計算機病毒發展的新趨勢研究

摘要:該文對計算機病毒呈現的新的發展趨勢進行了分析，針對新的趨勢，提出了計算機病毒防治的幾點建議。

關鍵詞:計算機病毒;病毒防治;新趨勢

中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2009)24-6896-02

New Trends Study of Computer Viruses Developing

ZHANG Ming-jie

(Department of Information and Management Engineering， Xi'an University of Post and Telecommunications， Xi'an 710061， China)

Abstract: This paper study the new trends of preventing computer viruses. with these new trends， it will proposed a new measures of preventing computer virus.

Key words: computer viruses; virus prevention; new trend

計算機在給我們帶來很多方便和幫助的同時，互聯網、局域網已經成為計算機病毒傳播的主要途徑;在與反病毒技術的斗爭中，計算機病毒的變形速度和破壞力不斷地提高;混合型病毒的出現令以前對計算機病毒的分類和定義逐步失去意義，也使反病毒工作更困難了;病毒的隱蔽性更強了，不知不覺“中毒”帶來的后果更嚴重;人們使用最多的一些軟件將成為計算機病毒的主要攻擊對象。而且由于近幾年傳輸媒質的改變和Internet的廣泛應用導致病毒感染的對象開始由工作站(終端)向網絡部件(代理、防護和服務設置等)轉變。

1 計算機病毒呈現新的發展趨勢

1.1 病毒技術日趨復雜化

病毒制造者充分利用計算機軟件的脆弱性和互聯網的開放性，不斷發展計算機病毒技術，朝著能對抗反病毒手段和有目的方向發展，使得病毒的花樣不斷翻新，編程手段越來越高，防不勝防。如利用生物工程學的“遺傳基因”原理生產出“病毒生產機”軟件，該軟件無需病毒編寫者絞盡腦汁地編寫程序，便會輕易地自動生產出大量的主體構造和原理基本相同的“同族”新病毒。又如利用軍事領域的“集束炸彈”的原理制造出的“子母彈”病毒，該病毒被激活后就會像“子母彈”一樣，分裂出多種類型的病毒來分別攻擊并感染計算機內不同類型的文件。由于現在沒有廣譜性能的查毒軟件，現行的查毒軟件只能是知道一種查一種，難以應對“病毒生產機”、“子母彈”等生產的大量新病毒。更為嚴重的是，這些病毒技術的存在造成病毒暴增隨時可能發生。

1.2 計算機網絡(互聯網、局域網)成為計算機病毒的主要傳播途徑。

使用計算機網絡逐漸成為計算機病毒發作條件的共同點。計算機病毒最早只通過文件拷貝傳播，當時最常見的傳播媒介是軟盤和盜版光碟。隨著計算機網絡的發展，目前計算機病毒可通過計算機網絡利用多種方式(電子郵件、網頁、即時通訊軟件等)進行傳播。計算機網絡的發展有助于計算機病毒的傳播速度大大提高，感染的范圍也越來越廣。可以說，網絡化帶來了計算機病毒傳染的高效率。這一點以“沖擊波”和“震蕩波”的表現最為突出。以“沖擊波”為例，沖擊波是利用RPC DCOM緩沖溢出漏洞進行傳播的互聯網蠕蟲。它能夠使遭受攻擊的系統崩潰，并通過互聯網迅速向容易受到攻擊的系統蔓延。 它會持續掃描具有漏洞的系統，并向具有漏洞的系統的135端口發送數據，然后會從已經被感染的計算機上下載能夠進行自我復制的代碼MSBLAST.EXE，并檢查當前計算機是否有可用的網絡連接。如果沒有連接，蠕蟲每間隔10秒對Internet連接進行檢查，直到Internet 連接被建立。一旦Internet連接建立，蠕蟲會打開被感染的系統上的4444端口，并在端口69進行監聽，掃描互聯網，嘗試連接至其他目標系統的135端口并對它們進行攻擊。與以前計算機病毒給我們的印象相比，計算機病毒的主動性(主動掃描可以感染的計算機)、獨立性(不再依賴宿主文件)更強了。

1.3 計算機病毒變形(變種)的速度極快并向混合型、多樣化發展

“震蕩波”大規模爆發不久，它的變形病毒就出現了，并且不斷更新，從變種A到變種F的出現，時間不用一個月。在人們忙于撲殺“震蕩波”的同時，一個新的計算機病毒應運而生—-“震蕩波殺手”，它會關閉“震蕩波”等計算機病毒的進程，但它帶來的危害與“震蕩波”類似:堵塞網絡、耗盡計算機資源、隨機倒計時關機和定時對某些服務器進行攻擊。在反病毒服務提供商Sophos公布的一份報告中稱，今年5月份互聯網上出現的各類新的蠕蟲病毒種類數量創下30個月以來的新高，共出現了959種新病毒，創下了自2001年12月份以來的新高。這959種新病毒中包括了之前一些老病毒的新變種。計算機病毒向混合型、多樣化發展的結果是一些病毒會更精巧，另一些病毒會更復雜，混合多種病毒特征，如紅色代碼病毒(Code Red)就是綜合了文件型、蠕蟲型病毒的特性，這種發展趨勢會造成反病毒工作更加困難。2004年1月27日，一種新型蠕蟲病毒在企業電子郵件系統中傳播，導致郵件數量暴增，從而阻塞網絡。不同反病毒廠商將其命名為Novarg、Mydoom、SCO炸彈、諾威格、小郵差變種等，該病毒采用的是病毒和垃圾郵件相結合的少見戰術，不知情用戶的推波助瀾使得這種病毒的傳播速度似乎比近來其他幾種病毒的傳播速度要快。

1.4 運行方式和傳播方式的隱蔽性。

9月14日，微軟安全中心發布了9月漏洞安全公告。其中MS04-028所提及的GDI+漏洞，危害等級被定為“嚴重”。瑞星安全專家認為，該漏洞涉及GDI+組件，在用戶瀏覽特定JPG圖片的時候，會導致緩沖區溢出，進而執行病毒攻擊代碼。該漏洞可能發生在所有的Windows操作系統上，針對所有基于IE瀏覽器內核的軟件、Office系列軟件、微軟.NET開發工具，以及微軟其它的圖形相關軟件等等，這將是有史以來威脅用戶數量最廣的高危漏洞。這類病毒(“圖片病毒”)有可能通過以下形式發作:1) 群發郵件，附帶有病毒的JPG圖片文件;2) 采用惡意網頁形式，瀏覽網頁中的JPG文件、甚至網頁上自帶的圖片即可被病毒感染;3) 通過即時通信軟件(如QQ、MSN等)的自帶頭像等圖片或者發送圖片文件進行傳播。在被計算機病毒感染的計算機中，你可能只看到一些常見的正常進程如svchost、taskmon等，其實它是計算機病毒進程。前不久，一部與哈里.波特相關的電影分別在美國和英國開始放映。接著，英國某安全公司就發出警告稱，“網絡天空”蠕蟲病毒正在借助科幻角色哈里?波特而死灰復燃。安全公司指出， Netsky.P蠕蟲病毒變種感染的用戶大幅度增加，原因是它能夠將自己偽裝成與哈里·波特相關的影片文件、游戲或圖書引誘用戶下載?！八{盒子(Worm.Lehs)”、“V寶貝(Win32.Worm.BabyV)”病毒和 “斯文(Worm.Swen)”病毒，都是將自己偽裝成微軟公司的補丁程序來進行傳播的。這些偽裝令人防不勝防。

1.5 利用操作系統漏洞傳播

操作系統是聯系計算機用戶和計算機系統的橋梁，也是計算機系統的核心，目前應用最為廣泛的是WINDOWS系列的操作系統。2003年的“蠕蟲王”、“沖擊波”和2004年的“震蕩波”、前面所提到的“圖片病毒”都是利用WINDOWS系統的漏洞，在短短的幾天內就對整個互聯網造成了巨大的危害。開發操作系統是個復雜的工程，出現漏洞及錯誤是難免的，任何操作系統就是在修補漏洞和改正錯誤的過程中逐步趨向成熟和完善。但這些漏洞和錯誤就給了計算機病毒和黑客一個很好的表演舞臺。隨著DOS操作系統使用率的減少，感染DOS操作系統的計算機病毒也將退出歷史舞臺;隨著WINDOWS操作系統使用率的增加，針對WINDOWS操作系統的計算機病毒將成為主流。

1.6 攻擊手段呈現多樣化

計算機病毒的編制技術隨著計算機相關技術的普及和發展而不斷提高和變化。過去病毒最大的特點是能夠復制自身給其他程序，現在計算機病毒種類繁多，有文件型、引導型、腳本型、多變型等，大多數具有了蠕蟲的特點，可以利用網絡進行傳播。有些病毒還具有黑客程序的功能，一旦侵入計算機系統后，病毒控制者可以從入侵的系統中竊取信息，遠程控制這些系統，更具有危害性。

2 計算機病毒防治的幾點建議

1) 用常識進行判斷。決不打開來歷不明郵件的附件或你并未預期接到的附件。對看來可疑的郵件附件要自覺不予打開。千萬不可受騙，認為你知道附件的內容，即使附件看來好像是JPG文件。這是因為Windows允許用戶在文件命名時使用多個后綴，而許多電子郵件程序只顯示第一個后綴，例如，你看到的郵件附件名稱是wow.jpg，而它的全名實際是wow.jpg.vbs，打開這個附件意味著運行一個惡意的VBScript病毒，而不是你的JPG察看器。

2) 安裝防病毒產品并保證更新最新的病毒定義碼。我們建議您至少每周更新一次病毒定義碼，因為防病毒軟件只有最新才最有效。

3) 當你首次在計算機上安裝防病毒軟件時，一定要花費些時間對機器做一次徹底的病毒掃描，以確保它尚未受過病毒感染。領先的防病毒軟件供應商現在都已將病毒掃描作為自動程序，當用戶在初裝其產品時自動執行。

4) 確保你的計算機對插入的軟盤、光盤和其他的可插拔介質。及對電子郵件和互聯網文件都會做自動的病毒檢查。

5) 不要從任何不可靠的渠道下載任何軟件。因為通常我們無法判斷什么是不可靠的渠道，所以比較保險的辦法是對安全下載的軟件在安裝前先做病毒掃描。

6) 警惕欺騙性的病毒。如果你收到一封來自朋友的郵件，聲稱有一個最具殺傷力的新病毒，并讓你將這封警告性質的郵件轉發給你所有認識的人，這十有八九是欺騙性的病毒。建議你訪問防病毒軟件供應商，證實確有其事。這些欺騙性的病毒，不僅浪費收件人的時間，而且可能與其聲稱的病毒一樣有殺傷力。

7) 使用其他形式的文檔，如RTF(Rich Text Format)和PDF(Portable document.nbspFormat)。常見的宏病毒使用Microsoft Office的程序傳播，減少使用這些文件類型的機會將降低病毒感染風險。嘗試用Rich Text存儲文件，這并不表明僅在文件名稱中用RTF后綴，而是要在Microsoft Word中，用“另存為”指令，在對話框中選擇Rich Text形式存儲。盡管Rich Text Format依然可能含有內嵌的對象，但它本身不支持Visual Basic Macros或Jscript。而PDF文件不僅是跨平臺的，而且更為安全。當然，這也不是能夠徹底避開病毒的萬全之計。

(8) 禁用Windows Scripting Host。Windows Scripting Host(WSH) 運行各種類型的文本，但基本都是VBScript或Jscript。許多病毒/蠕蟲，如Bubbleboy和KAK.worm使用Windows Scripting Host，無需用戶點擊附件，就可自動打開一個被感染的附件。

9) 使用基于客戶端的防火墻或過濾措施。如果你使用互聯網，特別是使用寬帶，并總是在線，那就非常有必要用個人防火墻保護你的隱私并防止不速之客訪問你的系統。如果你的系統沒有加設有效防護，你的家庭地址、信用卡號碼和其他信息都有可能被竊取。

參考文獻:

[1] 卓新建.計算機病毒原理及防治[M].北京:北京郵電大學，2004.

[2] 陳立新.計算機病毒防治百事通[M].北京:清華大學出版社，2001:127-139.

[3] 程勝利，談冉，雄文龍，程煜.計算機病毒及其防治技術[M].北京:清華大學出版，2004.