com
以如此冠冕堂皇的理由要求收到邮件的用户运行实际的病毒邮件,很多缺乏安全意识的用户会轻易就范,把病毒程序执行起来,从而成为病毒利用的下一个传染源。由此看来,病毒主要通过邮件传播,同时具有极强的欺骗性,是病毒得以迅速传播的主要原因。

    何来这么多病毒变种?

    我们也经常把这些具有同样特征的病毒群体成为病毒家族。那为什么这些病毒先后会出现如此之多的变种呢?

    计算机病毒从诞生到消亡有一个生命周期,病毒被病毒编制者编制出来是它的诞生,病毒被释放出来是它的发展,杀毒软件的查杀和病毒寄生条件的破坏是它的衰落,病毒无处藏身最终消亡。

    为了延长病毒的生命周期,编制病毒变种是最简便易行的方式,通过对原有病毒的少量修改不但可以逃脱杀毒软件的检测,同时可以增强自身的功能,从而造成进一步的破坏。

    很有趣的是,病毒与病毒之间同样也存在着竞争关系,因为用户的资源和环境是有限的,多个病毒的同时运行必然会严重占用用户的系统资源,从而引起用户警觉,同时病毒之间如果采用相同的感染原理很容易相互冲突,所以我们看到这些病毒启动的时候,首先会将其他病毒杀掉,从而独占系统资源。而被杀掉的病毒又会以毒攻毒地迅速发布新的变种来破坏对方的程序。

    综上所述,病毒自身的功能改进,免于反病毒软件的监测和病毒之间的恶性竞争,造成了病毒变种层出不穷。


    这些病毒都有什么新特性?

    二月份的病毒终将会随着反病毒软件的有力阻击而尘埃落定,但是这些病毒体现的病毒思想和新的手法,必将影响到下一轮的病毒攻击。

    1.和我们年初的预测完全一致,邮件蠕虫在二月份的病毒里面一枝独秀,这缘于邮件病毒超强的传播能力和对网络资源的巨大消耗。

    2.黑客手法被很好地用于病毒编制中,开系统后门、发起DDOS攻击等黑客手段被很好的整合到病毒里面,病毒的功能和技术得以拓展,造成网络安全状况岌岌可危。

    3.病毒加强了自身的保护。通过对反病毒软件的较为深入的研究,病毒编制者通过各种手段来躲避反病毒软件的检测,包括停止反病毒软件进程,对病毒体做简单变形,设置病毒的失效日期,不再利用旧有的微软邮件客户端漏洞,将病毒隐藏在压缩包里面,甚至对病毒进行加密然后提供密码给用户由用户手动执行等。

    杀毒软件都做些了什么?

    应该说在二月份的病毒和杀毒软件的交战中,杀毒软件仍然是处于下风的。但是如果没有杀毒软件的积极应对和奋力反击,现在的网络只会在黑暗的笼罩之下。从二月份的交锋中看到杀毒软件必将成为目前个人用户或者企业用户保障系统安全的当然之选。我以一个安装了瑞星杀毒软件的个人用户和一个没有安装任何杀毒软件的用户在这次病毒事件中可能遭遇做一个简单类比。

    我们假设这两个个人用户都属于普通用户,分别名叫用户一和用户二,用户一安装了瑞星杀毒软件且已经启动了瑞星的所有监控,包括文件监控,内存监控,网页监控和邮件监控,并能够及时进行升级。

    1,用户一和用户二分别通过Outlook Express(或者其他邮件客户端)收取邮件,用户一的邮件监控会对邮件进行扫描,因为是新出病毒,杀毒软件暂时无法检测出病毒,病毒邮件分别被两个用户收取到本地。

    2,用户被病毒邮件欺骗,运行病毒程序,其中用户一运行时瑞星杀毒软件进行检测,但检测不出病毒,病毒都被运行起来。

    3,病毒被激活后,会通过向外发送邮件进行传播,这时用户一的邮件监控截获发送的邮件弹出邮件发送对话框,同时进行病毒检测,没有检测出病毒,邮件被发出,用户一发现有不明程序向外发送邮件,系统存在可疑情况,而此时用户二没有任何感觉,病毒已经通过用户二的电脑不断向外传播。

    4,用户一点击瑞星杀毒软件升级按钮,瑞星程序自动升级到最新版本,此病毒已经可以被完全检测和杀毒。

    5,病毒再次发送的邮件被瑞星邮件监控截获并检测出邮件中带有病毒,根据用户一的指定操作,病毒被清除。

    6,用户一用瑞星杀毒软件对电脑全盘进行扫描,内存中的病毒和硬盘中的残留病毒将会被彻底清除干净。

    7,当用户一再次重复第一步时,病毒会被邮件监控自动清除,这个病毒不会再次感染用户一的机器,此时用户二重复第一步时,改头换面的病毒会导致用户二继续激活下一个病毒。

    从上面这个过程我们可以看到反病毒软件不可能完全阻止新病毒的攻击,但是可以提供防护,同时可以通过升级等各种手段来加强电脑的防护能力。


相关文章

推荐阅读