网络病毒指 计算机病毒的定义计算机病毒(Computer Virus)在《中华人民共和国计算机信息系统安全保护条例》中被明确定义，病毒“指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。

简介

分类

简介

二 计算机病毒的特点计算机病毒是人为的特制程序，具有自我复制能力，很强的感染性，一定的潜伏性，特定的触发性和很大的破坏性。

三 病毒存在的必然性计算机的信息需要存取、复制、传送，病毒作为信息的一种形式可以随之繁殖、感染、破坏，而当病毒取得控制权之后，他们会主动寻找感染目标，使自身广为流传。

四 计算机病毒的长期性病毒往往会利用计算机操作系统的弱点进行传播，提高系统的安全性是防病毒的一个重要方面，但完美的系统是不存在的，过于强调提高系统的安全性将使系统多数时间用于病毒检查，系统失去了可用性、实用性和易用性，另一方面，信息保密的要求让人们在泄密和抓住病毒之间无法选择。病毒与反病毒将作为一种技术对抗长期存在，两种技术都将随计算机技术的发展而得到长期的发展。

五 计算机病毒的产生病毒不是来源于突发或偶然的原因．一次突发的停电和偶然的错误，会在计算机的磁盘和内存中产生一些乱码和随机指令，但这些代码是无序和混乱的，病毒则是一种比较完美的，精巧严谨的代码，按照严格的秩序组织起来，与所在的系统网络环境相适应和配合起来，病毒不会通过偶然形成，并且需要有一定的长度，这个基本的长度从概率上来讲是不可能通过随机代码产生的。病毒是人为的特制程序现在流行的病毒是由人为故意编写的，多数病毒可以找到作者信息和产地信息，通过大量的资料分析统计来看，病毒作者主要情况和目的是：一些天才的程序员为了表现自己和证明自己的能力，处于对上司的不满，为了好奇，为了报复，为了祝贺和求爱，为了得到控制口令，为了软件拿不到报酬预留的陷阱等．当然也有因政治，军事，宗教，民族．专利等方面的需求而专门编写的，其中也包括一些病毒研究机构和黑客的测试病毒．

六 计算机病毒分类根据多年对计算机病毒的研究，按照科学的、系统的、严密的方法，计算机病毒可分类如下：按照计算机病毒属性的方法进行分类，计算机病毒可以根据下面的属性进行分类：

按照计算机病毒存在的媒体进行分类根据病毒存在的媒体，病毒可以划分为网络病毒，文件病毒，引导型病毒。网络病毒通过计算机网络传播感染网络中的可执行文件，文件病毒感染计算机中的文件（如：COM，EXE，DOC等），引导型病毒感染启动扇区（Boot）和硬盘的系统引导扇区（MBR），还有这三种情况的混合型，例如：多型病毒（文件和引导型）感染文件和引导扇区两种目标，这样的病毒通常都具有复杂的算法，它们使用非常规的办法侵入系统，同时使用了加密和变形算法。

分类

按照计算机病毒传染的方法进行分类根据病毒传染的方法可分为驻留型病毒和非驻留型病毒，驻留型病毒感染计算机后，把自身的内存驻留部分放在内存（RAM）中，这一部分程序挂接系统调用并合并到操作系统中去,他处于激活状态,一直到关机或重新启动.非驻留型病毒在得到机会激活时并不感染计算机内存,一些病毒在内存中留有小部分,但是并不通过这一部分进行传染,这类病毒也被划分为非驻留型病毒。

按照计算机病毒破坏的能力进行分类根据病毒破坏的能力可划分为以下几种：无害型除了传染时减少磁盘的可用空间外，对系统没有其它影响。无危险型这类病毒仅仅是减少内存、显示图像、发出声音及同类音响。危险型这类病毒在计算机系统操作中造成严重的错误。非常危险型这类病毒删除程序、破坏数据、清除系统内存区和操作系统中重要的信息。这些病毒对系统造成的危害，并不是本身的算法中存在危险的调用，而是当它们传染时会引起无法预料的和灾难性的破坏。由病毒引起其它的程序产生的错误也会破坏文件和扇区，这些病毒也按照他们引起的破坏能力划分。一些现在的无害型病毒也可能会对新版的DOS、Windows和其它操作系统造成破坏。例如：在早期的病毒中，有一个“Denzuk”病毒在360K磁盘上很好的工作，不会造成任何破坏，但是在后来的高密度软盘上却能引起大量的数据丢失。

按照计算机病毒特有的算法进行分类根据病毒特有的算法，病毒可以划分为：伴随型病毒这一类病毒并不改变文件本身，它们根据算法产生EXE文件的伴随体，具有同样的名字和不同的扩展名（COM），例如：XCOPY.EXE的伴随体是。病毒把自身写入COM文件并不改变EXE文件，当DOS加载文件时，伴随体优先被执行到，再由伴随体加载执行原来的EXE文件。“蠕虫”型病毒通过计算机网络传播，不改变文件和资料信息，利用网络从一台机器的内存传播到其它机器的内存，计算网络地址，将自身的病毒通过网络发送。有时它们在系统存在，一般除了内存不占用其它资源。寄生型病毒除了伴随和“蠕虫”型，其它病毒均可称为寄生型病毒，它们依附在系统的引导扇区或文件中，通过系统的功能进行传播，按其算法不同可分为：练习型病毒病毒自身包含错误，不能进行很好的传播，例如一些病毒在调试阶段。诡秘型病毒它们一般不直接修改DOS中断和扇区数据，而是通过设备技术和文件缓冲区等DOS内部修改，不易看到资源，使用比较高级的技术。利用DOS空闲的数据区进行工作。变型病毒（又称幽灵病毒）这一类病毒使用一个复杂的算法，使自己每传播一份都具有不同的内容和长度。它们一般的作法是一段混有无关指令的解码算法和被变化过的病毒体组成。

病毒类型：木马

描 述：Trojan/PSW.GamePass“网游大盗”是一个盗取网络游戏帐号的木马程序，会在被感染计算机系统的后台秘密监视用户运行的所有应用程序窗口标题，然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏帐号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息资料，并在后台将盗取的所有玩家信息资料发送到骇客指定的远程服务器站点上。致使网络游戏玩家的游戏帐号、装备物品、金钱等丢失，会给游戏玩家带去不同程度的损失。 “网游大盗”会通过在被感染计算机系统注册表中添加启动项的方式，来实现木马开机自启动。

（3） “代理木马”及其变种

病毒名称：Trojan/Agent

病毒类型：木马

描 述：Trojan/Agent“代理木马”是木马家族的最新成员之一，采用高级语言编写，并经过加壳保护处理。“代理木马”运行后，会自我复制到被感染计算机系统中的指定目录下，修改注册表，实现开机自启。在被感染计算机的后台秘密窃取用户所使用系统的配置信息，然后从骇客指定的远程服务器站点下载其它恶意程序并安装调用运行。其中，所下载的恶意程序可能为网络游戏盗号木马、远程控制后门和恶意广告程序等等，会给用户带去不同程度的损失。

（4） “U盘寄生虫”及其变种

病毒名称：Checker/Autorun

病毒类型：蠕虫

描 述：Checker/Autorun“U盘寄生虫”是一个利用U盘等移动存储设备进行自我传播的蠕虫病毒。“U盘寄生虫” 运行后，会自我复制到被感染计算机系统的指定目录下，并重新命名保存。“U盘寄生虫”会在被感染计算机系统中的所有磁盘根目录下创建“autorun.inf”文件和蠕虫病毒主程序体，来实现用户双击盘符而启动运行“U盘寄生虫”蠕虫病毒主程序体的目的。“U盘寄生虫”还具有利用U盘、移动硬盘等移动存储设备进行自我传播的功能。“U盘寄生虫”运行时，可能会在被感染计算机系统中定时弹出恶意广告网页，或是下载其它恶意程序到被感染计算机系统中并调用安装运行，会被用户带去不同程度的损失。“U盘寄生虫” 会通过在被感染计算机系统注册表中添加启动项的方式，来实现蠕虫开机自启动。

（5） “灰鸽子”及其变种

病毒名称：Backdoor/Huigezi

病毒类型：后门

描 述：Backdoor/Huigezi “灰鸽子”是后门家族的最新成员之一，采用Delphi语言编写，并经过加壳保护处理。“灰鸽子”运行后，会自我复制到被感染计算机系统的指定目录下，并重新命名保存（文件属性设置为：只读、隐藏、存档）。“灰鸽子”是一个反向连接远程控制后门程序，运行后会与骇客指定远程服务器地址进行TCP/IP网络通讯。中毒后的计算机会变成网络僵尸，骇客可以远程任意控制被感染的计算机，还可以窃取用户计算机里所有的机密信息资料等，会给用户带去不同程度的损失。“灰鸽子”会把自身注册为系统服务，以服务的方式来实现开机自启动运行。“灰鸽子”主安装程序执行完毕后，会自我删除。

（6） “QQ大盗”及其变种

病毒名称：Trojan/PSW.QQPass

病毒类型：木马

描 述：Trojan/PSW.QQPass“QQ大盗”是木马家族的最新成员之一，采用高级语言编写， 并经过加壳保护处理。“QQ大盗”运行时，会在被感染计算机的后台搜索用户系统中有关QQ注册表项和程序文件的信息，然后强行删除用户计算机中的QQ医生程序“QQDoctorMain.exe”、“QQDoctor.exe”和“TSVulChk.dat”文件，从而来保护自身不被查杀。“QQ大盗”运行时，会在后台盗取计算机用户的QQ帐号、QQ密码、会员信息、ip地址、ip所属区域等信息资料，并且会在被感染计算机后台将窃取到的这些信息资料发送到骇客指定的远程服务器站点上或邮箱里，会给被感染计算机用户带去不同程度的损失。“QQ大盗”通过在注册表启动项中添加键的方式，来实现开机木马自启动。

（7） “Flash蛀虫”及其变种

病毒名称：Exploit.CVE-2007-0071

病毒类型：脚本病毒

描 述：Exploit.CVE-2007-0071“Flash蛀虫”是脚本病毒家族的最新成员之一，采用Flash脚本语言和汇编语言编写而成，并且代码经过加密处理，利用“Adobe Flash Player”漏洞传播其它病毒。“Flash蛀虫”一般内嵌在正常网页中，如果用户计算机没有及时升级安装“Adobe Flash Player”提供的相应的漏洞补丁，那么当用户使用浏览器访问带有“Flash蛀虫”的恶意网页时，就会在当前用户计算机的后台连接骇客指定站点，下载其它恶意程序并在被感染计算机上自动运行。所下载的恶意程序一般多为木马下载器，然后这个木马下载器还会下载更多的恶意程序安装到被感染计算机的系统中，会给用户带去不同程度的损失。

（8） “初始页”及其变种

病毒名称：Trojan/StartPage

病毒类型：木马

描 述：以Trojan/StartPage.aza为例，Trojan/StartPage.aza“初始页”变种aza是“初始页”木马家族中的最新成员之一，采用“Microsoft Visual C++6.0”编写，并且经过加壳保护处理。“初始页”变种aza运行后，会在被感染计算机系统的“%SystemRoot%\\system32\\”和“%SystemRoot%\\system32\\drivers\\”目录下分别释放恶意DLL功能组件文件“*.dll”（文件名随机生成，文件大小为：45,056字节）、恶意驱动文件“*.sys”（文件名随机生成，文件大小为：28,608字节）。在被感染计算机系统的后台定时访问指定的恶意广告站点

（9） “机器狗”及其变种

病毒名称：Trojan/DogArp

病毒类型：木马

描 述：以Trojan/DogArp. h为例，Trojan/DogArp.h“机器狗”变种h是“机器狗”木马家族的最新成员之一，采用高级语言编写，并经过加壳保护处理。“机器狗”变种h运行后，在指定目录下释放恶意驱动程序并加载运行。通过恶意驱动程序直接挂接磁盘IO端口进行读写真实磁盘物理地址中的数据和进行监控关机行为等操作，从而达到穿透还原软件的目的。覆盖“explorer.exe”、“userinit.exe”或“regedit.exe”等系统文件，实现“机器狗”变种h开机自启动。恶意驱动程序还能还原系统“SSDT”，致使某些安全软件的防御和监控功能失效。恶意破坏注册表，致使注册表编辑器无法运行。遍历当前计算机系统中的进程列表，一旦发现与安全相关的进程，强行将其关闭。修改注册表，利用进程映像劫持功能禁止近百种安全软件及调试工具运行。在被感染计算机系统的后台连接骇客指定站点获取恶意程序列表，下载列表中的所有恶意程序并在被感染计算机上自动调用运行。其中，所下载的恶意程序可能是网游木马、广告程序（流氓软件）、后门等，给被感染计算机用户带去不同程度的损失。

（10） “RPCSS毒手”及其变种

病毒名称：Win32/Infectrpcss

病毒类型：木马

描 述：以Win32/Infectrpcss.a为例，Win32/Infectrpcss.a“RPCSS毒手”变种a是“RPCSS毒手”木马家族中的最新成员之一，采用高级语言编写，并且经过加壳保护处理。该病毒是由其它恶意程序释放出来的DLL功能组件文件，一般会被插入到“explorer.exe”、“csrss.exe”、“svchost.exe”等系统进程，以及几乎所有用户级权限的进程中加载运行，并在被感染计算机系统的后台执行恶意操作，隐藏自我，防止被用户发现、被安全软件查杀。“RPCSS毒手”变种a运行后，会自我复制到被感染计算机系统的“%SystemRoot%\\system32\\”目录下，重新命名为“csrss.dll”，释放病毒组件文件“sh01008.dll”（文件大小：21,504字节）到“%SystemRoot%\\system32\\”目录下。“RPCSS毒手”变种a是一个专门盗取“完美世界Online”、“诛仙Online”等网络游戏会员账号的木马程序，会在被感染计算机的后台秘密监视用户系统中所运行着的所有应用程序窗口标题，然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息，并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点上（地址加密存放），致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家带来不同程度的损失。同时，“RPCSS毒手”变种a还具有窃取玩家游戏账号密码保护的功能。因此，当游戏玩家发现自己的游戏账号被盗时，请千万不要在当前被感染的计算机上登陆该网络游戏的官方网站去找回游戏密码，否则会连同您的密码保护资料一同被骇客盗取，给您带来更大程度的损失。利用域名映像劫持功能，在被感染计算机的后台强行篡改系统中的Hosts文件，屏蔽某些网络游戏站点，阻止用户对这些网络游戏网站的访问，从而达到用户丢失账号后无法马上取回密码的目的。“RPCSS毒手”变种a利用进程守护功能来实现自我保护。该病毒会通过替换系统“rpcss.dll”文件来实现开机自启动。如果安全软件直接删除掉带毒文件“rpcss.dll”的话，会导致被感染计算机无法连接网络、系统复制(粘贴)功能失效、桌面程序“explorer.exe”启动缓慢等后果，严重影响用户对计算机系统的正常使用。

传统的计算机病毒分类是根据感染型态来区分,以下为各类型简介:

1,开机型病毒 (Boot Strap Sector Virus):

开机型病毒是藏匿在磁盘片或硬盘的第一个扇区.因为DOS的架构设计, 使得病毒可以在每次开机时, 在操作系统还没被加载之前就被加载到内存中, 这个特性使得病毒可以针对DOS的各类中断 (Interrupt) 得到完全的控制, 并且拥有更大的能力进行传染与破坏.

@实例

Michelangelo米开朗基罗病毒-潜伏一年,"硬"是要得

发病日: 3月6日

发现日:1991.3

产地:瑞典(也有一说为台湾)

病征:米开朗基罗是一只典型的开机型病毒,最擅长侵入计算机硬盘机的硬盘分割区(Partition Table)和开机区(Boot Sector),以及软盘的开机区(Boot Sector),而且它会常驻在计算机系统的内存中,虎视眈眈地伺机再感染你所使用的软盘磁盘.米开朗基罗病毒感染的途径,事实上只有一种,那就是使用不当的磁盘开机,如果该磁盘正好感染了米开朗基罗,于是,不管是不是成功的开机,可怕的米开朗基罗病毒都已借机进入了你的计算机系统中的硬盘,平常看起来计算机都颇正常的,一到3月6日使用者一开机若出现黑画面,那表示硬盘资料已经跟你说 Bye Bye 了.

历史意义:文件宏病毒发迹前,连续数年蝉联破坏力最强的毒王宝座

2,文件型病毒 (File Infector Virus):

文件型病毒通常寄生在可执行文件(如 *.COM, *.EXE等)中.当这些文件被执行时, 病毒的程序就跟着被执行.文件型的病毒依传染方式的不同, 又分成非常驻型以及常驻型两种 :

(1) 非常驻型病毒(Non-memory Resident Virus) :

非常驻型病毒将自己寄生在 *.COM, *.EXE或是 *.SYS的文件中.当这些中毒的程序被执行时,就会尝试去传染给另一个或多个文件.

@实例:

Datacrime II 资料杀手-低阶格式化硬盘,高度破坏资料

发病日:10月12日起至12月31日

发现日:1989.3

产地:荷兰

病征:每年10月12日到12月31号之间,除了星期一之外DATA CRIME II 会在屏幕上显示:*DATA CRIME II VIRUS*

然后低阶格式化硬盘第0号磁柱 (CYLINDER0从HEAD 0~HEAD 8)FORMAT后,会听到BEEP一声当机,从此一蹶不振.

历史意义:虽然声称为杀手,但它已经快绝迹了

(2) 常驻型病毒(Memory Resident Virus) :

常驻型病毒躲在内存中,其行为就好象是寄生在各类的低阶功能一般(如 Interrupts),由于这个原因, 常驻型病毒往往对磁盘造成更大的伤害.一旦常驻型病毒进入了内存中, 只要执行文件被执行, 它就对其进行感染的动作, 其效果非常显着.将它赶出内存的唯一方式就是冷开机(完全关掉电源之后再开机).

@实例:

Friday 13th黑色(13号)星期五-"亮"出底细

发病日: 每逢13号星期五

发现日:1987

产地:南非

病征:十三号星期五来临时,黑色星期五病毒会将任何一支你想执行的中毒文件删除.该病毒感染速度相当快,其发病的唯一征兆是A:磁盘驱动器的灯会一直亮着.十三号星期五病毒登记有案的变种病毒,如:Edge,Friday 13th-540C,Friday 13th-978,Friday13th-B,Friday 13th-C,Friday 13th-D,Friday 13th-NZ,QFresh,Virus-B等....其感染的本质几乎大同小异,其中Friday 13th-C病毒,当它进行感染文件时,屏幕上会显示一行客套语:"We hope we haven't inconvenienced you"

历史意义:为13号星期五的传说添加更多黑色成分

3,复合型病毒 (Multi-Partite Virus):

复合型病毒兼具开机型病毒以及文件型病毒的特性.它们可以传染 *.COM, *.EXE 文件,也可以传染磁盘的开机系统区(Boot Sector).由于这个特性, 使得这种病毒具有相当程度的传染力.一旦发病,其破坏的程度将会非常可观!

@实例:

Flip 翻转-下午4:00 屏幕倒立表演准时开始

发病日:每月2日

发现日:1990.7

产地:瑞士(也有一说为西德)

病征:每个月 2 号,如果使用被寄生的磁盘或硬盘开机时,则在16 时至16时59分之间,屏幕会呈水平翻动.

历史意义:第一只使具有特异功能的病毒

4,隐型飞机式病毒 (Stealth Virus):

隐型飞机式病毒又称作中断截取者(Interrupt Interceptors).顾名思义, 它通过控制DOS的中断向量,把所有受其感染的文件"假还原",再把"看似跟原来一模一样"的文件丢回给 DOS.

@实例

FRODO 福禄多 -"毒"钟文件配置表

别 名:4096

发现日:1990.1

发病日:9月22日-12月31日

产地:以色列

病征:4096病毒最喜欢感染.COM, .EXE和.OVL文件,顾名思义被感染的文件长度都会增加4,096 bytes.它会感染资料文件和执行文件(包括:COM,.EXE)和.OVL等覆盖文件.当执行被感染的文件时,会发现速度慢很多,因为FAT (文件配置表) 已经被破坏了.此外,9月22日-12月31日会导致系统当机.

历史意义:即使你用DIR 指令检查感染文件,其长度,日期都没有改变,果真是伪装秀的始祖.

5,千面人病毒 (Polymorphic/Mutation Virus):

千面人病毒可怕的地方, 在于每当它们繁殖一次, 就会以不同的病毒码传染到别的地方去.每一个中毒的文件中, 所含的病毒码都不一样, 对于扫描固定病毒码的防毒软件来说,无疑是一个严重的考验!有些高级的千面人病毒,几乎无法找到相同的病毒码.

@实例

PE_MARBURG -掀起全球"战争游戏"

发病日:不一定(中毒后的3个月)

发现日:1998.8

产地:英国

病征:Marburg 病毒在被感染三个月后才会发作,若感染 Marburg 病毒的应用软件执行的时间刚好和最初感染的时间一样 (例如,中毒时间是9月15日上午11点,若该应用程序在12月15日上午11点再次被执行),则 Marburg 病毒就会在屏幕上显示一堆的 "X".如附图.

历史意义:专挑盛行的计算机光盘游戏下毒,1998年最受欢迎的 MGM/EA「战争游戏」,因其中有一个文件意外地感染 Marburg 病毒,而在8 月迅速扩散.

感染 PE_ Marburg 病毒后的 3 个月,即会在桌面上出现一堆任意排序的 "X" 符号(如下图)

6,宏病毒 (Macro Virus):

宏病毒主要是利用软件本身所提供的宏能力来设计病毒, 所以凡是具有写宏能力的软件都有宏病毒存在的可能, 如Word, Excel ,AmiPro 等等.

@实例:

Taiwan NO.1文件宏病毒- 数学能力大考验

发病日:每月13日

发现日:1996.2

产地:台湾

病征:出现连计算机都难以计算的数学乘法题目,并要求输入正确答案,一旦答错,则立即自动开启20个文件,并继续出下一道题目.一直到耗尽系统资源为止.

历史意义:1.台湾本土地一只文件宏病毒.2. 1996年年度杀手,1997年三月踢下米开朗基罗,登上毒王宝座.3. 被列入ICSA(国际计算机安全协会)「In The Wild」病毒数据库.(凡难以驯服,恶性重大者皆会列入此黑名单)

每逢13日,被TAIWAN_No.1Marco感染的word文件将会显示画面 :

7,特洛伊木马病毒 VS.计算机蠕虫

特洛依木马( Trojan )和计算机蠕虫( Worm )之间,有某种程度上的依附关系,有愈来愈多的病毒同时结合这两种病毒型态的破坏力,达到双倍的破坏能力.

特洛伊木马程序的伪装术

特洛依木马( Trojan )病毒是近年崛起的新品种,为帮助各位读者了解这类病毒的真面目,我们先来看一段「木马屠城记」的小故事:

话说风流的特洛伊王子,在遇上美丽的有夫之妇希腊皇后后,竟无法自拔的将其诱拐回特洛伊国,此举竟引发了为期十年的特洛依大战.然而,这场历经九年的大战,为何在最后一年会竟终结在一只木马上呢 原来,眼见特洛伊城久攻不下,于是希腊人便特制了一匹巨大的木马,打算来个"木马屠城计"!希腊人在木马中精心安排了一批视死如归的勇士,借故战败撤退,以便诱敌上勾.果然,被敌军撤退喜讯给弄得神智不清的特洛伊人哪知是计,当晚便把木马拉进城中,打算来个欢天喜地的庆功宴.哪知道,就在大家兴高采烈喝酒欢庆之际,木马中的精锐诸将,早已暗中打开城门,一举来个里应外合的大抢攻.顿时之间,一个美丽的城市就变成了一堆瓦砾,焦土,而从此消失在历史中.

后来我们对于那些会将自己伪装成某种应用程序来吸引使用者下载或执行,并进而破坏使用者计算机资料,造成使用者不便或窃取重要信息的程序,我们便称之为「特洛伊木马型」或「特洛伊型」病毒.

特洛伊木马程序不像传统的计算机病毒一样会感染其它文件,特洛伊木马程序通常都会以一些特殊的方式进入使用者的计算机系统中,然后伺机执行其恶意行为,例如格式化碟,删除文件,窃取密码等.

计算机蠕虫在网络中匍匐前进

计算机蠕虫大家过去可能比较陌生,不过近年来应该常常听到,顾名思义计算机蠕虫指的是某些恶性程序代码会像蠕虫般在计算机网络中爬行,从一台计算机爬到另外一台计算机,方法有很多种例如透过局域网络或是 E-mail.最著名的计算机蠕虫案例就是" ILOVEYOU-爱情虫 ".例如:" MELISSA-梅莉莎" 便是结合"计算机病毒"及"计算机蠕虫"的两项特性.该恶性程序不但会感染 Word 的 Normal.dot(此为计算机病毒特性),而且会通过 Outlook E-mail 大量散播(此为计算机蠕虫特性).

事实上,在真实世界中单一型态的恶性程序其实愈来愈少了,许多恶性程序不但具有传统病毒的特性,更结合了"特洛伊木马程序","计算机蠕虫"型态来造成更大的影响力.一个耳熟能详的案例是"探险虫"(ExploreZip).探险虫会覆盖掉在局域网络上远程计算机中的重要文件(此为特洛伊木马程序特性),并且会透过局域网络将自己安装到远程计算机上(此为计算机蠕虫特性).

@实例:

" Explorezip探险虫" 具有「开机后再生」,「即刻连锁破坏」能力

发病日: 不一定

发现日:1999.6.14

产地:以色列

病征:通过电子邮件系统传播的特洛依病毒,与梅莉莎不同之处是这只病毒除了会传播之外,还具有破坏性.计算机受到感染后,其它使用者寄电子邮件给已受到感染的用户.该受到感染的计算机会利用Microsoft的MAPI功能在使用者不知情的状况下,自动将这个病毒"zipped_files.exe"以电子邮件的附件的方式寄给送信给这部计算机的用户.对方收到的信件内容如下:Hi !I received your email and I shall send you a reply ASAP.Till then, take a look at the attached zipped docs.问候语也有可能是Bye, Sincerely, All或是Salutation等.当使用者在不知情的情况下执行TROJ_EXPLOREZIP时,这只病毒会出现如下的假信息"Cannot open file: it does not appear to be a valid archive. If this file is part of a ZIP format backup set, insert the last disk of the backup set and try again. Please press F1 for help."一旦使用者执行了这个病毒,它会存取使用者的C:到Z:磁盘驱动器,寻找以下扩展名的文件,并将所找到的文件以0来填空.造成使用者资料的损失..c (c source code files).cpp (c++ source code files).h (program header files).asm (assembly source code).doc (Microsoft Word).xls (Microsoft Excel).ppt (Microsoft PowerPoint)

历史意义:

· 开机后再生,即刻连锁破坏

--传统病毒:立刻关机,重新开机,停止它正进行的破坏行动

--探险虫:不似传统病毒,一旦重新开机,即寻找网络上的下个受害者

8,黑客型病毒-走后门,发黑色信件,瘫痪网络

自从 2001七月 CodeRed红色警戒利用 IIS 漏洞,揭开黑客与病毒并肩作战的攻击模式以来,CodeRed 在病毒史上的地位,就如同第一只病毒 Brain 一样,具有难以抹灭的历史意义.

如同网络安全专家预料的,CodeRed 将会成为计算机病毒,计算机蠕虫和黑客"三管齐下"的开山鼻祖,日后的病毒将以其为样本,变本加厉地在网络上展开新型态的攻击行为.果不其然,在造成全球 26.2 亿美金的损失后, 不到 2 个月同样攻击 IIS 漏洞的Nimda 病毒,其破坏指数却远高于 CodeRed. Nimda 反传统的攻击模式,不仅考验着 MIS 人员的应变能力,更使得传统的防毒软件面临更高的挑战.

继红色代码之后,出现一只全新攻击模式的新病毒,透过相当罕见的多重感染管道在网络上大量散播,包含: 电子邮件,网络资源共享,微软IIS服务器的安全漏洞等等.由于 Nimda 的感染管道相当多,病毒入口多,相对的清除工作也相当费事.尤其是下载微软的 Patch,无法自动执行,必须每一台计算机逐一执行,容易失去抢救的时效.

每一台中了Nimda 的计算机,都会自动扫描网络上符合身份的受害目标,因此常造成网络带宽被占据,形成无限循环的 DoS阻断式攻击.另外,若该台计算机先前曾遭受 CodeRed 植入后门程序,那么两相挂勾的结果,将导致黑客为所欲为地进入受害者计算机,进而以此为中继站对其它计算机发动攻势.

类似Nimda威胁网络安全的新型态病毒,将会是 MIS 人员最大的挑战."

实例:Nimda

发现日:2001.9

发病日:随时随地

产地:不详

病征:通过eMail,网络芳邻,程序安全漏洞,以每 15 秒一次的攻击频率,袭击数以万计的计算机,在 24 小时内窜升为全球感染率第一的病毒。