IT人員的困繞:互聯網早期的病毒傳播
病毒的傳播和計算機的應用密切相關,在整個Windows 9x時代,CDROM和軟盤在病毒傳播中起著至關重要的作用。網絡應用也日益興旺,那應該是中國互聯網產業最初的創業潮。軟件店里最火的商品,除了殺毒軟件,還有一樣東西,估計現在的網民都不一定見過。那是各個不同ISP出售的上網卡,卡片上寫著如何用Windows 95,Windows 98,或Windows Me來創建撥號網絡,撥不同的號,計費標準和網速不一樣。
以下介紹幾類令人印象深刻的病毒:
1.引導區病毒boot.polyboot(瑞星叫boot.wyx)
因為Windows9x仍然沒有完全擺脫DOS,操作系統的啟動可以理解為先啟動DOS7,再加載Windows外殼。軟驅仍是電腦的標配,企業辦公網內交換數據,除了郵件之外,比較多的使用軟盤。很多人用軟盤時有個不良習慣:他的軟驅中總有一張盤塞在里面,不管這個盤是不是引導盤。在這種情況下,引導區病毒就會在交換使用軟盤的過程中廣泛傳播。
一臺正常的計算機僅讀取帶boot.polyboot病毒的軟盤是不會染毒的,風險在于,這臺計算機下次啟動時,如果這張有毒的軟盤仍在軟驅里,開機時,軟盤里的病毒就進入內存,感染硬盤。接下來,所有在這臺計算機上寫入過數據的軟盤都將會polyboot引導區病毒感染。這些軟盤,再去感染更多的硬盤。
重啟是引導區病毒感染的重要時機,而那個時候的Windows9x(包括Windows95/98/me)特別不爭氣,動不動就給你來張大藍臉,重啟了。這個引導區病毒不發作,系統不會有任何異常,一旦發作,病毒會將正常的硬盤分區表和主引導記錄改寫,導致系統不能啟動或者分區丟失,數據因此不能訪問。
殺毒軟件對引導區病毒通常不敢輕易處置。因引導區病毒比較多,每種破壞分區表的情況不完全一致,用戶的使用水平也參差不齊,如果處理不當,又會造成分區無法訪問數據丟失的嚴重后果。殺毒軟件處理這種病毒時,一般會建議用戶備份損壞的分區表,然后才去執行清除操作。
至今我仍記得用下面這種通用的辦法對付引導區病毒:使用干凈的Windows9x命令行,執行format a:/s創建干凈的Windows9x啟動軟盤,軟盤啟動,執行fdisk/mbr,再執行sysc:來搞定引導區病毒。Windows2000或Windows XP就用光盤引導至故障恢復控制臺(一個類似DOS的界面),執行fixmbr和fixboot。
現在,也有改寫主引導記錄的特殊病毒,比如鬼影、TDSS rootkit,這兩個病毒都造成了十分惡劣的影響。鬼影寄生在MBR上,啟動病毒木馬下載器,中毒電腦會下載很多盜號木馬,安裝流氓軟件。TDSS rootkit是技術高超的后門程序,全球范圍內構造了超過300萬臺PC組成的僵尸網絡,感染之后,完全隱藏自身,極難清除,病毒現在主要做廣告營銷,同時極其危險,被控制的僵尸電腦隨時可以用作特殊目的。
2.感染型病毒(funlove,CIH)
funlove病毒會感染這臺機器上所有的EXE文件,包括局域網內有可寫權限的共享路徑(我很奇怪那個時候怎么有很多網管使用共享服務時,習慣于使用完全共享,而不是授權訪問和只讀共享)。感染后的EXE文件長度會增大,啟動被感染的程序時,運行速度會變慢。反復中毒,反復殺毒。結果很快這些EXE就完全損壞,運行就報告錯誤的win32程序。那個時候,最困擾的問題就是反復中毒,用戶因為沒有解決防毒的根本問題而反復中毒,對殺毒軟件的抱怨也比較多。
類似的感染型病毒,殺毒軟件通常顯示的病毒名前輟為“win32.”,表示,這是一個Windows32位平臺下運行的病毒,中了感染型病毒的特點就是會發現很多EXE中了同一種win32病毒。大部分系統程序文件在感染型病毒后,使用殺毒軟件修復到基本正常可用的狀態,但也并不都是如此。
有的感染型病毒會出現某些意外,比如熊貓燒香病毒。因李俊同學的程序存在BUG,使得每一個被熊貓燒香病毒感染的EXE文件都有一個熊貓的圖標,這其實并非作者李俊故意用圖標招搖,實際是感染動作存在BUG,這個圖標讓李俊同學一舉成名。
有一些技術實力很強的感染型病毒,比如Virut,這是個罕見的技術型病毒,病毒會嘗試加密變形,使每次感染造成的破壞不盡相同,殺毒軟件要想修復被破壞的EXE,就得仔細分析感染原理,這個virut病毒折磨珠海最NB的毒霸分析員boom好幾天沒睡覺。據說珠海金山后來對病毒分析師增加了一項考核,加薪升職必須滿分通過:完整分析病毒virut。
還有一些概念型的感染型病毒,至今殺毒廠商都不能修復。這些病毒是那些技術高超的病毒作者刻意和殺毒廠商的工程師叫板,這類概念型病毒,也沒有蓄意大規模傳播。有些病毒作者沒有設計復雜的感染動作,而是用病毒自身覆蓋了大量EXE程序文件,染毒文件本身已經沒有修復價值。殺毒軟件對這類感染型,只能刪除解決。
3.宏病毒
自從微軟的Office成為辦公軟件的統治者之后,宏病毒就困繞著辦公一族。在軟盤時代,很多公文是通過軟盤交換的。早期計算機病毒多用機器語言編寫,掌握病毒程序開發有較高門檻。而宏病毒使用VBA語言編寫,那時候學習VB的人非常多。在處理大量辦公業務時,宏功能是文檔分析師們的大愛。可以根據業務需要,編寫宏功能自動完成一些重復操作。而喜歡惡作劇的人,就用VBA寫了大量宏病毒。
大多數宏病毒是出于惡搞的目的,比如,辦公的時候,彈出一個數學題讓你做,做對了關閉,做錯了,就繼續下一道題。或自動打開很多文檔,把計算機資源耗盡。但也有非常惡劣的宏病毒,其中有個殺手13的宏病毒就設定為日期+月份=13時(5月8日,6月7日等)發作,發作后,病毒創建一個批處理autoexec.bat,deltreec:\*.*/y,就在你下次開機的時候,刪除C盤的所有文件。
宏病毒剛剛興起時,據傳微軟并不公布Office文檔的格式,殺毒廠商必須得摸著石頭過河,自己分析Office文檔。對宏病毒處理效果差的殺毒軟件,會將病毒和文檔一起消滅。辦公一族中,交換DOC、XLS是非常普遍的行為。病毒發作時,會發現辦公室里所有的機器都不能正常處理文檔。
宏病毒的泛濫直到Office升級到Office2003之后才逐步減少,微軟修補了一些安全漏洞,在打開Office文檔時提醒是否運行宏,默認將宏的運行等級提高,使宏功能的應用受限。最重要的原因,是病毒作者的興趣點轉移,不再以折騰Office為樂了。但宏病毒并未就此消失,在Office文檔作為標準文檔流轉的企業網絡,仍然有一定的感染量。現在,有一類特別的通過Office文檔傳播的攻擊程序,它的實質并不是宏病毒,而是寄生在Office文檔中的木馬程序。
病毒的攻擊方式是利用Office程序的0day漏洞或Flash Player的0day漏洞,將特別構造的內嵌攻擊代碼的Office文檔通過電子郵件發送給攻擊目標。接收者打開這種文檔,內嵌的攻擊程序即被激活。防止這類危險程序只能靠及時升級Office程序,或升級Flash Player。
【編輯推薦】
