第四章-计算机安全与计算机病毒

第四章计算机安全与计算机病毒一、计算机病毒（ComputerVirus）国外按照生物界对病毒的定义，把计算机病毒定义为：能够侵入计算机系统并给计算机系统带来故障的且具有自我复制能力的指令序列。可见计算机病毒是一种人为设计的危害计算机系统和网络的计算机程序。计算机病毒在《中华人民共和国计算机信息系统安全保护条例》中被明确定义为：“编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。计算机病毒的发展★“计算机病毒”这一概念是1977年由美国著名的科普作家“雷恩”在一部科幻小说《P1的青春》中提出。★1983年，美国计算机安全专家考因（F.Cohen）首次通过实验证明了病毒的可实现性。★1987年，世界各地的计算机用户几乎同时发现了形形色色的计算机病毒，如大麻、IBM圣诞树、黑色星期五等等。面对计算机病毒的突然袭击，众多计算机用户甚至专业人员都会惊慌失措。★1989年，全世界的计算机病毒攻击十分猖獗，我国也未幸免。其中“米开朗基罗”病毒给许多计算机用户造成极大损失。★1996年，出现针对微软公司Office的“宏病毒”。1997年被公认计算机反病毒界的“宏病毒”年。“宏病毒”主要感染WORD、EXCEL等文件，★自1996年9月开始在国内出现并逐渐流行的病毒。已经见过的如：Nimda(尼姆达)、CodeRedII(红色代码2)、Happytime(欢乐时光)、Worm_Klez.A(求职信)、LoveLetter(爱神)、Worm_Goner(将死者)、Navidad(圣诞节)、Onthefly(库尔尼克娃)、DiskKiller(磁盘杀手)、Worm_Killonce.A(杀手十三)、Dasher(黛蛇)、以及大量的蠕虫病毒和木马病毒的变种……★1998年出现针对Windows95/98系统的病毒，如CIH，1998年被公认为计算机反病毒界的CIH病毒年。CIH的作者陈盈豪计算机病毒的结构通过对目前出现的计算机病毒的分析发现，几乎所有计算机病毒都是由三部分组成：1、引导模块2、传染模块3、表现模块1、引导模块计算机病毒的引导模块负责将病毒引导到内存，对相应的存储空间实施保护，以防被其它程序覆盖，并且修改一些必要的系统参数，为激活病毒做准备。2、传染模块计算机病毒的传染模块负责将病毒传染给其它计算机程序。它是整个病毒程序的核心，也是判断一个计算机程序是否是计算机病毒的一个先决条件。计算机病毒的传染模块由两部分组成，一是传染条件判断部分，二是传染部分。3、表现模块计算机病毒的表现模块也分为两部分，一是病毒触发条件判断部分，二是病毒的具体表现部分。计算机病毒的表现又分为良性表现与恶性表现两种，相应地有良性病毒与恶性病毒之分。★良性病毒是指在病毒的表现模块中的表现部分对系统不构成严重的威胁，它一般只表示一个计算机病毒的存在。主要目的是表现病毒设计者的才华，或者这种表现只是降低了系统的效率，并不破坏系统资源。★恶性病毒的表现部分对系统具有严重的破坏作用，它可以破坏系统的数据资源，甚至将系统文件与应用文件及数据全部删除。计算机病毒是人为编制的程序。计算机病毒一般具有以下八个特点：破坏性、隐蔽性、潜伏性、传染性、未经授权而执行、依附性、针对性、不可预见性。计算机病毒的特点1、破坏性任何病毒只要侵入系统，都会对系统及应用程序产生程度不同的影响。轻者会降低计算机工作效率，占用系统资源，重者可导致系统崩溃。另外还有些病毒，有明确的目的，或破坏数据、删除文件或加密磁盘、格式化磁盘，有的对数据造成不可挽回的破坏。2、隐蔽性病毒一般是具有很高编程技巧、短小精悍的程序。通常附在正常程序中或磁盘较隐蔽的地方，也有个别的以隐含文件形式的出现。病毒程序与正常程序是不容易区别的。一般在没有防护措施的情况下，计算机病毒程序取得系统控制权后，可以在很短的时间里传染大量程序。而且受到传染后，计算机系统通常仍能正常运行，使用户不会感到任何异常。正是由于隐蔽性，计算机病毒得以在用户没有察觉的情况下扩散到上百万台计算机中。3、潜伏性大部分的病毒感染系统之后一般不会马上发作，它可长期隐藏在系统中，只有在满足其特定条件时才启动其表现（破坏）模块。只有这样它才可进行广泛地传播。如著名的“黑色星期五”在逢13号的星期五发作。当然，最令人难忘的便是26日发作的CIH。这些病毒在平时会隐藏得很好，只有在发作日才会露出本来面目。4、传染性传染性是病毒的基本特征。计算机病毒会通过各种渠道从已被感染的计算机扩散到未被感染的计算机。正常的计算机程序一般是不会将自身的代码强行链接到其他程序之上的。而病毒却能使自身的代码强行传染到一切符合其传染条件的未受到传染的程序上。因此，是否具有传染性是判别一个程序是否为计算机病毒的最重要条件。5、未经授权而执行一般正常的程序是由用户调用，再由系统分配资源，完成用户交给的任务。其目的对用户是可见的、透明的。而病毒具有正常程序的一切特性，它隐藏在正常程序中，当用户调用正常程序时窃取系统的控制权，先于正常程序执行，病毒的动作、目的对用户是未知的，是未经用户允许的。6、依附性计算机病毒程序只有依附在系统内某个合法的可执行程序上，才可能被执行。7、针对性计算机病毒发挥作用是有一定环境要求的，一种病毒并不是对任何计算机系统都能传染的。由于病毒是一段计算机程序，它的正常工作也需要一定的软/硬件环境。如攻击UNIX操作系统的病毒对DOS系统也是无效的。8、不可预见性不同种类的病毒代码千差万别，但有些操作是共有的（如驻内存，改中断）。利用病毒的这种共性，制作了声称可查所有病毒的程序。这种程序的确可查出一些新病毒，但由于目前的软件种类极其丰富，且某些正常程序也使用了类似病毒的操作甚至借鉴了某些病毒技术。病毒的制作技术也在不断地提高，病毒对反病毒软件永远是超前的。计算机病毒的长期性计算机操作系统的弱点往往是被病毒利用，提高系统的安全性是防病毒的一个重要方面，但完美的系统是不存在的。提高一定的安全性将使系统多数时间用于病毒检查，系统失去了可用性与实用性，另一方面，信息保密的要求让人在泄密和抓住病毒之间无法选择。计算机病毒的产生病毒不是来源于突发或偶然的原因。病毒是人为的特制程序计算机病毒的分类病毒按其危害程度，分为弱危害性（良性）病毒和强危害性（恶性）病毒；按其侵害的对象来分，可以分为：引导型（BootVirus)、文件型(FileVirus)、木马型(TrojanhorseVirus)。激活条件发作条件传染激活传染媒介触发表现传染源（感染的病毒）病毒的工作过程（如：网络钓鱼）例如微软于2005年11月8日向用户发出警告称，在较新版本的Windows操作系统中发现了一个“严重级”新漏洞，黑客可以通过在数码图片中植入恶毒软件代码，从而对此漏洞发动攻击，并最终控制计算机系统。WindowsXP、WindowsServer和Windows2000及更新版本较易受到攻击，因此，这些操作系统的用户应当及时打上补丁。病毒预报(2006.11.20-2006.11.26)微软公司发布了六个操作系统的漏洞补丁程序，其中五个补丁程序的危害级别为“严重”，另一个为“重要”。这五个危害级别“严重”的系统漏洞补丁程序有四个是针对Windows操作系统上存在的漏洞。在这五个“严重”的补丁程序中以下三个提醒计算机用户注意，它们分别是：（一）MS06-067：InternetExplorer积累性补丁，微软浏览器InternetExplorer存在漏洞，恶意攻击者可能利用此漏洞在计算机用户系统上执行任意程序。如果这些计算机用户在浏览互联网络上某些网页时，可能会导致自己计算机系统IE浏览器崩溃，进而导致无法正常使用浏览器。（二）MS06-070：MicrosoftWindowsWorkstation可远程执行代码漏洞，MicrosoftWindows的Workstation（工作站）服务组件中存在栈溢出漏洞，恶意攻击者可能利用此漏洞在计算机用户服务器上执行任意程序。（三）MS06-071：InternetExplorerXML中可能允许远程执行代码漏洞，微软公司的浏览器InternetExplorerXML（一种标识语言）语法分析器中存在漏洞。恶意攻击者可以通过构建特制的网页来利用此漏洞，如果计算机用户访问该网页或单击恶意攻击者发来的电子邮件中的网址链接，该漏洞就可能允许恶意攻击在计算机用户的系统上远程执行任意代码程序，成功利用此漏洞的攻击者可以完全控制受影响的计算机系统。国家计算机安全应急中心病毒预报（病毒预报（2006.11.13-2006.11.19）近期，计算机病毒疫情较为平稳，传播范围广、危害性强的病毒疫情没有出现过。一些企业和计算机个人用户受到病毒危害比较集中在蠕虫和木马程序上，这些蠕虫和木马程序大多出现的变种很多，有的会在短时间内就出现很多新变种，让计算机用户防范起来十分困难，措手不及。（2006.11.6-2006.11.12）近日，木马（Trojan_DL.delf）出现新变种，该变种在受感染的计算机系统中运行后，将其自身伪装成计算机系统的正常文件存于系统目录中，使得计算机用户很难察觉到，并通过互联网络从指定网站或是服务器上下载恶意程序，同时修改计算机用户浏览器的设置，使其访问浏览网页时会转向浏览指定的恶意网站。并且，该变种还会在计算机用户操作系统中的桌面、开始菜单、快速启动栏、收藏夹等位置上添加一些网站的广告信息，给计算机用户的正常操作带来不便。另外，近期在互联网络上专门盗取用户网络游戏账号、密码的木马程序传播比较严重。该木马程序专门窃取网络游戏玩家的信息（如：账号、密码、服务器信息等）并发送给植入木马程序的攻击者。建议网络游戏的玩家在上网时务必升级自己系统中的防病毒软件，打开防病毒软件的实时监控功能。近期，微软公司发布了10月的几个操作系统的漏洞补丁程序，其中有几个补丁程序是对Windows操作系统和Office办公软件中存在的一些漏洞进行了修复。并且这次发布的漏洞补丁程序其中有四个安全级别是“严重”，值得计算机用户关注留意，他们分别是：（一）MS06-058：MicrosoftPowerPoint远程代码执行漏洞，MicrosoftPowerPoint是非常流行的电子文稿演示工具。PowerPoint在处理包含有畸形字符串的电子文稿文件时存在漏洞，可能允许恶意攻击者执行任意指令。（二）MS06-059：Excel中可能允许远程执行代码漏洞，Excel在解析文件和处理畸形的类型记录时存在缓冲区溢出漏洞，恶意攻击者可能利用此漏洞在计算机用户系统上执行任意指令。（三）MS06-060：Word中可能允许远程执行代码漏洞，当Word解析包含有畸形数据串的文件时，恶意攻击者可能会将此类特制文件放置在电子邮件附件中或恶意网站上，一旦计算机用户点击或是访问就会受到控制，进而受到病毒的入侵感染。（四）MS06-062：Office可能允许远程执行代码漏洞，Office中存在一个远程代码执行漏洞，当Office解析带有畸形字符串的文件时，恶意攻击者可能利用此漏洞在计算机用户系统上执行任意指令。如果用户使用管理用户权限登录，成功利用此漏洞的恶意攻击者便可完全控制受影响的系统。提醒计算机用户及时下载安装这些系统安全漏洞补丁程序，特别是危害级别严重的四个补丁程序，阻止恶意攻击者利用这些漏洞进行攻击，保护好自己的计算机系统免受病毒的入侵破坏。2006年10月2日起出现一个新的蠕虫变种Worm_Stration.WO，该蠕虫通过邮件传播，并且将自身拷贝作为邮件附件，该附件可能是压缩文件（.zip或.rar）、文本文件(.txt)或是可执行文件(.exe)等，大小约为115k。计算机用户一旦收取并点击邮件附件就会受到感染，感染后的计算机系统会使用系统内置的SMTP邮件引擎向邮件地址簿里的所有收件人发送带有病毒体自身拷贝的邮件，实现蠕虫的进一步传播扩散。并且蠕虫还会添加注册表项，使得自身能够在计算机系统启动时自动运行。另外，上周发现