壹,引導扇區病毒
二,文件型病毒
三,混合型病毒
壹,引導扇區病毒
引導扇區病毒是借由硬盤的開機(BOOT)來感染的,也就是說病毒將磁盤上的BOOT Sector改變.在開機時先將病毒自己的程序由磁盤讀進內存中,改變了磁盤的中斷向量後,再交由正常的BOOT程序執行正確的BOOT的動作,也就是說在DOS主程序尚未載入時,病毒就已經讀進內存中了,繼而壹執行到Dir,Type等,DOS指令就會感染到磁盤裏.
引導扇區病毒很難讓人發現到它的存在,它不算是常駐,因為在系統尚未Loading進來之前它就已經將系統中的Memory Size自行縮小.縮小的部分就是存放病毒程序的地方.所以很難發現它的存在.但是若註意的話,會發現似乎壹個很小的程序也會讀得很久.因此若發現如此情形,不妨檢查壹下磁盤上的BOOT Sector.雖然引導型病毒很毒,但是它的傳染方式較文件型病毒不易暗傳染.
二,文件型病毒
1,覆蓋型病毒
2,前後附加型病毒
3,伴隨型文件病毒
文件型病毒的宿主不是引導區而是壹些可執行程序.病毒把自己附加在可執行文件中,並等待程序運行.病毒會駐留在內存中,企圖感染其它文件.同引導扇區病毒不同,文件型病毒把自己附著或追加在EXE和COM這樣的可執行文件上.根據附著類型不同可分為三種文件病毒:覆蓋型,前後附加型和伴隨型文件病毒.
1,覆蓋型病毒
簡單地把自己覆蓋到原始文件代碼上,顯然這會完全摧毀該文件,所以這種病毒比較容易被發現.當用戶運行該文件時,病毒代碼就會得到運行,而原始文件則不能正常運行.現在有些新型病毒可以覆蓋寫那些不影響宿主程序運行的那部分代碼,人們也就不容易發現這種病毒.覆蓋病毒的優勢就是不改變文件長度,使原始文件看起來正常.殺毒程序還是可以檢測到這種病毒代碼的存在.
2,前後附加型病毒
前附加型病毒把自己附加在文件的開始部分,後附加型正好相反,這種病毒會增加文件的長度.也就容易被檢測和發現,並被清除.
3,伴隨型文件病毒
為EXE文件創建壹個相應的含有病毒代碼的COM文件,當有人運行EXE文件時,控制權就會轉到COM文件上,病毒代碼就得以運行.它執行完之後,控制權又會轉回到EXE文件,這樣用戶不會發現任何問題.
三,混合型病毒
混合型病毒結合引導型和文件型兩種病毒,它們互為感染,是病毒之王,極為厲害,不容易消除.它壹般采取以下方法:在文件中的病毒執行時將病毒寫入引導區,這是很容易理解的.染毒硬盤啟動時,用引導型病毒的方法駐留內存.但此時DOS並未加載,無法修改INT21中斷,也就無法感染文件.可以用這樣的辦法,修改INT 8中斷,保存INT 21目前的地址,用INT 8服務程序監測INT 21的地址是否改變,若改變則說明DOS已加載,則可修改INT21中斷指向病毒傳染段.
第三節 常見計算機病毒
壹,CIH病毒
二,宏病毒
三,網絡病毒
壹,CIH病毒
1998年7月26日,壹個名叫CIH的計算機病毒首次露面美國,該病毒發作時直接往計算機主板BIOS芯片和硬盤寫亂碼,破壞力非常大,可造成主機無法啟動,硬盤數據全部被清洗.CIH病毒是壹種文件型病毒,是第壹例感染Windows 95/98環境下PE格式EXE文件的病毒.不同與DOS型病毒,CIH病毒是建立在Windows 95/98平臺.CIH有幾個版本,其中流行最廣的是CIHv1.2:4月26日發作,長度為1003個字節.
1,CIH病毒的運行機制
同傳統的DOS型病毒相比,無論是內存的駐留方式上還是傳染的方式上以及病毒攻擊的對象上,CIH病毒都與眾不同,新穎獨到.它繞過了微軟提供的應用程序界面,繞過了ActiveX,C++甚至C,使用匯編,利用VXD(虛擬設備驅動程序)接口編程,直接殺入Windows內核.
它沒有改變宿主文件的大小,而是采用了壹種新的文件感染機制即碎洞攻擊(Fragmented Cavity Attack),將病毒化整為零,拆分成若幹塊,插入宿主文件中去.
最引人註目的是它利用目前許多BIOS芯片開放了可重寫的特性,向計算機主板的BIOS端口寫入亂碼,開創了病毒直接進攻計算機主板芯片的先例.可以說CIH病毒提供了壹種全新的病毒程序方式和病毒發展方向.
該病毒程序由三部分組成:病毒的駐留,病毒的感染,病毒的發作.
(1)病毒的駐留
當運行帶有該病毒的.EXE時,由於該病毒修改了該文件程序的入口地址(Address of Entry Point),首先調入內存執行的是病毒的駐留程序,駐留程序長度為184個字節.
(2)病毒的感染
CIH病毒的傳染部分實際上是病毒在駐留內存過程中調用Windows內核底層函數掛接鉤子時指針指示的那段程序.其感染過程如下:
①文件的截獲
②EXE文件的判斷
③PE格式.EXE判別
(3)病毒的發作
①病毒發作條件判斷.在CIHv1.4中,病毒的發作日期是4月26日,病毒從COMS的70,71端口取出系統當前日期,對其進行判斷.
②病毒的破壞:首先,通過主板的BIOS端口地址0CFEH和0CFDH各BIOS引導塊內各寫入壹個字節的亂碼,造成主機無法啟動.其次,覆蓋硬盤.
2,CIH病毒的預防,檢測與清除
CIH並不像人們傳說的那樣可怕.很多國內外的專家都提出了有效的措施來對付它.
(1)病毒的預防
①采取防止壹般病毒的措施;
②修改主機的日期,跳過26日;
③將主板的Flash Rom跳線設置為Disable,阻止病毒改寫BIOS.
(2)病毒的檢測與清除
由於這壹病毒主要是通過Internet和電子郵件傳播的,其實時性和動態性是防治這壹病毒的難點所在.要全面防治CIH病毒需要能夠檢測壓縮文件病毒,具備病毒實時治愈能力的反病毒產品.目前國內市場已有這種反病毒產品,如KILL98.KILL98防毒墻能夠實時監控所有出入系統的文件,對其加以病毒偵測,分析,壹旦發現病毒立即加以清除,但並不會影響到文件的正常操作.
二,宏病毒
宏病毒是壹種廣泛流傳的病毒,它在壹定的條件下爆發,如每月的13日,並且可以感染Word中的模板文件.臺灣I號和II號就是兩種宏病毒,它在打開被病毒感染的文檔時給出壹道數學題,如果算錯了,它就打開10個文檔窗口.然後,它又給出壹道題,如果再算錯了,它又會打開10個文檔窗口,就這樣下去,直到耗盡機器上的系統資源.
1,宏病毒是怎樣傳播的
壹般來說,壹個宏病毒傳播發生在被感染的宏指令覆蓋,改寫及增加全局宏指令表中的宏,由此進壹步感染隨後打開和存儲的所有doc文檔.當word打開壹個.doc文件時,首先檢查裏面有沒有模板/宏代碼.如果存在就被認為這不是普通的.doc文件,而是壹個模板文件,並執行裏面的Auto類的宏(如果存在).
壹般染毒後的.doc被打開後,通過Auto宏或菜單,快捷方式和工具欄裏的特洛伊木馬程序來激活,隨後感染諸如Normal.dot或Powerup.dot等全局模板文件得到系統"永久"控制權.奪權後,當系統有文檔存儲動作時,病毒就把自身復制入此文檔並儲存成壹個後綴.doc的模板文件;另外,當壹定條件滿足時,病毒就會幹些小的或大的破壞活動.
2,宏病毒本身的局限性
由於只有模板文件才能儲存宏指令,所以宏病毒只能以模板文件形式傳播.而word在存儲模板文件時(Save As/另存為時),不能選擇保存類型,只能存為文檔模板(.dot).由此,很容易判斷出壹個文件是否為壹個模板文件.如果是壹個以.doc為後綴的模板文件,那麽可以肯定地說,這是壹個被感染的文件,或者是壹個"宏病毒遺體".
三,網絡病毒
1,網絡病毒的特點
因特網的飛速發展給反病毒工作帶來了新的挑戰.因特網上有眾多的軟件供下載,有大量的數據交換,這給病毒的大範圍傳播提供了可能.
因特網衍生出壹些新壹代病毒,即Java及ActiveX病毒.它不需要寄主程序,因為因特網就是帶著它們到處肆虐的寄主.網絡病毒壹旦突破網絡安全系統,傳播到網絡服務器,進而在整個網絡上感染,再生,就會使網絡系統資源遭到破壞.
病毒入侵網絡的主要途徑是通過工作站傳播到服務器硬盤,再由服務器的***享目錄傳播到其他工作站.但病毒傳染方式比較復雜,傳播速度比較快.在網絡中病毒則可以通過網絡通信機制,借助高速電纜進行迅速擴散.由於病毒在網絡中傳染速度非常快,故其傳染範圍很大,不但能迅速傳染局域網內所有電纜,還能通過遠程工作站將病毒在瞬間內傳播到千裏之外,且清除難度大.
僅對工作站進行殺毒處理並不能徹底解決問題.網絡上的病毒將直接影響網絡的工作,輕則降低速度,影響工作效率,重則造成網絡系統的癱瘓,破壞服務器系統資源,使多年工作毀於壹旦.網絡壹旦感染了病毒,即使病毒已被消除,其潛在危險仍然巨大.病毒在網上被消除後,87%的網絡在30天內會再次被感染.
2,網絡病毒的傳播與表現
大多數公司使用局域網文件服務器,用戶直接從文件服務器復制已感染的文件.
文件和目錄級保護只在文件服務器中出現,而不在工作站中出現,所以可執行文件病毒無法破壞基於網絡的文件保護.然而,壹般文件服務器中的許多文件並沒有得到保護,而且,非常容易成為感染的有效目標.
文件病毒可以通過因特網毫無困難的發送,而可執行文件病毒不能通過因特網在遠程站點感染文件.此時因特網是文件病毒的載體.
如果網絡服務器計算機是從壹塊感染的軟盤上引導的,那麽網絡服務器就可能被引導病毒感染,但引導病毒無法通過因特網傳播,因為客戶機不能對服務器進行扇區級的操作.
3,專攻網絡的GPI病毒
GPI意思是Get Password I,該病毒是由歐美地區興起的專攻網絡的壹類病毒,是"耶路撒冷"病毒的變種,並且被特別改寫成專門突破Novell網絡系統安全結構的病毒.它的威力在於"自上而下"的傳播.
4,電子郵件病毒
現今電子郵件已被廣泛使用,E-mail已成為病毒傳播的主要途徑之壹.由於可同時向壹群用戶或整個計算機系統發送電子郵件,壹旦壹個信息點被感染,整個系統受染也只是幾個小時內的事情.電子郵件系統的壹個特點是不同的郵件系統使用不同的格式存儲文件和文檔,因為它們往往在遠程服務器上.