计算机病毒概论

计算机病毒概论第1页，共23页，2023年，2月20日，星期二本章概要

病毒、恶意代码和垃圾邮件是计算机系统中常见的安全威胁。这些安全威胁有以下共性：它们都是来自网络以外；它们使用或破坏计算机资源；它们通常在用户不知情或无意的情况下进入计算机系统。2第2页，共23页，2023年，2月20日，星期二课程目标通过本章的学习，读者应能够：定义恶意代码；描述恶意代码的一般特征；识别几种计算机恶意代码并能列举范例；识别几种特殊类型恶意代码并了解其特性；解释各种类型的恶意代码是如何进入计算机系统，以及是如何在计算机系统中传播的；了解可能感染恶意代码的系统所表现出的常见症状或行为。3第3页，共23页，2023年，2月20日，星期二9.1什么是病毒？

恶意代码或Malware，是一个可以中断或破坏计算机网络的程序或代码。一些恶意代码可以将自己附在宿主程序或文件中，而另一些恶意代码则是独立的。虽然一些恶意代码破坏力很小，但大多数破坏类型的恶意代码可能会降低系统运行速度，造成数据丢失和文件毁坏，注册表和配置文件被修改，或为攻击者创造条件，使其可以绕过系统的安全程序。

提示：病毒是恶意代码的一种形式。然而，病毒有某些其他类型恶意代码所没有的属性。例如，他们只感染可执行程序，不像其他恶意代码可能是独立的程序或能够感染数据文件。此外，病毒有许多不同类型；所以为了区分明确，我们将病毒作为单独的一个计算机威胁类型在第10章中讨论。4第4页，共23页，2023年，2月20日，星期二9.2病毒简史20世纪60年代初，美国贝尔实验室里，三位年轻的程序员编写了一个名为“磁芯大战”的游戏，游戏中通过复制自身来摆脱对方的控制，这就是所谓“病毒”的第一个雏形。

20世纪70年代，美国作家雷恩在其出版的《P1的青春》一书中构思了一种能够自我复制的计算机程序，并第一次称之为“计算机病毒”。

1983年11月，在国际计算机安全学术研讨会上，美国计算机专家首次将病毒程序在VAX/750计算机上进行了实验，世界上第一个计算机病毒就这样出生在实验室中。5第5页，共23页，2023年，2月20日，星期二

20世纪80年代后期，巴基斯坦有两个以编软件为生的兄弟，他们为了打击那些盗版软件的使用者，设计出了一个名为“巴基斯坦智囊”的病毒，该病毒只传染软盘引导。这就是最早在世界上流行的一个真正的病毒。

1988年至1989年，我国也相继出现了也能感染硬盘和软盘引导区的Stoned(石头)病毒，该病毒体代码中有明显的标志“YourPCisnowstoned！”、“LEGALISEMARIJUANA！”，也称为“大麻”病毒等。该病毒感染软硬盘0面0道1扇区，并修改部分中断向量表。6第6页，共23页，2023年，2月20日，星期二

该病毒不隐藏也不加密自身代码，所以很容易被查出和解除。类似这种特性的还有“小球”、Azusa/Hong－Kong/2708、Michaelangelo，这些都是从国外传染进来的。而国产的有Bloody、Torch、DiskKiller等病毒，实际上它们大多数是Stoned病毒的翻版。

20世纪90年代初，感染文件的病毒有Jerusalem(黑色13号星期五)、YankeDoole、Liberty、1575、Traveller、1465、2062，4096等，主要感染.COM和.EXE文件。这类病毒修改了部分中断向量表，被感染的文件明显的增加了字节数，并且病毒代码主体没有加密，也容易被查出和解除。7第7页，共23页，2023年，2月20日，星期二

这些病毒中，略有对抗反病毒手段的只有YankeeDoole病毒，当它发现你用Debug工具跟踪它的话，它会自动从文件中逃走。接着，又一些能对自身进行简单加密的病毒相继出现，有1366(DaLian)、1824(N64)、1741(Dong)、1100等病毒。它们加密的目的主要是防止跟踪或掩盖有关特征等。在内存有1741病毒时，用DIR列目录表，病毒会掩盖被感染文件所增加的字节数，使看起来字节数很正常。而1345－64185病毒却每传染一个目标就增加一个宇节，增到64185个字节时，文件就被破坏。8第8页，共23页，2023年，2月20日，星期二

以后又出现了引导区、文件型“双料”病毒，这类病毒既感染磁盘引导区、又感染可执行文件，常见的有Flip/Omicron、XqR(Newcentury)、Invader/侵入者、Plastique/塑料炸弹、3584/郑州(狼)、3072(秋天的水)、ALFA/3072－2、Ghost/OneHalf/3544(幽灵)、Natas幽灵王)、TPVO/3783等，如果只解除了文件上的病毒，而没解除硬盘主引导区的病毒，系统引导时又将病毒调入内存，会重新感染文件。如果只解除了主引导区的病毒，而可执行文件上的病毒没解除，一执行带毒的文件时，就又将硬盘主引导区感染。9第9页，共23页，2023年，2月20日，星期二Flip/Omicron(颠倒)、XqR(Newcentury新世纪)这两种病毒都设计有对抗反病毒技术的手段，Flip(颠倒)病毒对其自身代码进行了随机加密，变化无穷，使绝大部分病毒代码与前一被感染目标中的病毒代码几乎没有三个连续的字节是相同的，该病毒在主引导区只潜藏了少量的代码，病毒另将自身全部代码潜藏于硬盘最后6个扇区中，并将硬盘分区表和DOS引导区中的磁盘实用扇区数减少了6个扇区，所以再次启动系统后，硬盘的实用空间就减少了6个扇区。这样，原主引导记录和病毒主程序就保存在硬盘实用扇区外，避免了其他程序的覆盖，而且用Debug的L命令也不能调出查看，就是用Format进行格式化也不能消除病毒，可见，病毒编制者用意深切！与此相似的还有Denzuko病毒。10第10页，共23页，2023年，2月20日，星期二

XqR(Newcentury新世纪)病毒也有它更狡猾的一面，它监视着INT13、INT21中断有关参数，当你要查看或搜索被其感染了的主引导记录时，病毒就调换出正常的主引导记录给你查看或让你搜索，使你认为一切正常，病毒却蒙混过关。病毒的这种对抗方法，我们在此称为：病毒在内存时，具有“反串”(反转)功能。这类病毒还有Mask(假面具)、2709/ROSE(玫瑰)、One_Half/3544(幽灵)、Natas/4744、Monkey、PC_LOCK、DIE_HARD/HD2、GranmaGrave/Burglar/1150、3783病毒等，现在的新病毒越来越多的使用这种功能来对抗安装在硬盘上的抗病毒软件，但用无病毒系统软盘引导机器后，病毒就失去了“反串”(反转)功能。

1345、1820、PCTCOPY－2000病毒却直接隐藏在COMMAND.COM文件内的空闲(0代码)部位，从外表上看，文件一个字节也没增加。11第11页，共23页，2023年，2月20日，星期二

INT60(0002)病毒隐藏的更加神秘，它不修改主引导记录，只将硬盘分区表修改了两个字节，使那些只检查主引导记录的程序认为完全正常，病毒主体却隐藏在这两个字节指向的区域。硬盘引导时，ROM-BIOS程序糊里糊涂的按这两个字节的引向，将病毒激活。病毒太狡猾了，只需两个字节，就可以牵着机器的鼻子走！

Monkey(猴子)、PC_LOCK(加密锁)病毒将硬盘分区表加密后再隐藏起来，如果轻易将硬盘主引导记录更换，或用FDISK/MBR格式轻易将硬盘主引导记录更换，那么，就再进不了硬盘了，数据也取不出来了，所以，不要轻易使用FDISK/MBR格式。12第12页，共23页，2023年，2月20日，星期二1992年以来，DIR2－3、DIR2－6、NEWDIR2病毒以一种全新的面貌出现，具有极强感染力，无任何表现，不修改中断向量表，而直接修改系统关键中断的内核，修改可执行文件的首簇数，将文件名字与文件代码主体分离。在系统有此病毒的情况下，一切就像没发生一样；而当系统无病毒时，此时用无病毒的文件去覆盖有病毒的文件帜丫突岱⑸趟斜桓腥镜目芍葱形募谌荻际歉崭哺墙サ奈募谌。这是病毒“我死你也活不成”的罪恶伎俩。该病毒的出现，使病毒又多了一种新类型。

20世纪内，绝大多数病毒是基于DOS系统的，有80％的病毒能在Windows中传染。TPVO/3783病毒是“双料性”、(传染引导区、文件)“双重性”(DOS、Windows)病毒，这是病毒随着操作系统发展而发展。当然，Internet的广泛应用，Java恶意代码病毒也出现了。13第13页，共23页，2023年，2月20日，星期二

脚本病毒“HAPPYTIME(快乐时光)”是一种传染能力非常强的病毒。该病毒利用体内VBScript代码在本地的可执行性(通过WindowsScriptHost进行)，对当前计算机进行感染和破坏。即，一旦我们将鼠标箭头移到带有HAPPYTIME病毒体的邮件名上时，不必打开信件，就将受到HAPPYTIME病毒的感染，该病毒传染能力很强。14第14页，共23页，2023年，2月20日，星期二

近几年，出现了近万种Word(MACRO宏)病毒，并以迅猛的势头发展，已形成了病毒的另一大派系。由于宏病毒编写容易，不分操作系统，再加上Internet网上用Word格式文件进行大量的交流，宏病毒会潜伏在这些Word文件里，被人们在Internet网上传来传去。早在1995年时，出现了一个更危险的信号，病毒专家在对众多的病毒剥析中，发现部分病毒好像出于一个家族，其“遗传基因”相同，简单的说是“同族”病毒。但绝不是其他好奇者简单的修改部分代码而产生的“改形”病毒。15第15页，共23页，2023年，2月20日，星期二“改形”病毒的定义与“原种”病毒的代码长度相差不大，绝大多数病毒代码与“原种”的代码相同，并且相同的代码其位置也相同，否则就是一种新的病毒。大量具有相同“遗传基因”的“同族”病毒的涌现，使人不得不怀疑“病毒生产机”软件已出现。1996年下半年在国内终于发现了“G2、IVP、VCL”三种“病毒生产机软件”，不法之徒，可以用来编出千万种新病毒。目前国际上已有上百种“病毒生产机”软件。16第16页，共23页，2023年，2月20日，星期二

这种“病毒生产机”软件可不用绞尽脑汁的去编程序，便会轻易的自动生产出大量的“同族”新病毒。这些病毒代码长度各不相同，自我加密、解密的密钥也不相同，原文件头重要参数的保存地址不同，病毒的发作条件和现象不同，但是，这些病毒的主体构造和原理基本相同。“病毒生产机”软件，其“规格”有专门能生产变形病毒的、有专门能生产普通病毒的。目前，国内发现的、或有部分变形能力的病毒生产机有“G2、IVP、VCL病毒生产机等十几种。具备变形能力的有CLME、DAME－SP/MTE病毒生产机等。它们生产的病毒都有“遗传基因”于相同的特点。没有广谱性能的查毒软件，只能是知道一种，查一种，难于应付“病毒生产机”生产出的大量新病毒。17第17页，共23页，2023年，2月20日，星期二

据某报报导，香港地区已有人也模仿欧美的MutationEneine(变形金刚病毒生产机)软件编写出了一种称为CLME(CrazyLordMutationEneine)即“疯狂贵族变形金刚病毒生产机”，已放出了几种变形病毒，其中一种名为CLME.1528。国内也发现了一种名为CLME.1996、DAME－SP/MTE的病毒。更令人可恶的是，编程者公然在BBS站和国际互联网Internet中怂恿他人下传。“病毒生产机”的存在，随时存在着“病毒暴增”的危机！危机一个接一个，网络蠕虫病毒I－WORM.AnnaKournikova就是一种VBS/I-WORM病毒生产机生产的，它一出来，短时间内就传遍了全世界。这种病毒生产机也传到了我国。

Windows9x、Windows2000操作系统的发展，也使病毒种类和样随其变化而变化。18第18页，共23页，2023年，2月20日，星期二1999年2月，“美丽莎”病毒席卷欧美大陆，是世界上最大的一次病毒浩劫，也是最大的一次网络蠕虫大泛滥。

1998年2月，台湾省的陈盈豪编写出破坏性极大的Windows恶性病毒CIH-1.2版，并定于每年的4月26日发作破坏，然后，悄悄的潜伏在网上的一些供人下载的软件中。

1999年4月26日，一个计算机行业难以忘却的日子，也就是到了CIH－1.2病毒第二年的发作日，人们早晨上班打开计算机准备工作时，发现计算机屏幕一闪，接着就黑暗一片。再打开另外几台，也同样一闪后就再也启动不起来了……计算机史上，病毒造成的又一次巨大的浩劫发生了。随着Internet网的发展，使病毒传播更加方便、更加广泛，网络蠕虫病毒已成为病毒主力，这应使我们严加防范。19第19页，共23页，2023年，2月20日，星期二

最早的网络蠕虫病毒作者是美国的小莫里斯，他编写的蠕虫病毒是在美国军方的局域网内活动，但是，必需事先获取局域网的权限和口令。世界性的第一个大规模在Internet网上传播的网络蠕虫病毒是1998年底的Happy99网络蠕虫病毒，当你在网上向外发出信件时，HAPPY99网络蠕虫病毒会代替你的信件或随你的信件从网上传到发信的目标地，当1月1日到来时，收件人一执行便会在屏幕上不断爆发出绚丽多彩的礼花，然后机器就再也不干了。

1999年3月，欧美爆发了“Melissa”网络蠕虫宏病毒，欧美最大的一些网站频频遭受到堵塞，造成巨大经济损失。

2000年至今，是网络蠕虫在互联网上的泛滥期。20第20页，共23页，2023年，2月20日，星期二9.3病毒危害

计算机病毒的危害主要表现在3个方面，一是破坏文件或数据