计算机病毒及其发展趋势_肖英.doc

《计算机病毒及其发展趋势_肖英.doc》由会员分享，可在线阅读，更多相关《计算机病毒及其发展趋势_肖英.doc（3页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、第 37 卷 第 11 期 Vol.37 No.11 安全技术 计 算 机 工 程 Computer Engineering 文章编号： 1000 3428(2011)11 0149 03 文献标识码： A 2011 年 6 月 June 2011 中图分类号： TP393 计算机 病毒及其发展趋势 肖 英 ，邹福泰 (1. 井冈山大学信息与传媒学院，江西 吉安 343009； 2. 上海交通大学信息安全工程学院，上海 200030) 摘 要：通过对计算机病毒的基本属性以及结构的介绍，提高网络用户对计算机病毒的理解。分析和总结计算机病毒的发展趋势，介绍计 算机病毒所采用的隐藏、多形性、社会工程

2、、动态更新、混合攻击、数据关联、新型媒介、速度为王、恶意攻击、跨越平台等十大技术及 发展方向，为科研技术人员和反病毒厂商防治计算机病毒 提供有 价值的参 考。 关键词：计算机病 毒；病毒结构；病毒演变；病毒感染 Computer Virus and Its Development Trend XIAO Ying , ZOU Fu-tai (1. School of Information and Media, Jinggangshan University, Jian 343009, China; 2. Scho ol of Information Security Engineering,

3、Shanghai Jiaotong University, Shanghai 200030, China) 【 Abstract】 This paper introduces the basic properties and structure of computer viruses, it can help network users to increase the understanding of computer viruses. And analyses and summarizes the development trends of computer viruses， introdu

4、ces the top ten technical and developmental directions: stealth, polymorphism, social engineering, dynamic updates, blended attacks, associated data, n ew media, speed king, malware/trojan attacks, crossplatform. They provides valuable reference for scientific and technical personnel and anti-virus

5、vendors to prevent computer viruses. 【 Key words】 computer virus; virus structure; virus ev olution; v irus infection DOI: 10.3969/j.issn.1000-3428.2011.11.051 1 概 述 码，实施破坏 4 。 跟据国际上的统计分析表明，计算机病毒每天产生十多 种，目前已达数万种。国内 90%的计算机遭受过病毒的攻击。 随着我国的对外开放，各种正常进口和非法拷贝的计算机软 件数量迅速增加，国际上各种计算机病毒大量传入我国。而 居高不下的盗版软件使用率使得

6、我国绝大多数计算机受到病 毒的攻击。本文通过 对计算机病毒及其发展趋势的介绍，提 高网络用户对计算机病毒的理解和增强网络安全意识。 2 计 算机病 毒定 义 尽管计算机病毒作为一个名词已得到广泛的认识，但是 其真正的定义却略显得模糊。一方面精确定义是否为计算机 病毒的特征存在一定的困难性，另一方面计算机病毒也在随 着技术的发展而不断发展。下面是有关计算机病毒的文献给 出的一些定义，它们反映了不同的侧重点： (1)计算机病毒之父弗雷德科恩博士 1984 年把计算机 病毒定义为：计算机病毒是一种计算机程序，它通过修改其 他程序把自身 或其演化体 插入它们中，从而感染它们 。并 于 1988 年强调

7、：计算机病毒不是利用操作系统的错误或缺陷 的程序。它是正常的用户程序，它仅使用那些每天都使用的 正常操作 。 (2)Hambung 大 学 计 算 机 病 毒 测 试 中 心 的 Vesselin Bontchev 认为：计算机病毒是一种自我复制程序，它通过修 改其他程序或它们的环境来“感染”它们，使得一旦调用“被 感染”的程序就意味着 (implies)调用“病毒”的演化体，在多 数情况下，意味着调用与“病毒”功能相似的拷贝 。 (3)美 国 Command Software Systems 公司的安全专家认 为：计算机病毒是一种程序，在某环境下，在你未知或未经 你同意，通过控制你的计算机系

8、统，复制自身、修改执行代 (4)1994 年 2 月 18 日，中华人民共和国计算机信息系统 安全保护条例第 28 条给计算机病毒所下的定义是：计算机 病毒，是指编制或者在计算机程序中插入的破坏计算机功能 或者毁坏数据，影响计算机使用，并能自我复制的一组计算 机指令或者程序代码。 (5)国内有学者把计算机病毒定义为：计算机病毒是 一种 程序，它用修改其他程序或与其他程序有关信息的方法，将 自身的精确拷贝或者可能演化的拷贝放入或链入其他程序， 从而感染其他程序 。 (1)、 (2)、 (5)对计算机病毒的定义与 (3)、 (4) 定义的区别 是：前一种观点认为计算机病毒是具有感染性，但不一定具

9、有破坏性的计算机程序，而后一种观点认为计算机病毒是不 仅具有感染性，还必须具有破坏性的计算机程序。是否具有 破坏性是两者的根本区别。本文倾向于后者，认为计算机病 毒 技术应 当考 虑更广 泛的程 序，特 别是那 些具有 破坏性 的 程序。 3 计 算机 病毒结 构 通过对目前的计算机病毒分析，可把计算机病毒的结构 表达为以下 3 个主要构成机制： (1)感 染 (Inf ect) 。感染机 制可定 义为病 毒传播 的途径 或 方式。 (2)触发 (Trigger)。触发机制定义为决定是否 在此时传送 基金项目：教育部科研基础设施示范基金资助项目 (CNGI200 8-106) 作者简介：肖 英

10、 (1965 )，女，副教授、硕士，主研方向：计算机 病毒结构；邹福泰，讲师、博士 收稿日期： 2010-11-04 E-mail： 1 2 1 2 1 2 3 150 计 算 机 工 程 2011 年 6 月 5 日 载荷 (若存在载荷 )。 未来趋势：已经看到各种邮件蠕虫病毒采用了社会工程。 (3)载荷 (Payload) 。载荷机制定义为除了自我复制 以外的 它仍然将广泛地存在，与社会心理学的结合将更好地发挥它 所有动作 (若其存在 )。 的效用。 因此，若程序定义为病毒，只有感染机制的存在是强制 (4)动态更新 (Dynamic Update s) 性的，而有效载荷和触发机制是非强制

11、性的。 目前 的病毒技术 已经开始采 用动态更新 技术。 2000 年 4 计 算机病 毒的 发展趋 势 10 月， Hybris 蠕虫 作为 E-mail 邮件附件传播。它连接到 本文通过对过去病毒发展所采用的一系列重要的创新技 p.virus 新闻组来接收加密的 plug-in(代码更新 )。这种 术来展示病毒的发展趋势。 方 式是复 杂而 且潜在 的危害 性极大 ，因为 蠕虫的 有效载 荷 (1)隐藏 (Stealth) (payload，破坏性模 块 )能够动态地被修改 ，从而病毒有不同 隐藏对于计算机病毒来说是重要的技术。因为病毒要得 的表现形式和破坏。 2003 年的 Lirva

12、蠕虫试图连接到 Web. 到有效而广泛的传播，尽可能地被晚发现是关键。常用的隐 host.kz 来下载 个臭名昭著的远程控制软件 BackOrifice。 藏技术有： 1)当检测病毒时，给出的信息似乎 病毒不存在。 未来趋势：很明显这种动态更新技术的使用越来越广泛。 2)将病毒隐藏到特 殊的物理空间。 3)主动防卫。病毒和蠕虫 未来的趋势 是病毒越来越模块化自组织，它的 3 个模块 (感 已经试图对感染病毒机器上安装的反病毒软件进行主动攻击 染、载荷、触发 )均可能动态更新，从而病毒的特征形态更难 来做隐藏。 察觉，更难以清除。此外，病毒还可以将自身化为多个部分 未来趋势：隐藏技术的进展可能设

13、想通过数字水印技术 组成，各部分隐藏在网络中需要时再进行自组织，并且这种 来隐藏病毒 (参考数据关联技术 ) ；也可能通过操作系统或者 自组织具有多形 性。这样，病毒变化不仅在载荷形态上而且 网 络层次 的复杂 化而在 这些不 对用户 公开的 层次 进行隐 藏 也在自身的感染和攻击特性上。 P2P 自组织技术结合这些更 (如 DIR2 病毒 )；网络的隐藏，如采用编码技术 (red-code) ； 新技术，能够为病毒设计提供更广阔的发展空间，是一个新 心理学也将用于隐藏，如利用人的好奇心或者对于知名品牌 的发展方向。 的信赖 (如 Beagle 病毒伪造知名的应用软件，如 WinAmp、 (5

14、)混合攻击 (Blended Attacks) AdobePhotoshop 等 )；主动防卫技术必然会成为病毒隐藏的重 所谓混合攻击，一方面是指在同一次攻击中，既包含病 要手段，甚至可能形成病毒专杀反病毒软件与反病毒软件之 毒攻击、黑客攻击，也包含隐通道攻击、拒绝服务攻击，并 间的激烈斗争。 可能包含口令攻击、路由攻击、中间人攻击等多种攻击方式； (2)多形性 (Polymorphism) 另 一方面是指攻击来自不同的地方或来自系统的不同部分， 多形性技术是指病毒通过简单的加密技术从而改变自身 如服务器、客户端、网关等。混合攻击可以更快地在更多计 的形态。 1)一种是从简单的“随机的”数字着

15、手，例如发生 算机上扩散病毒，造成更大危害。混合攻击的目标主要有微 病毒感染时系统时间的时域值，然后在病毒代码的每个字节 软的 IIS 服务器、 IE 浏览器等。 处加上一个简单 的密码。 2)多形化工程。多形化工程是一 组 未来趋势：混合攻击是病毒复杂性的必然趋势，也是黑 代 码，这组代码被添加到病毒上，以使同种病毒在每次复制 客手段与计算机病毒技术日渐紧密结合的表现。未来病毒越 时都改变它的形态。多形化工具的出现使得反病毒软件检测 来越能将各种攻击手段结合在一起，从而提高自己的生存能 困难。 1995 年的 Pathogen 和 Queeg 是用 Black Baron 的 力和影响能力。

16、 SMEG(Simulated Metamorphic Encryption enGine)产生的多形 (6)数据关联 (Data Associated) 化的 DoS 文件病毒。 数据文件往往被视为不可以传播病毒。但是若其含有可 未来趋势：变形病毒的特征是使得病毒自身的代码和结 解释或可执行的指令，则它也可以传播病毒。这是病毒可利 构在时间、空间上发生变化，从而不能够被特征串化而识别。 用的数据关联性，称此类病毒为译码病毒。此类病毒通常采 当前网络化的迅速发展，将使得空间不再局限于单机空间， 用宏和脚本，简单易用，且需要适当程序解释执行。由于其 而扩展到网络中去 。即它将表现在不同机器上而有

17、所不同， 具有的解释性，因此是跨平台的。 这使得其破解算法分析复杂化；另一方面，在时间上病毒将 20 世纪 90 年代中期，宏病毒处于支配地位。大多数宏 自变异，不仅是感染时刻的病毒变形，而且是病毒生存期间 病毒目标针对于微软的办公文档，因为这些文件将宏代码保 也自进化自己的代码，这可以通过其自身含有病毒变形机来 存在文档内。 Concept 是第 1 个宏病毒，作用于 Win95 下的 实现；此外，最近发现的病毒 Hybris 表明病毒可采用 模块化 Word 文档。 Melissa, Taiwan NO.1B 为肆虐一时的宏病毒。宏 组织，并通过 IRC 或者特定网站进行自我更新，表现出更

18、高 能 够将数 据文 件或目 标程序 连接在 一起， 从而可 以在一 个 的智能性。 HTML 电子邮件内隐藏一个 JavaScript 脚本或者 Word 文档内 (3)社会工程 (Social Engineering) 隐藏一个 Wor d 宏。 社会工程是指通过非技术的途径来破坏安全。实际上， 未来趋势：尽管宏病毒的优点是容易编写并且平台独立， 社会工程一直是一种非常有效的计算机破坏工具，而且被广 但是微软发布的产品已做了一定预防，当公众越来越小心来 泛 地 用 于 病 毒 和 特 洛 伊 木 马 的 各 种 行 动 中 。 1987 年 的 找开宏时，这种传播受到较大的局限性。新的趋势

19、可能是针 Christma Exec 蠕虫 病毒是社会工程的一 个早期例子，通过 对其他一些 新型脚本环境如 Jscript、 VBS 等。此外，数据关 E-mail 在 IBM 主机传播。邮件消息向使用者许诺一张圣诞卡， 联具有较大欺骗性，病毒仍然会在其上面做一定的努力。 而且也确实在终端屏幕上显示了一个模糊的松球开头，使用 (7)新型媒介 (New Media) 一种名为 REXX 的脚本语言。但同时它也送它自身的一个拷 病 毒 传 播 已经 从 软 磁 盘 、光 碟 等 移 动媒 介 ， 发 展 到 贝到外出邮件列表。接收者由于相信此 E-mail 来自该用 户， Inter net 网

20、络，特别是最近已将将应用程序也作为新型的传播 因此更可能打开此 E-mail。 媒介。 6 第 37 卷 第 11 期 151 肖 英，邹福泰：计算机病毒及其发展趋势 Linux 下的 Slapper 病毒，出现在 2002 年 9 月，是最初 得 到广泛的结合，大大增长了病毒的恶意性。 利用 P2P 技术的病毒之一。它利用了 Apache1.3 Web Server 未来趋势：病毒的赢利趋势将越来越显著。由此，将产 的被 mod_ssl 模块使用的 libssl 库中的长 SSL2(Secure Sockets 生新的病毒犯罪集团，专门采用木马、后门、 Phshing 等黑客 Layer 2

21、)关键字参数的缓存溢出漏洞。当蠕虫感染一个新机器 技术结合网络病毒得到传播。恶性病毒采用分布式拒绝服务 时，它监控 UDP2002 端口，成为 P2P 网络的一部分。蠕虫将 攻击 (DDoS)也将在今后产生严重影响。 它自身送到 P2P 网络上的每一机器并且在网络上广播新的蠕 (10)跨越平台 (CrossPlatform) 虫地址，并周期性更新主机列表。新的蠕虫也扫描随机选择 最初病毒主要是 DoS 环境，极少数在 Mac 环境或者 IBM 的 B 类网络以寻找其他有漏洞的机器。 主机上，目前已经在 Linux/Unix 上出现 ( 如 Slapper 病毒 )。一 未来趋势：病毒的网络化是

22、病毒寻找更快的感染和更大 些引导型病毒确实是可以跨平台的，但是它们的传播也仅限 的影响的必然趋势。新的网络媒介如 P2P、 IRC、 ICQ 已成为 于引导区。 病毒传播的有效方式。一些新的应用已经展示了它们的威力， Java 和 ActiveX 的网页技术逐渐被广泛使用在 Internet， 从而可能会有不同于一般病毒的传播。当前建设的 Grid 平台 从 而 使 得 设 计跨 平 台 的 病 毒 变得 更 容 易 。如 1999 年 的 以及 P2P 共享应用系统以及 MSN、 OICQ 等即时通信工具， BeanHive 病毒，无论是 Linux 还是 Windows 通过上网浏览病 是

23、病毒已经传播或者潜在的传播途径。不仅利用 P2P 网络、 毒作者所设计的站点而可染毒。之后，病毒的主 Java 控件就 Grid 网络，更具特性的 P2P 病毒、 Grid 病毒在不久的将来也 运行于用户计算机的 Java 虚拟机中。文献 7介绍了 E-mail 许就会出现。 病毒跨越平台在无标度网络中的传播模型。 (8)速度为王 (Speed King) 未来趋势：病毒总在扩张自己的传播领域，而跨平台技 病毒在利用漏洞的速度和传播速度都在加快。近年来， 术的采用将极大拓展病毒的传播领域，并造成更大的危害性。 新 的 计 算 机 系 统 安 全 漏 洞 不 断 被 发 现 。 2002 年 ，

24、 根 据 尽管通过网页在跨平台上已较为普遍，但真正的能够自适应 Symantec 统计，新 发现漏洞的数目比 2001 年增加了 82%； 各类平台的病毒还不存在，而它们的产生必然带来更大的危 2003 年，新发现 漏洞的数量 继续增加，仅 上半年就达到 了 害性。 1 432 个。在这些漏洞中，大部分的漏洞的危险程度为中等或 本节根据已存在的计算机病毒及它们的特性总结了计算 严重，而且超过一半的漏洞可以被远程攻击。大量系统漏洞 机病毒的十大技术及方向，这些技术为当代病毒采用，并得 的发现，使计算机网络很容易遭受攻击。研究显示，网络攻 到不断发展，分别介绍其发 展趋势。它们对于计算机病毒发 击

25、者热衷于攻击新发现的漏 洞。在所有新攻击方 法中， 64% 展而言都是重要的，并不能够因为某项目前并不占据主流而 的攻击针对一年之内发现的漏洞。有些漏洞的发现相距针对 得到忽略；看待计算机病毒的发展趋势，需要对于每一技术 此漏洞的攻击爆发的时间相当短，以致于很多网络管理员还 的进展均有清楚地认识。 5 结 束语 目前，计算机病毒形式及传播途径日趋多样化，网络用 漏洞发现到攻击爆发的时间间隔。 户不小心 就可能“中招”。本文通过对计算机病毒及其发展趋 表 1 一些漏洞发现到攻击爆发的时间间隔 势的介绍，帮助网络用户提高对计算机病毒的理解和增强网 W32.Sobig 20 01-0 3-29 20

26、0 3-0 1-09 651 算机病毒提供了有价值的参考。 W32 .Bugb ear 20 01-0 3-29 200 2-0 9-30 550 W32.Yaha 20 01-0 3-29 200 2-0 2-15 349 W3 2.Nimd a 20 01-0 5-15 200 1-0 9-18 126 参考文献 W3 2.Op aserv 20 00-1 0-10 200 2-0 9-30 710 1 Cohen F. Computer Viruses: Theory and ExperimentsC/Proc. of C odeR ed .Wor m 20 01-0 6-18 200

27、1-0 7-16 28 5 张汉亭 . 计算机病毒与反病毒技术 M. 北京 : 清华大学 出版社 , 1996. 6 Open Mail Relays Used to Deliver, HybriswormEB/OL. (2001- 02-20). http:/www.cert.org/ incident_notes/IN-2001-02.html. 户机器运行进行破坏，而 且更渗入到窃取用户的私人信息， 7 刘 俊 , 金 聪 , 邓清华 . 无标度网络环境下 E-mail 病毒的传 谋求商业利益。它们主要是通过邮件得以渗入到各网络内部， 播模型 J. 计算机工程 , 2009, 35(21

28、): 131-133. 并通过社会工程得以快速传播。木马等黑客程序与蠕虫病毒 编辑 索书志 来不及给系统打补丁。例如红色代码 ( Code Red)蠕虫大规模 爆发距相应漏洞被公布的时间仅为 28 天。表 1 是近年来一些 漏洞名称 发现时间 爆发时间 间隔 /天 络安全意识；同时为广大科研技术人员和反病毒厂商防治计 W32 .Klez 20 01-0 3-29 200 1-1 0-25 210 20 01-0 3-29 200 2-0 9-18 538 20 00-1 0-17 200 1-0 9-18 336 W32 .Lir va 20 01-0 3-29 200 3-0 1-07 64

29、9 2 Cohen F. On the implications of Computer Viruses and Methods of 未来趋势：由于 Internet 带来的迅捷性，病毒开始致力 DefenseJ. Computers & Security, 1988, 7(2): 167-184. 于快速的传播，这一方面是病毒期待的功效性，另一方面也 3 Bontchev V. Are Good Computer Viruses Still a Bad Idea?EB/OL. 是因为安全漏洞具有时效性。一方面，利用漏洞速度加快。 (2010-04-01). http:/www.drsolomon.Com/ftp/papers. 只要漏洞被知晓，黑客们用来开发新蠕虫的时间就会缩短。 4 Gordon S. Technologically Enabled Crime: Shifting Paradigms for 某些网络攻击可能在厂家的补丁程序发布以前爆发，造成更 the Year 2000J. Computer and Security, 1995, 14(5): 391-402. 严重的后果。另一方面，新蠕 虫也采用各项技术来加快自己 的传播。 (9)恶意攻击 (Malware/Trojan Attacks) 近两年的病毒呈现了强烈的恶意性，已经不满足仅对用