法律定義
此條目僅具壹部分地域的觀點或資料,尚需補充世界性的內容。
歡迎改善本文,或討論本文任何問題。
病毒的定義壹直存在著爭議[1],不少人包括世界各國的反病毒廠商都將基於網絡的木馬、後門程序以及惡意軟件也歸在電腦病毒之列查殺。
以下內容是中國大陸的電腦病毒的法律定義,司法部門憑這個就可以逮捕病毒制作和散播者。
1994年2月18日《中華人民***和國計算機信息系統安全保護條例》第二十八條[2]
計算機病毒,是指編制或者在計算機程序中插入的“破壞計算機功能或者毀壞數據,影響計算機使用,並能自我復制的壹組計算機指令或者程序代碼”。
截止2007年12月,中國仍然沿用此條例,沒有新的修訂。
中國互聯網協會關於惡意軟件的定義[3]
惡意軟件是指在未明確提示用戶或未經用戶許可的情況下,在用戶計算機或其他終端上安裝運行,侵犯用戶合法權益的軟件,但已被我國現有法律法規規定的計算機病毒除外。
[編輯] 病毒作者
參見:被捕黑客列表
有不少病毒制作者黑客們被逮捕並予以起訴,判決的輕重各國都有所不同,如羅馬尼亞西歐班尼花費15分鐘寫的MSBlast.F變種大約只感染了1000臺計算機,按他們國家的法律他就有可能最高會被判15年有期徒刑,而1998年臺灣病毒作者陳盈豪寫的CIH病毒被壹些人認為“迄今為止危害最大的病毒”[4],使全球6000萬臺計算機癱瘓,但他因為在被逮捕後無人起訴而免於法律制裁,在2001年有人以CIH受害者的身份起訴陳盈豪,才使他再次被逮捕,按照臺灣當時的法律,他會被判損毀罪面臨最高只3年以下的有期徒刑。
中國的木馬程序“證券大盜”作者張勇因使用其木馬程序截獲股民賬戶密碼,盜賣股票價值1141.9萬元,非法獲利38.6萬元人民幣,被逮捕後以盜竊罪與金融犯罪起訴,最終的判決結果是無期徒刑。
壹公司的分析報告稱,目前全世界現有200萬有能力寫較成熟電腦病毒的程序員。[5]
[編輯] 歷史
主條目:知名病毒及蠕蟲的歷史年表
“病毒”壹詞最早用來表達此意是在弗雷德·科恩(Fred Cohen)1984年的論文《電腦病毒實驗》。而病毒壹詞廣為人知是得力於科幻小說。壹部是1970年代中期大衛·傑洛德(David Gerrold)的《When H.A.R.L.I.E. was One》,描述了壹個叫“病毒”的程序和與之對戰的叫“抗體”的程序;另壹部是約翰·布魯勒爾(John Brunner)1975年的小說《震蕩波騎士(ShakewaveRider)》,描述了壹個叫做“磁帶蠕蟲”、在網絡上刪除數據的程序。[6]
1960年代初,美國麻省理工學院的壹些青年研究人員,在做完工作後,利用業務時間玩壹種他們自己創造的計算機遊戲。做法是某個人編制壹段小程序,然後輸入到計算機中運行,並銷毀對方的遊戲程序。而這也可能就是計算機病毒的雛形。
[編輯] 運行環境以及傳播途徑
由於世界操作系統桌面環境90%的市場都由是使用微軟Windows系列產品[7] ,所以病毒作者紛紛把病毒攻擊對象選為Windows。制作病毒者首先應該確定要攻擊的操作系統版本有何漏洞,這才是他所寫的病毒能夠利用的關鍵,而Windows沒有行之有效的固有安全功能,且用戶常以管理員權限運行未經安全檢查的軟件,這也為Windows下病毒的泛濫提供了溫床。對於Linux、Mac OS等操作系統,使用的人群比較少,病毒壹般不容易擴散。大多病毒發布作者的目的有多種,包括惡作劇、想搞破壞、報復及想出名與對研究病毒有特殊嗜好。
病毒主要通過網絡瀏覽以及下載,盜版CD或DVD以及可移動磁盤等途徑迅速傳播。[8]
[編輯] 命名
以下表格所示是國際上對病毒命名慣例的前綴釋義,DOS下的病毒壹般無前綴:
前綴 含義
WM Word6.0、Word95宏病毒
WM97 Word97宏病毒
XM Excel5.0、Excel95宏病毒
X97M Excel5.0和Excel97版本下發作
XF Excel程序病毒
AM Access95宏病毒
AM97M Access97宏病毒
W95 Windows95、98病毒
Win Windows3.x病毒
W32 32位病毒,感染所有32位Windows系統
WINT 32位Windows病毒,只感染Windows NT
Trojan/Troj 特洛伊木馬
VBS VBScript程序語言編寫的病毒
VSM 感染 Visio VBA(Visual Basic for Applications)宏或script的宏或script病毒
JS JScript編程語言編寫的病毒
PE 32位尋址的Windows病毒
OSX Mac OSX的病毒
中間部分指的是病毒的英文名,而後綴壹般是變種代號。
[編輯] 特征
在計算機科學裏,電腦病毒是類似生物病毒壹樣的程序,它會復制自己並傳播到其他宿主,並對宿主造成損害。宿主也是程序,通常是操作系統,從而進壹步傳染到其他程序、其他的電腦。電腦病毒在傳播期間壹般會隱蔽自己,由特定的條件觸發,並開始產生破壞。
電腦病毒具有的不良特征有傳播性、隱蔽性、感染性、潛伏性、可激發性[9]、表現性或破壞性,通常表現兩種以上所述的特征就可以認定該程序是病毒。
計算機病毒的生命周期為開發期—傳染期—潛伏期—發作期—發現期—消化期—消亡期。[8][10]
[編輯] 主要特征詳解
[編輯] 傳播性
病毒壹般會自動利用25電子郵件端口傳播,利用對象為微軟操作系統捆綁的Outlook的某個漏洞。將病毒自動復制並群發給存儲的通訊錄名單成員。郵件標題較為吸引人點擊,大多利用社會工程學如“我愛妳”這樣家人朋友之間親密的話語,以降低人的警戒性。如果病毒制作者再應用腳本漏洞,將病毒直接嵌入郵件中,那麽用戶壹點郵件標題打開郵件就會中病毒。
[編輯] 隱蔽性
最大的病毒不過1MB,壹般的病毒僅在1KB左右,這樣除了傳播快速之外,隱蔽性也極強。部分病毒使用“無進程”技術或插入到某個系統必要的關鍵進程當中(工作管理員中的處理程序內,無法關閉的就是了),所以在任務管理器中找不到它的單獨運行進程。而病毒自身壹旦運行後,就會自己修改自己的文件名並隱藏在某個用戶不常去的系統文件夾中,這樣的文件夾通常有上千個系統文件,如果憑手工查找很難找到病毒。而病毒在運行前的偽裝技術也不得不值得我們關註,將病毒和壹個吸引人的文件捆綁合並成壹個文件,那麽運行正常吸引他的文件時,病毒也在我們的操作系統中悄悄的運行了。
[編輯] 感染性
某些病毒具有感染性,比如感染中毒用戶計算機上的可執行文件,如exe、bat、scr、com格式,通過這種方法達到自我復制,對自己生存保護的目的。通常也可以利用網絡***享的漏洞,復制並傳播給鄰近的計算機用戶群,使鄰裏通過路由器上網的計算機或網吧的計算機的多臺計算機的程序全部受到感染。
[編輯] 潛伏性
部分病毒有壹定的“潛伏期”,在特定的日子,如某個節日或者星期幾按時爆發。如1999年破壞BIOS的CIH病毒就在每年的4月26日爆發。如同生物病毒壹樣,這使電腦病毒可以在爆發之前,以最大幅度散播開去。
[編輯] 可激發性
根據病毒作者的“需求”,設置觸發病毒攻擊的“玄機”。如CIH病毒的制作者陳盈豪曾打算設計的病毒,就是“精心”為簡體中文Windows系統所設計的。病毒運行後會主動檢測中毒者操作系統的語言,如果發現操作系統語言為簡體中文,病毒就會自動對計算機發起攻擊,而語言不是簡體中文版本的Windows,那麽妳即使運行了病毒,病毒也不會對妳的計算機發起攻擊或者破壞。[11]
[編輯] 表現性
病毒運行後,如果按照作者的設計,會有壹定的表現特征,如CPU占用率100%,在用戶無任何操作下讀寫硬盤或其他磁盤數據,藍屏死機,鼠標右鍵無法使用等。但這樣明顯的表現特征,反倒幫助被感染病毒者發現自己已經感染病毒並對清除病毒很有幫助,隱蔽性就不存在了。
[編輯] 破壞性
某些威力強大的病毒,運行後直接格式化用戶的硬盤數據,更為厲害壹些可以破壞引導扇區以及BIOS,已經在硬件環境造成了相當大的破壞。
[編輯] 分類
病毒類型根據中國國家計算機病毒應急處理中心發表的報告統計,占近45%的病毒是木馬程序,蠕蟲占病毒總數的25%以上,占15%以上的是腳本病毒,其余的病毒類型分別是:文件型病毒、破壞性程序和宏病毒。
[編輯] 木馬/僵屍網絡
主條目:特洛伊木馬
壹般也叫遠程監控軟件,如果木馬能連通的話,那麽可以說已經得到了遠程計算機的全部操作權限,操作遠程計算機與操作自己計算機沒什麽大的區別,這類程序可以監視被控用戶的攝像頭與截取密碼。而Windows NT以後的版本自帶的“遠程桌面連接”,如果被不良用戶利用的話,那麽也與木馬沒什麽區別。
主條目:僵屍網絡
用戶壹旦中毒,就會成為“喪屍”或被稱為“肉雞”,成為黑客手中的“機器人”,通常黑客或腳本小孩(script kids)可以利用數以萬計的“喪屍”發送大量偽造包或者是垃圾數據包對預定目標進行拒絕服務攻擊,造成被攻擊目標癱瘓。
[編輯] 有害軟件
主條目:蠕蟲病毒
蠕蟲病毒漏洞利用類,也是我們最熟知的病毒,通常在全世界範圍內大規模爆發的就是它了。如針對舊版本未打補丁的Windows XP的沖擊波病毒和震蕩波病毒。有時與僵屍網絡配合,主要使用緩存溢出技術。
主條目:灰色軟件
間諜軟件和流氓軟件,是部分不良網絡公司出品的壹種收集用戶瀏覽網頁習慣而制訂自己廣告投放策略的軟件。這種軟件本身對計算機的危害性不是很大,只是中毒者隱私遭到泄露被收集走和壹旦安裝上它就無法正常刪除卸載了。比如對Internet Explorer的廣告軟件會自動修改並鎖定用戶缺省主頁以及加載廣告公司的工具條。
主條目:惡意軟件
惡作劇軟件,如破壞性很大的“格盤炸彈”,運行程序後自動格式化硬盤,原本只為“愚人”目的,但這種惡意程序運行後就會對用戶重要數據造成很大的損失。與此相同的還有文件感染器(File infector)以及在DOS下的根扇區病毒。
[編輯] 腳本病毒
主條目:宏病毒
宏病毒的感染對象為Microsoft開發的辦公系列軟件。Microsoft Word,Excel這些辦公軟件本身支持運行可進行某些文件操作的命令,所以也被Office文檔中含有惡意的宏病毒所利用。openoffice.org對Microsoft的VBS宏僅進行編輯支持而不運行,所以含有宏病毒的MS Office文檔在openoffice.org下打開後病毒無法運行。
[編輯] 免殺技術以及新特征
免殺是指:對病毒的處理,使之躲過殺毒軟件查殺的壹種技術。通常病毒剛從病毒作者手中傳播出去前,本身就是免殺的,甚至可以說“病毒比殺毒軟件還新,所以殺毒軟件根本無法識別它是病毒”,但由於傳播後部分用戶中毒向殺毒軟件公司舉報的原因,就會引起安全公司的註意並將之特征碼收錄到自己的病毒庫當中,病毒就會被殺毒軟件所識別。
病毒作者可以通過對病毒進行再次保護如使用匯編加花指令或者給文件加殼就可以輕易躲過殺毒軟件的病毒特征碼庫而免於被殺毒軟件查殺。
羅馬尼亞的BitDefender,俄羅斯的Kaspersky Anti-Virus,Dr.Web,斯洛伐克的NOD32,美國的Norton Antivirus,McAfee,西班牙的Panda AntiVirus等產品在國際上口碑較好[12],但殺毒、查殼能力都有限,目前病毒庫總數量也都僅在數十萬個左右。
自我補丁性是近年來病毒的又壹新特征。病毒可以借助於網絡進行變種補丁,得到最新的免殺版本的病毒並繼續在用戶感染的計算機上運行,比如熊貓燒香病毒的作者就建立了“病毒升級服務器”,在最勤時壹天要對病毒升級8次,比有些殺毒軟件病毒庫的補丁速度還快,所以就造成了殺毒軟件無法識別病毒。
除了自身免殺自我補丁之外,很多病毒還具有了對抗它的“天敵”殺毒軟件和防火墻產品反病毒軟件的全新特征,只要病毒運行後,病毒會自動破壞中毒者計算機上安裝的殺毒軟件和防火墻產品,如病毒自身驅動級Rootkit保護強制檢測並結束殺毒軟件進程,可以過主流殺毒軟件“主動防禦”和穿透軟、硬件還原的機器狗[13],自動修改系統時間導致壹些殺毒軟件廠商的正版認證作廢以致殺毒軟件作廢,從而病毒生存能力更加強大。
免殺技術的泛濫使得同壹種原型病毒理論上可以派生出近乎無窮無盡的變種,給依賴於特征碼技術檢測的殺毒軟件帶來很大困擾。近年來,國際反病毒行業普遍開展了各種前瞻性技術研究,試圖扭轉過分依賴特征碼所產生的不利局面。目前比較有代表性產品的是基於虛擬機技術的啟發式掃描軟件,代表廠商NOD32,Dr.Web,和基於行為分析技術的主動防禦軟件,代表廠商中國的微點主動防禦軟件等。
[編輯] 防範
修補操作系統以及其捆綁的軟件的漏洞
主條目:Microsoft Update
安裝系統以及其捆綁的軟件如Internet Explorer、Windows Media Player的漏洞安全補丁,以操作系統Windows為例Windows NT以及以下版本可以在Microsoft Update補丁系統,Windows 2000SP2以上,Windows XP以及Windows 2003等版本可以用系統的“自動補丁”程序下載補丁進行安裝。設置壹個比較強的系統密碼,關閉系統默認網絡***享,防止局域網入侵或弱口令蠕蟲傳播。定期檢查系統配置實用程序啟動選項卡情況,並對不明的Windows服務予以停止。
安裝並及時補丁殺毒軟件與防火墻產品
保持最新病毒庫以便能夠查出最新的病毒,如壹些反病毒軟件的升級服務器每小時就有新病毒庫包可供用戶補丁。而在防火墻的使用中應註意到禁止來路不明的軟件訪問網絡。由於免殺以及進程註入等原因,有個別病毒很容易穿過殺毒以及防火墻的雙重防守,遇到這樣的情況就要註意到使用特殊防火墻來防止進程註入,以及經常檢查啟動項、服務。壹些特殊防火墻可以“主動防禦”以及註冊表實時監控,每次不良程序針對計算機的惡意操作都可以實施攔截阻斷。
不要點來路不明連接以及運行不明程序[14]
來路不明的連接,很可能是蠕蟲病毒自動通過電子郵件或即時通訊軟件發過來的,如QQ病毒之壹的QQ尾巴,大多這樣信息中所帶連接指向都是些利用IE瀏覽器漏洞的網站,用戶訪問這些網站後不用下載直接就可能會中更多的病毒。另外不要運行來路不明的程序,如壹些“性誘惑”的文件名騙人吸引人去點擊,點擊後病毒就在系統中運行了。