專家觀點﹕計算机病毒的發展及防毒對策(3)

標籤:

(//www.tvsmo.com)
【大紀元6月23日訊】 3、變形病毒

早先,國內外連續發現多种更高級的能變換自身代碼的“變形”病毒,其名字有:Stealth(詭秘)病毒、Mutation Engine(變形金鋼或稱變形病毒生產机)、Fear(恐怖)、Satan(惡魔)、 Tremor(地震)、 Casper(卡死脖幽靈)、One_Half/3544(幽靈)、NATAS/4744(拿他死幽靈王)、NEW DIR2病毒等。 特別是Mutation Engine,它遇到普通病毒后能將其改造成為變形病毒。這些變形病毒具有多態性、多變性,甚至沒有一個連續的字節是相同的,從而使以往的搜索病毒方法不知去搜索什么。

1992年,我們首次發現了國內第一例變形病毒,病毒名字為“Doctor”(醫生)。目前, 我國已發現了許許多多變形病毒。

這些變形病毒能將自身的代碼變換成億万种樣子貼附在被感染的文件中,其Casper(卡死脖幽靈)、Ghost/One_Half/3544(幽靈)、NATAS/4744(拿他死幽靈王)、 HYY/3532(HYY/3532(福州1號變形王)、HEFEI變形鬼魂、CONNIE2台灣2號變形王、MADE-SP、HEFEI、JOKE、NIGHTALL、Marburg病毒代碼可變無窮次。這使得一些病毒掃描軟件產生漏查漏殺現象。其中,CONNIE2台灣2號變形王、MADE-SP、 JOKE、 NIGHTALL、 Windows Marburg、I-WORM/MAGISTR變形病毒變形复雜,几乎達到了不可解除的狀態。

通過以上例子來看,計算机病毒在不斷發展,手段越來越高明,結构越來越特別。目前,對出現的上万种引導區病毒和普通的文件型病毒以及宏病毒已有了較好的對策,但變形病毒將會是今后病毒發展主要方向之一,這應當引起我們的警惕。那么變形病毒是什么樣呢?

4、變形病毒的基本類型

變形病毒的基本類型后,病毒自身代碼和結构在空間上、時間上具有不同的變化。以下我們將變形病毒簡要划分為四類。

第一類變形病毒的特性是:具備普通病毒所具有的基本特性,然而,病毒每傳播到一個目標后,其自身代碼与前一目標中的病毒代碼几乎沒有三個連續的字節是相同的,但這些代碼其相對空間的排列位置是不變動的, 這里稱為:一維變形病毒。

在一維變形病毒中,個別的病毒感染系統后,遇到檢測時能夠進行自我加密或脫密,或自我消失。有的列目錄時能消失增加的字節數,或加載跟蹤時,病毒能破坏跟蹤或者逃之夭夭。

第二類變形病毒的特性是:除了具備一維變形病毒的特性外,那些變化的代碼相互間的排列距离(相對空間位置)也是變化的,這里稱為:二維變形病毒。

在二維變形病毒中,有如前面提到的MADE-SP病毒等,能用某种不動聲色特殊的方式或混雜于正常的系統命令中去修改系統關鍵內核,并与之融為一體,或干脆另創建一些新的中斷調用功能。有的感染文件的字節數不定,或与文件融為一體。

第三類變形病毒的特性是:具備二維變形病毒的特性,并且能分裂后分別潛藏在几處,當病毒引擎被激發后自我恢复成一個完整的病毒。病毒在附著體上的空間位置是變化的,即潛藏的位置不定。比如:可能一部分藏在第一台机器硬盤的主引導區,另外几部分也可能潛藏在几個文件中,也可能潛藏在覆蓋文件中,也可能潛藏在系統引導區、也可能另開墾一塊區域潛藏……等等。而在下一台被感染的机器內,病毒又改變了其潛藏的位置。這里稱為:三維變形病毒。

第四類變形病毒的特性是:具備三維變形病毒的特性,并且這些特性隨時間動態變化。比如,在染毒的机器中,剛開机時病毒在內存里變化為一個樣子,一段時間后又變成了另一個樣子,再次開机后病毒在內存里又是一個不同的樣子。還有的是這樣一類病毒,其本身就是具有傳播性質的“病毒生產机”病毒,它們會在計算机內或通過网絡傳播時,將自己重新組合代碼生成与前一個有些代碼不同的變种新病毒,這里稱為:四維變形病毒。

四維變形病毒大部分具備网絡自動傳播功能,在网絡的不同角落里到處隱藏。

還有一些這類高級病毒不再持有以往絕大多數病毒那种“惡作劇”的目的,它可能主要是人類在信息社會投入巨資研究出的、可擾亂破坏社會的信息、政治、經濟秩序等、或是主宰戰爭目的的一种“信息戰略武器”病毒。它們有可能接受机外遙控信息,也可以向外發出信息。比如在多媒體机上可通過視頻、音頻、無線電或互聯网收發信息。也可以通過計算机的輻射波,向外發出信息。也可以潛藏在聯接Internet网的計算机中,收集密碼和重要信息,再悄悄地隨著主人通信時,將重要信息發出去(I-WORM/MAGISTR(馬吉思)病毒就有此功能),這些變形病毒的智能化程度相當高。

以上,我們把變形病毒划分定義為一維變形病毒、二維變形病毒、三維變形病毒、四維變形病毒。這樣,可使我們站在一定的高度上對變形病毒有一個較清楚的認識,以便今后針對其采取強而有效的措施進行診治。這四類變形病毒可以說是病毒發展的趨向,也就是說:病毒主要朝著能對抗反病毒手段和有目的的方向發展。

(賽迪网-中國計算机報) (//www.dajiyuan.com)

    相關文章
    

  • 專家觀點﹕計算机病毒的發展及防毒對策(2) (6/23/2001)    
  • 專家觀點﹕計算机病毒的發展及防毒對策(1) (6/23/2001)    
  • 電腦病毒武器化 美點名中俄 (6/22/2001)    
  • 你的電子郵件安全嗎? (6/22/2001)    
  • 艾滋病防治 每年需90億美元 (6/22/2001)    
  • 科學家發現一种可以治療腦癌的病毒 (6/21/2001)    
  • 英國專家警告口蹄疫病毒可能成為生物武器 (6/20/2001)    
  • 計算机”奶酪”病毒 給你溫柔一擊 (6/20/2001)    
  • 病毒世界里的“好”病毒 (6/20/2001)    
  • 哥倫比亞研制出艾滋病輔助治療新藥 (6/17/2001)    
  • 小心惡性病毒“陷阱” (6/16/2001)    
  • 香港證實發現首起瘋牛病女病人曾在應該居住 (6/15/2001)    
  • 瑞士:科學家發現測試瘋牛病病毒新方法 (6/15/2001)    
  • 趨勢科技掃瞄引擎換裝雷霆緝毒手ScriptTrap (6/15/2001)    
  • 古美爆發黑客戰 卡斯特羅否認 (6/15/2001)    
  • 香港重新輸入大陸活雞 (6/15/2001)    
  • 新型專門攻擊Word用戶的病毒 (6/15/2001)    
  • Mac OS版新蠕虫病毒“辛普森”出現 (6/15/2001)    
  • McAfee稱率先支持Itanium技術 (6/15/2001)    
  • 下載「麥克維行刑過程」 網友上當 (6/14/2001)
    • 相關專題:
    相關新聞
    下載「麥克維行刑過程」 網友上當
    下載「麥克維行刑過程」 網友上當 人氣 11
    McAfee稱率先支持Itanium技術
    McAfee稱率先支持Itanium技術 人氣 0
    Mac OS版新蠕虫病毒“辛普森”出現
    Mac OS版新蠕虫病毒“辛普森”出現 人氣 0
    新型專門攻擊Word用戶的病毒
    新型專門攻擊Word用戶的病毒 人氣 2
    如果您有新聞線索或資料給大紀元,請進入。
    評論