擎天柱通过ebay上的拍卖信息,得知了隐藏在一副眼镜中的“能源宝”的线索,而威震天让派兵潜入“空军一号”,通过网络连接美国五角大楼的计算机系统,利用病毒植入的方式,窃取美国军事机密,得知了“能源宝”的线索。
这是真人版大片《变形金刚》中最无厘头的一段剧情,但却真实地描绘出了病毒对于信息社会的威胁。计算机病毒在这个世界上已经存活了25年,他的功能与生物病毒类似,只不过破坏的不是生物系统,而是计算机系统。
恶作剧下的坏“蛋”
1982年7月13日,世界上第一个计算机病毒莫名其妙地就诞生了。它就是Elk Cloner,仅仅是美国匹兹堡一位高中生的恶作剧,并不会对计算机产生任何危害。只是对不知情的Apple II的使用者进行骚扰。当时的病毒还没有针对PC,毕竟IBM的个人电脑也仅才一岁。
病毒的鼻祖
最早攻击PC的病毒是Brain,诞生于1986年,攻击的目标是微软最经典也是最受欢迎的操作系统——DOS,由两个巴基斯坦兄弟编写,分别是Basit Farooq Alvi和他的兄弟Amjad Farooq Alvi,这个计算机病毒可以显示他们的计算机维修商店的电话号码。
Brain病毒是是一个引导区病毒,可以感染360K软盘的病毒(不是我们现在使用的软盘,是很古老的5.25英寸的大盘,而且容量只有360K,现在只能在一些很老的单位才能见到。),这个病毒会填满软盘上未用的空间,而导致它不能再被使用。
这个病毒的其他名字还有Lahore、Pakistani和Pakistani Brain。Alvi兄弟俩曾经公开对媒体表示,他们编写这个程序是为了保护自己出售的软件免于被盗版,它的目的仅仅是针对版权侵犯。
说起计算机病毒的起源,应该从1949年算起,计算机之父冯·诺伊曼在《复杂自动机组织论》中便定义了病毒的基本概念。他提出了“一部事实上足够复杂的机器能够复制自身”的前沿理念。
这在当时,没有人相信,因为在那个年代一般的人还认为而计算机程序系统的概念根本不靠谱。而一些黑客敏锐地接受了这一新事物,并且在“地下”进行那种能让程序自我复制的研究。
直到十年之后,在美国电话电报公司(AT&T)的贝尔实验室中,三个年轻程序员在闲暇之余,想出一种电子游戏叫作“磁芯大战”。游戏中通过复制自身来摆脱对方的控制,据说这可能是所谓计算机病毒的第一个雏形。
病毒的起源
在1977年的夏天,托马斯.捷.瑞安的科幻小说《P-1的青春》成为美国的畅销书,轰动了科普界。作者幻想了世界上第一个计算机病毒,可以从一台计算机传染到另一台计算机,最终控制了7000台计算机,酿成了一场灾难,这实际上是计算机病毒的思想基础。
实际上,计算机病毒的起源,确实是源自一些计算机爱好者的恶作剧。20多年前,处在青春叛逆期的美国康奈尔大学研究生Robert Tappan Morris因编写蠕虫病毒,感染了6000台计算机惹出麻烦后,被当时供奉为“软件奇才”,大公司争相高新聘用。Morris的老爹是美国政府顶级计算机安全专家,当时就断言“一些懂技术的聪明孩子的恶作剧,在与公司或军方安全专家的斗智中很可能取胜。”在《变形金刚》中,这点已经得到了验证,这也是目前现实生活中的真实情景。
多年后, 小Morris用蠕虫证实了老Morris的预言。一个由多名著名专家组成的委员会在蠕虫事件调查报告中认为:“Morris释放的蠕虫,是一种包含了具有明显的潜在后果的青年少行为。他可能没有企图用蠕虫去破坏数据或文件,但他可能企图让蠕虫广泛传播。”
病毒转型
2007年4月13日,是今年的第一个“黑色星期五”,这是一个个非常凑巧的日子,因为“黑色星期五”自发病以来的第20个年头。查看趋势科技病毒排行榜在1996年的榜单,它位居第二。
而20年后的今天,它那能让磁盘驱动器一直狂躁不安的功能已经走向末路,1987~1996年“黑色星期五”等文档型病毒风光的时代已经结束,取而代之的是无声无息的Web 威胁。
5.Melissa(1999年)
Melissa是最早通过电子邮件传播的病毒之一,当用户打开一封电子邮件的附件,病毒会自动发送到用户通讯簿中的前50个地址,因此这个病毒在数小时之内传遍全球。
6.Love bug(2000年)
Love bug也通过电子邮件附近传播,它利用了人类的本性,把自己伪装成一封求爱信来欺骗收件人打开。这个病毒以其传播速度和范围让安全专家吃惊。在数小时之内,这个小小的计算机程序征服了全世界范围之内的计算机系统。
7.“红色代码”(2001年)
被认为是史上最昂贵的计算机病毒之一,这个自我复制的恶意代码“红色代码”利用了微软IIS服务器中的一个漏洞。该蠕虫病毒具有一个更恶毒的版本,被称作红色代码II。这两个病毒都除了可以对网站进行修改外,被感染的系统性能还会严重下降。
8.“冲击波”(2003年)
冲击波病毒的英文名称是Blaster,还被叫做Lovsan或Lovesan,它利用了微软软件中的一个缺陷,对系统端口进行疯狂攻击,可以导致系统崩溃。
9.“震荡波”(2004年)
震荡波是又一个利用Windows缺陷的蠕虫病毒,震荡波可以导致计算机崩溃并不断重起。
杀与被杀的博弈
2005年11月4 日,当年20岁的加州青年Jeanson James Ancheta在洛杉矶被捕,因为它通过病毒程序建立了一个由400000计算机组成的Bot网络(僵尸网络)供其利用,并出租Bot网络供人散播垃圾邮件或发动DDoS攻击。按照他每次的价码次出租僵尸网络费用是3000元美金,他获得了60000美元现金的收入,自得其乐地购买了全新的BMW和更高性能的计算机环境。
用来探测宇宙中是否存在外星人的计算机网络,也不如他的僵尸网络性能高强。Ancheta可能被判刑50年,因为他对位于加州的美国军事单位US Marine Naval Air Warfare发动DDoS攻击。
病毒编写新玩法
最初的病毒制造者通常以炫技、恶作剧或者仇视破坏为目的;从2000年开始,病毒制造者逐渐开始贪婪,越来越多地以获取经济利益为目的。
而近一两年来,黑客和病毒制造者越来越狡猾,他们正改变以往的病毒编写方式,研究各种网络平台系统和网络应用的流程,甚至杀毒软件的查杀、防御技术,寻找各种漏洞进行攻击。
除了在病毒程序编写上越来越巧妙外,他们更加注重攻击“策略”和传播、入侵流程,通过各种手段躲避杀毒软件的追杀和安全防护措施,达到获取经济利益的目的。
传统杀毒软件是通过对特征码的比对技术,根据用户提交或其他渠道截获的病毒样本提取出相应的病毒库,通过比对病毒特征对病毒进行判断和处理。
从制造病毒技术上说,黑客和病毒制造者大量采用“模块化编写”方法来批量制造新病毒。所谓“模块化编写”,就是黑客把传统功能齐全的病毒,拆分为不同的功能模块,每个模块都成为单独的病毒。
三年前,主动攻击杀毒软件的病毒很少见,而目前电脑病毒针对杀毒软件做攻防,已经成为普遍现象,以新毒王“帕虫”、老毒王“熊猫烧香”为代表的大量病毒都加载了攻击杀毒软件的模块。它们通过修改杀毒软件设置、损伤杀毒软件的配置文件甚至直接关闭杀毒软件,造成电脑的防御系统崩溃,从而为所欲为。
病毒修改杀毒软件设置,默认忽略(不查杀)查出的病毒,病毒修改系统时间让杀毒软件过期,造成该软件无法正常使用,病毒破坏该IM软件自带的木马查杀模块,病毒损坏了某杀毒软件的配置文件。
黑客热衷“病毒免杀”
目前,加壳、免杀等技术已经被开始被病毒编写者大量采用。“加壳”就像给病毒文件穿了“马甲”,对于识别能力不强的杀毒软件就会被这件“马甲”蒙蔽,而放过病毒。而“免杀”是指通过特殊技术处理,修改病毒文件,使已知病毒逃过杀毒软件的查杀。
与此同时,一些自动加壳、免杀机也开始出现,甚至实现了商业化。比如黑客、病毒制作者使用较多的“免疫007”就是一种商业化的自动加壳机。该软件作者会每天对软件进行更新,升级频率甚至超过杀毒软件。以使被其加壳的病毒、木马能够躲过最新版杀毒软件的查杀。该软件作者通过销售这种工具获利。
江民科技进行“2007年黑客行为分析”调查后,看到2007年黑客行为呈明显上升趋势,其中41.86%左右的黑客或准黑客正在研究“免杀病毒”技术,研制“免杀病毒”和在互联网交流“免杀技术”已经成为黑客们最为热衷、追捧的黑客行为。
江民反病毒专家何公道介绍,目前编写“免杀病毒”已经成为一种世界性的黑客热潮,越来越多的病毒炮制者为了避免被杀毒软件查杀,纷纷通过加壳、加花指令、修改文件特征码等技术推出了快速变种的“免杀病毒”,病毒变种速度之快、数量之多都是前所未有的。
面对病毒的频繁变种以及“免杀病毒”的盛行,传统的杀毒软件往往反应相对滞后,如何有效地防杀“免杀病毒”已经成为杀毒软件厂商亟需解决的问题。
集体“主动防御”
Morris也成为了Arpanet网的最大的电子入侵者,获得哈佛大学Aiken中心超级用户的特权。但他也因此被判3年缓刑,罚款1万美元,他还被命令进行400小时的新区服务。
某些蠕虫受害者在分析报告中指出:当蠕虫程序混入网络骗取了口令后,蠕虫程序已经获取了系统用户的特权,可以读取被保护的数据,蠕虫也就因此具备了进行严重破坏活动的能力。但是蠕虫现在还没有做,它造成的伤害只是让机器运转变得缓慢而已。
这说明当时的Morris已经具备了相当高的技巧,他曾单枪匹马破译了采用DES对称密码的口令,对DES密码,IBM曾组织了一批密码专家,花费了几周时间也未能破译。
Morris成为了上世纪80年代最有名的攻击者,被当时的计算机爱好者称为“可畏的恶作剧制造者”。如果他有意做恶毒攻击,那么蠕虫事件的后果将会更为严重。但那个年代的黑客们,显然很单纯。
江民、金山、瑞星、趋势科技、卡巴斯基、赛门铁克都在最近推出了全新的病毒防范工具。江民KV2008、瑞星2008、卡巴斯基7.0等这些工具都在与病毒的不断升级做着艰苦的斗争。
我国反病毒专家、东方微点公司创始人刘旭是第一个提出“主动防御”概念的人,他认为主动防御软件应当建立动态仿真反病毒专家系统,能够自动准确判定新病毒,并且能够自动提取特征值,自动更新本地特征值库,实现对病毒的主动防御。简单来讲,防病毒软件不应当依赖于病毒特征码的判断,而应当依靠动态仿真反病毒专家系统根据病毒程序运行的行为进行判定,就像一个专业反病毒人员人工判断病毒一样。
“主动防御”的概念已经成了目前病毒防御领域病毒防范的集体思想,集成了新BOOTSCAN、新系统监控、网页滤毒、未知病毒主动监控与虚拟机脱壳技术五大主动防御功能的江民KV2008,可以实时监控病毒,让号称“免杀”的病毒无处可逃。
江民总裁陶新宇说:“主动防御可以从根源上阻断了病毒来源,并从病毒行为入手,阻断未知病毒的动作,如写注册表、注入程序、复制病毒文件等行为,让病毒无任何发作机会。”
瑞星杀毒软件2008版目前正在公测,可以看到 “瑞星主动防御”是资源访问规则控制(HIPS)、资源访问扫描、恶意行为分析引擎等多种技术的统称,通过动态的对所有程序行为进行分析判定,综合系统加固、资源访问控制等方法,从整体上防范和遏制未知病毒的侵害。
卡巴斯基7.0中的“主动防御”取消了原有的Office防护项目,保留了应用程序活动分析、应用程序完整性控制,以及注册表防护。目前的方法是重点分析安装在计算机上应用程序的行为,监控系统注册表的改变以及发现隐蔽威胁。
从技术的角度来看,传统的以行为判断为核心的、动态的“主动防御”功能,如果能和静态的“病毒特征码查杀”结合,就能够产生非常好的信息安全防护效果。但是,主动防御功能易用性比较差,如果应用不好,很可能造成大量的误报、系统不稳定等情况。
因此,尽管业界公认“主动防御”是全球反病毒技术的发展方向,但是真正全面应用该技术的杀毒软件,在技术实现和用户使用方面,还有一段路要走。
如今“90”后的人很少有听说过“黑色星期五”这个说法的,他们听到最多的也许是“熊猫烧香”、“征途木马”和“QQ通行证”这类科技含量并不高明,但传播范围很广泛的Web病毒。
相对于传统的通过病毒码比对方式,强调高侦测率的防毒软件,已经不足以对抗短时间内不断自我上网更新的木马间谍、随时更换 IP 的网络钓鱼假网站、潜伏在许多知名网站的零时差漏洞攻击。
从趋势科技曾经发表的安全报告来看,来自网络安全的威胁,从2005年至今,成长率已经高达540%,而且信息窃取占绝大部分份额。
Web 威胁使得恶意程序代码可以经由很多方式让人们的生活陷入困境:它可能会窃取使用者的名称与密码,或是下载木马产生器;它可以绑架计算机成为僵尸网络进行其它犯罪;它甚至可以产生大量的弹出式窗口,将使用者折磨到底。
现在流行的“网页挂马”方式,是一种由黑客自己建立带毒的网站,或者攻击流量大的现有网站,在其中植入木马、病毒,用户浏览后就会中毒。可以快速的批量入侵大量计算机,非常快捷的组建僵尸网络、窃取用户资料。
当脚本木马侵入网站服务器之后,就会自动搜索硬盘上的所有网页文件,在其中批量插入网页木马,这样,当用户访问带毒网站时,就会被病毒感染。同时,这些被植入网站的木马病毒还特别智能化,它能够智能判断访问者使用的操作系统、浏览器等信息,找出其中可能存在的漏洞,然后执行针对每种漏洞的攻击程序。
从Cloner、Brain和Morris这些“良性”病毒开始,电脑病毒在25年内经过了爆炸式发展,在全世界迅速传播。尤其是互联网的应用普及之后,联结到互联网中的手机、PC、笔记本、PDA等设备显得脆弱不堪,非常容易被攻破。
病毒的发展也从最初的而恶意软件也从最初的小孩子的恶作剧,发展成一个巨大的产业。根据IDC的统计,全世界每年因为病毒造成的直接损失,可以达到数千亿美元。
IT史上九大病毒
1.Elk Cloner(1982年)
它被看作攻击个人计算机的第一款全球病毒,也是所有令人头痛的安全问题先驱者。它通过苹果Apple II软盘进行传播。这个病毒被放在一个游戏磁盘上,可以被使用49次。在第50次使用的时候,它并不运行游戏,取而代之的是打开一个空白屏幕,并显示一首短诗。
2.Brain(1986年)
Brain是第一款攻击运行微软的受欢迎的操作系统DOS的病毒,可以感染感染360K软盘的病毒,该病毒会填充满软盘上未用的空间,而导致它不能再被使用。
3.Morris(1988年)
Morris该病毒程序利用了系统存在的弱点进行入侵,Morris设计的最初的目的并不是搞破坏,而是用来测量网络的大小。但是,由于程序的循环没有处理好,计算机会不停地执行、复制Morris,最终导致死机。
4.CIH(1998)
CIH病毒是迄今为止破坏性最严重的病毒,也是世界上首例破坏硬件的病毒。它发作时不仅破坏硬盘的引导区和分区表,而且破坏计算机系统BIOS,导致主板损坏。
