杀与被杀 电脑病毒25周年回顾
病毒的历史
擎天柱通过ebay上的拍卖信息,得知了隐藏(Hide)在一副眼镜中的“能源宝”的线索,而不能是威震天让派兵潜入“空军一号”,通过网络连接美国五角大楼的电脑操作操作系统,利用病毒植入的方式,窃取美国军事保密,得知了“能源宝”的线索.
这是真人版大片《变形金刚》中最无厘头的一段剧情,但却真实地描绘出了病毒对于信息社会的威胁.电脑病毒在这一个世界上已经存活了25年,他的功能与生物病毒类似,只不过破坏的不是生物操作操作系统,而不能是是电脑操作操作系统.
恶作剧下的坏“蛋”
1982 年7月13日,世界上第一个电脑病毒莫名其妙地就诞生了.他就是Elk Cloner,仅仅是美国匹兹堡一位高中生的恶作剧,并不怎么会对电脑产生任何危害.只是对不知情的Apple II的使用者进行骚扰.当时的病毒还没有针对PC,毕竟IBM的个人电脑也仅才一岁.
病毒的鼻祖
最早攻击PC的病毒是Brain,诞生于1986年,攻击的目标是微软最经典也是最受欢迎的操作操作操作系统——DOS,由两个巴基斯坦兄弟编写,分别是Basit Farooq Alvi和他的兄弟Amjad Farooq Alvi,这一个电脑病毒可以显示他们的电脑维修商店的电话号码.
Brain病毒是是一个引导区病毒,可以感染360K软盘的病毒(不是我们现在使用的软盘,是很古老的V.25英寸的大盘,而不能是且容量只有360K,现在只能在一些很老的单位才能见到.),这一个病毒会填满软盘上未用的空间,而不能是导致他不能再被使用.
这一个病毒的其他名字还有Lahore,Pakistani和Pakistani Brain.Alvi兄弟俩曾经公开对媒体表示,他们编写这一个程序(Procedures)(Procedures)是为了保护自己出售的软件(soft)免于被盗版,他的目的仅仅是针对版权侵犯.
说起电脑病毒的起源,应该从1949年算起,电脑之父冯·诺伊曼在《复杂自动机组织论》中便定义了病毒的基本概念.他提出了“一部事实上足够复杂的机器能够复制自身”的前沿理念.
这在当时,没有人相信,因为在那个年代大部分的人还认为而不能是电脑程序(Procedures)(Procedures)操作操作系统的概念根本不靠谱.而不能是一些黑客敏锐地接受了这一新事物,并且在“地下”进行那种能让程序(Procedures)(Procedures)自我复制的研究.
直到十年之后,在美国电话电报公司(AT&T)的贝尔实验室中,三个年轻程序(Procedures)(Procedures)员在闲暇之余,想出一种电子游戏(Game)叫作“磁芯大战”.游戏(Game)中通过复制自身来摆脱对方的控制,据说这可能是所谓电脑病毒的第一个雏形.
病毒的起源
在1977年的夏天,托马斯.捷.瑞安的科幻小说《P-1的青春》成为美国的畅销书,轰动了科普界.作者幻想了世界上第一个电脑病毒,可以从一台电脑传染到另一台电脑,最终控制了7000台电脑,酿成了一场灾难,这实际上是电脑病毒的思想基础.
实际上,电脑病毒的起源,确实是源自一些电脑爱好者的恶作剧.20多年前,处在青春叛逆期的美国康奈尔大学研究生Robert Tappan Morris因编写蠕虫病毒,感染了6000台电脑惹出麻烦后,被当时供奉为“软件(soft)奇才”,大公司争相高新聘用.Morris的老爹是美国政府顶级电脑安全专家,当时就断言“一些懂技术的聪明孩子的恶作剧,在与公司或军方安全专家的斗智中很可能取胜.”在《变形金刚》中,这点已经得到了验证,这也是目前现实生活(Life)中的真实情景.
多年后, 小Morris用蠕虫证实了老Morris的预言.一个由多名著名专家组成的委员会在蠕虫事件调查报告中认为:“Morris释放的蠕虫,是一种包含了具有明显的潜在后果的青年少行为.他可能没有企图用蠕虫去破坏数据(Data)或文件,但他可能企图让蠕虫广泛传播.”
病毒转型
2007年4月13日,是今年的第一个“黑色星期五”,这是一个个非常凑巧的日子,因为“黑色星期五”自发病以来的第20个年头.查看趋势科技病毒排行榜在1996年的榜单,他位居第二.
而不能是20年后的今天,他那能让磁盘驱动器一直狂躁不安的功能已经走向末路,1987~1996年“黑色星期五”等文档型病毒风光的时代已经结束,取而不能是代之的是无声无息的Web 威胁.
如今“90”后的人很少有听说过“黑色星期五”这一个说法的,他们听到最多的可能是“熊猫烧香”,“征途令人讨厌的电脑木马”和“
QQ通行证”这类科技含量并不高明,但传播范围很广泛的Web病毒.
相对于传统的通过病毒码比对方式,强调高侦测率的防毒软件(soft),已经不足以对抗短时间内不断自我上网更新的令人讨厌的电脑木马间谍,随时更换 IP 的网络钓鱼假网站,潜伏在许多著名网站的零时差漏洞攻击.
从趋势科技曾经发表的安全报告来看,来自网络安全的威胁,从2005年至今,成长率已经高达540%,而不能是且信息窃取占绝大部分份额.
Web 威胁使得恶意程序(Procedures)(Procedures)代码可以经由很多方式让人们的生活(Life)陷入困境:他可能会窃取使用者的名称与密码,或是下载令人讨厌的电脑木马产生器;他可以绑架电脑成为僵尸网络进行其他犯罪;他还超级有可能可以产生大量的弹出式窗口,将使用者折磨到底.
现在流行的“网页挂马”方式,是一种由黑客自己建立带毒的网站,或者攻击流量大的现有网站,在当中植入令人讨厌的电脑木马,病毒,用户浏览后就会中毒.可以快速的批量入侵大量电脑,非常快捷的组建僵尸网络,窃取用户资料.
当脚本令人讨厌的电脑木马侵入网站服务器(Server)之后,就会自动搜索计算机硬盘(Hard)上的所有网页文件,在当中批量插入网页令人讨厌的电脑木马,这样,当用户访问带毒网站时,就会被病毒感染.同时,这些被植入网站的令人讨厌的电脑木马病毒还特别智能化,他能够智能判断访问者使用的操作操作操作系统,浏览器等信息,找出当中可能存在的漏洞,然后执行针对每种漏洞的攻击程序(Procedures)(Procedures).
从Cloner,Brain和Morris这些“良性”病毒开始,电脑病毒在25年内经过了爆炸式发展,在全世界迅速传播.尤其是互联网的应用普及之后,联结到互联网中的手机,PC,笔记本,PDA等设备显得脆弱不堪,非常容易被攻破.
病毒的发展也从最初的而不能是恶意软件(soft)也从最初的小孩子的恶作剧,发展成一个巨大的产业.根据IDC的统计,全世界每一年因为病毒造成的直接或者间接损失,可以达到数千亿美元.
IT史上九大病毒
1.Elk Cloner(1982年)
他被看作攻击个人电脑的第一款全球病毒,也是所有令人头痛的安全问题先驱者.他通过苹果Apple II软盘进行传播.这一个病毒被放在一个游戏(Game)磁盘上,可以被使用49次.在第50次使用的时候,他并不运行游戏(Game),取而不能是代之的是打开一个空白屏幕,并显示一首短诗.
2.Brain(1986年)
Brain是第一款攻击运行微软的受欢迎的操作操作操作系统DOS的病毒,可以感染感染360K软盘的病毒,该病毒会填充满软盘上未用的空间,而不能是导致他不能再被使用.
3.Morris(1988年)
Morris该病毒程序(Procedures)(Procedures)利用了操作操作系统存在的弱点进行入侵,Morris设计的最初的目的并不可能是搞破坏,而不能是是用来测量网络的大小.但是,由于程序(Procedures)(Procedures)的循环没有处理好,电脑会不停地执行,复制Morris,最终导致电脑死机.
4.CIH(1998)
CIH病毒是迄今为止破坏性最要紧的病毒,也是世界上首例破坏硬件的病毒.他发作时不仅破坏计算机硬盘(Hard)的引导区和分区表,而不能是且破坏电脑操作操作系统BIOS,导致主板损坏.
5.Melissa(1999年)
Melissa是最早通过电子邮件传播的病毒之一,当用户打开一封电子邮件的附件,病毒会自动发送到用户通讯簿中的前50个地址,所以我们可以得出结论这一个病毒在数小时(Hour)之内传遍全球.
6.Love bug(2000年)
Love bug也通过电子邮件附近传播,他利用了人类的本性,把自己伪装成一封求爱信来欺骗收件人打开.这一个病毒以其传播速度和范围让安全专家吃惊.在数小时(Hour)之内,这一个小小的电脑程序(Procedures)(Procedures)征服了全世界范围之内的电脑操作操作系统.
7.“红色代码”(2001年)
被认为是史上最昂贵的电脑病毒之一,这一个自我复制的恶意代码“红色代码”利用了微软IIS服务器(Server)中的一个漏洞.该蠕虫病毒具有一个更恶毒的版本,被称作红色代码II.这两个病毒都除了可以对网站进行修改外,被感染的操作操作系统性能还可能会要紧下降.
8.“冲击波”(2003年)
冲击波病毒的英文名称是Blaster,还被叫做Lovsan或Lovesan,他利用了微软软件(soft)中的一个缺陷,对操作操作系统端口(Port)进行疯狂攻击,可以导致操作操作系统崩溃.
9.“震荡波”(2004年)
震荡波是又一个利用Windows缺陷的蠕虫病毒,震荡波可以导致电脑崩溃并不断重起.
杀与被杀的博弈
2005 年11月4 日,当年20岁的加州青年Jeanson James Ancheta在洛杉矶被捕,因为他通过病毒程序(Procedures)(Procedures)建立了一个由400000电脑组成的Bot网络(僵尸网络)供其利用,并出租Bot网络供人散播LJ邮件或发动DDoS攻击.按照他每次的价码次出租僵尸网络费用是3000元美金,他获得了60000美元现金的收入,自得其乐地购买了全新的BMW和更高性能的电脑环境.
用来探测宇宙中是否存在外星人们的电脑网络,也不如他的僵尸网络性能高强.Ancheta可能被判刑50年,因为他对位于加州的美国军事单位US Marine Naval Air Warfare发动DDoS攻击.
病毒编写新玩法
最初的病毒制造者通常以炫技,恶作剧或者仇视破坏为目的;从2000年开始,病毒制造者逐渐开始贪婪,越来越多地以获取经济利益为目的.
而不能是近一两年来,黑客和病毒制造者越来越狡猾,他们正改变以往的病毒编写方式,研究各种各样网络平台操作操作系统和网络应用的流程,还超级有可能杀毒软件(soft)的查杀,防御技术,寻找各种各样漏洞进行攻击.
除了在病毒程序(Procedures)(Procedures)编写上越来越巧妙外,他们更加注重攻击“策略”和传播,入侵流程,通过各种各样手段躲避杀毒软件(soft)的追杀和安全防护措施,达到获取经济利益的目的.
传统杀毒软件(soft)是通过对特点码的比对技术,根据用户提交或其他渠道截获的病毒样本提取出相应的病毒库,通过比对病毒特点对病毒进行判断和处理.
从制造病毒技术上说,黑客和病毒制造者大量采用“模块化编写”方法来批量制造新病毒.所谓“模块化编写”,就是黑客把传统功能齐全的病毒,拆分为不相同的功能模块,每个模块都成为单独的病毒.
三年前,主动攻击杀毒软件(soft)的病毒很少见,而不能是目前电脑病毒针对杀毒软件(soft)做攻防,已经成为普遍现像,以新毒王“帕虫”,老毒王“熊猫烧香”为代表的大量病毒都加载了攻击杀毒软件(soft)的模块.他们通过修改杀毒软件(soft)设置,损伤杀毒软件(soft)的配置文件还超级有可能直接或者间接关闭杀毒软件(soft),造成电脑的防御操作操作系统崩溃,从而不能是为所欲为.
病毒修改杀毒软件(soft)设置,默认忽略(不查杀)查出的病毒,病毒修改操作操作系统时间(如果不对,可以去下一下360时间保护器,软件(soft)很小,而不能是且不占内存.是安全不可少的软件(soft),
快活林极力推荐)让杀毒软件(soft)过期,造成该软件(soft)根本没有办法正常使用,病毒破坏该IM软件(soft)自带的令人讨厌的电脑木马查杀模块,病毒损坏了某杀毒软件(soft)的配置文件.
黑客热衷“病毒免杀”
目前,加壳,免杀等技术已经被开始被病毒编写者大量采用.“加壳”就像给病毒文件穿了“马甲”,对于识别能力不强的杀毒软件(soft)就会被这件“马甲”蒙蔽,而不能是放过病毒.而不能是“免杀”是指通过特殊技术处理,修改病毒文件,使已知病毒逃过杀毒软件(soft)的查杀.
与此同时,一些自动加壳,免杀机也开始出现,还超级有可能实现了商业化.譬如黑客,病毒制作者使用较多的“免疫(Immunity)007”就是一种商业化的自动加壳机.该软件(soft)作者会每天对软件(soft)进行更新,升级频率还超级有可能超过杀毒软件(soft).以使被其加壳的病毒,令人讨厌的电脑木马能够躲过最新版杀毒软件(soft)的查杀.该软件(soft)作者通过销售这种工具获利.
江民科技进行“2007年黑客行为分析”调查后,看到2007年黑客行为呈明显上升趋势,当中4I.86%左右的黑客或准黑客正在研究“免杀病毒”技术,研制“免杀病毒”和在互联网交流“免杀技术”已经成为黑客们最为热衷,追捧的黑客行为.
江民反病毒专家何公道介绍,目前编写“免杀病毒”已经成为一种世界性的黑客热潮,越来越多的病毒炮制者为了避免被杀毒软件(soft)查杀,纷纷通过加壳,加花系统指令,修改文件特点码等技术推出了快速变种的“免杀病毒”,病毒变种速度之快,数量之多绝大部分的都是前所未有的.
面对病毒的频繁变种以及“免杀病毒”的盛行,传统的杀毒软件(soft)往往反应相对滞后,如何有效地防杀“免杀病毒”已经成为杀毒软件(soft)厂商亟需解决的基本问题.
集体“主动防御”
Morris也成为了Arpanet网的最大的电子入侵者,获得哈佛大学Aiken中心超级用户的特权.但他也所以我们可以得出结论被判3年缓刑,罚款1万美元,他还被系统命令进行400小时(Hour)的新区服务.
某一些蠕虫受害者在分析报告中指出:当蠕虫程序(Procedures)(Procedures)混入网络骗取了口令后,蠕虫程序(Procedures)(Procedures)已经获取了操作操作系统用户的特权,可以读取被保护的数据(Data),蠕虫也就所以我们可以得出结论具备了进行要紧破坏活动的能力.但是蠕虫现在还没有做,他造成的伤害只是让机器运转变得缓慢而不能是已.
这说明当时的Morris已经具备了相当高的技巧,他曾单枪匹马破译了采用DES对称密码的口令,对DES密码,IBM曾组织了一批密码专家,花费了几周时间也未能破译.
Morris成为了上世纪80年代最有名的攻击者,被当时的电脑爱好者称为“可畏的恶作剧制造者”.如果他有意做恶毒攻击,那么蠕虫事件的后果将会更为要紧.但那个年代的黑客们,显然很单纯.
江民,金山,瑞星杀毒软件(soft),趋势科技,卡巴斯基,赛门铁克都在最近推出了全新的病毒防范工具.江民KV2008,瑞星杀毒软件(soft)2008,卡巴斯基VII.0等这些工具都在与病毒的不断升级做着艰苦的斗争.
我国反病毒专家,东方微点公司创始人刘旭是第一个提出“主动防御”概念的人,他认为主动防御软件(soft)应当建立动态仿真反病毒专家操作操作系统,能够自动准确判定新病毒,并且能够自动提取特点值,自动更新本地特点值库,实现对病毒的主动防御.简单来讲,防病毒软件(soft)不应当依赖于病毒特点码的判断,而不能是应当依靠动态仿真反病毒专家操作操作系统根据病毒程序(Procedures)(Procedures)运行的行为进行判定,就像一个专业反病毒人员人工判断病毒一样.
“主动防御”的概念已经成了目前病毒防御领域病毒防范的集体思想,集成了新BOOTSCAN,新操作操作系统监控,网页滤毒,未知病毒主动监控与虚拟机脱壳技术五大主动防御功能的江民KV2008,可以实时监控病毒,让号称“免杀”的病毒无处可逃.
江民总裁陶新宇说:“主动防御可以从根源上阻断了病毒来源,并从病毒行为入手,阻断未知病毒的动作,如写注册表(Regedit),注入程序(Procedures)(Procedures),复制病毒文件等行为,让病毒根本就没有任何发作机会.”
瑞星杀毒软件(soft)杀毒软件(soft)2008版目前正在公测,可以看到 “瑞星杀毒软件(soft)主动防御”是资源访问规则控制(HIPS),资源访问扫描,恶意行为分析引擎等很多种的技术的统称,通过动态的对所有程序(Procedures)(Procedures)行为进行分析判定,综合操作操作系统加固,资源访问控制等方法,从整体上防范和遏制未知病毒的侵害.
卡巴斯基VII.0中的“主动防御”取消了原有的Office防护项目,保留了应用程序(Procedures)(Procedures)活动分析,应用程序(Procedures)(Procedures)完整性控制,以及注册表(Regedit)防护.目前的方法是重点分析安装在电脑上应用程序(Procedures)(Procedures)的行为,监控操作操作系统注册表(Regedit)的改变以及发现隐蔽威胁.
从技术的角度来看,传统的以行为判断为核心的,动态的“主动防御”功能,如果能和静态的“病毒特点码查杀”结合,就可以够产生非常好的信息安全防护效果(Effect).但是,主动防御功能易用性比较差,如果应用不好,很可能造成大量的误报,操作操作系统不稳定等情况.
所以我们可以得出结论,尽管业界公认“主动防御”是全球反病毒技术的发展方向,但是真正全面应用该技术的杀毒软件(soft),在技术实现和用户使用方面,还有一段路要走.
