Lecture 计算机病毒课件

Lecture4计算机病毒

1

提纲

计算机病毒综述

计算机反病毒技术的发展

计算机病毒寄生环境分析

计算机病毒的触发机制

2

第一部分

计算机病毒概论

3

Whichtypesofcomputersecurity

incidentshasyourorganizationdetected

withinthelast12months?

Hasyourorganization

experiencedunauthorizedaccesstocomputersystemswithinthe

last12months?

Source:2.OOSJE-tJIComputerCrimeSurvey

Whatapproximatedollarcostwouldyou

assigntothefollowingtypesofincidents

withinthelast12months?

TotalLoss

Il5552,500

□Websitedefacement

□Wirelessnetworkmisuse

$775,000

■Sabatogeofdataornetwork

S855,000□Telecomfraud

□Other

$867,500□Proprietaryinformationtheft

□DenialofService

$1,985,000

□Networkintrusion

$2,590,000□Financialfraud

□Laptop/Desktop/PDAtheft

$2,657,500□Viruses(includingwormsandtrojans)

$2775,000

$3,152,500

$3,537,500

$11,985,000

$0$2,000,000$4,000,000$6,000,000$8,000,000$10,000,000$12,000,000

Ifyourorganizationhasexperienceda

computersecurityincidentwithinthelast

12months,whichactionsdidyourorganizationtake?

Securitytechnologiesusedby

yourorganization

Other

Biometrics

Smartcards(card,PCMCIA,USB,etc.)

EncryptedFiles(forstorage)

IntrusionPrevention/DetectionSystem

WebsiteContentFiltering

EncryptedFiles(fortransfer)

EncryptedLogin

PasswordComplexityRequirements

VPNs

PeriodicRequiredPasswordChanges

PhysicalSecurity

AccessControlLists(serverbased)

Limitsonwhichuserscaninstallsoftware

AntispywareSoftware

AntispamSoftware

Firewalls

AntivirusSoftware

0%10%20%30%40%0%60%0%80%9%100%

计算机病毒

计算机病毒的定义

《中华人民共和国计算机信息系统安全保护条例》

第二十八条中明确指出:

“计算机病毒，是指编制或者在计算机程序中插入的破

坏计算机功能或者毁坏数据，影响计算机使用，并能

自我复制的一组计算机指令或者程序代码。”

此定义具有法律性、权威性。

9

病毒发展

第一代病毒

■第一代病毒的产生年限可以认为在1986—1989年之间，这一期间

出现的病毒可以称之为传统的病毒，是计算机病毒的萌芽和滋生

时期

■具有如下的一些特点

A病毒攻击的目标比较单一，或者是传染磁盘引导扇区，或

者是传染可执行文件

A病毒程序主要采取截获系统中断向量的方式监视系统的运

行状态，并在一定的条件下对目标进行传染

A病毒传染目标以后的特征比较明显，如磁盘上出现坏扇

区，可执行文件的长度增加、文件建立日期、时间发生变

A病毒程序不具有自我保护的措施，容易被人们分析和解

剖，从而使得人们容易编制相应的消毒软件10

病毒发展

O第二代病毒

■第二代病毒又称为混合型病毒，其产生的年限可以认为

在1989—1991年之间，病毒由简单发展到复杂，由单纯

引成熟

■这一林段的计算机病毒具有如下特点

A攻击目标趋于混合型，传染引导扇区和可执行文件

»不采用明显地截获中断向量的方法监视系统的运行，

而采取更为隐蔽的方法驻留内存和传染目标

A病毒传染目标后没有明显的特征，如磁盘上不出现坏

扇区，可执行文件的长度增加不明显

A病毒程序往往采取了自我保护措施，如加密技术、反

跟踪技术，增加了软件检测、解毒的难度

»出现许多病毒的变种，变种病毒较原病毒更隐蔽

11

病毒发展

。第三代病毒

■第三代病毒的产生年限可以认为从1992-1995

年，此类病毒称为“多态性”病毒。

■所谓“多态性'的含义是指此类病毒在每次传染目

标时，放入宿主程序中的病毒程序大部分都是可

变的，即在搜集到同一种病毒的多个样本中，病

毒程序的代码绝大多数是不同的，这是此类病毒

的重要特点。正是由于这一特点，传统的利用特

征码法检测病毒的产品不能检测出此类病毒

12

病毒发展

第四代病毒

■90年代中后期，随着远程网、远程访问服务的开通，病

毒流行面更加广泛，病毒的流行迅速突破地域的限制，首

先通过广域网传播至局域网内，再在局域网内传播扩散。

-1996年下半年随着国内Internet的大量普及，Email的使

用，Email内的WORD宏病毒成为病毒主流

■最大特点是利用Internet作为其主要传播途径，传播快、

隐蔽性强、破坏性大

■此外，随着Windows的应用，出现了Windows环境下的

病毒。这些都给病毒防治和传统DOS版杀毒软件带来新

的挑战

13

NameDescription

Anti-Anti-virusVirusAnti-antivirusvirusesattac

software.Also:Retrovirus

ArmoredVirusAnyvirusthattriestopreventanalysisofitscode.Itcanuseoneof

manymethodstodothis.

BimodalVirusAvirusthatinfectsbothbootrecordsaswellasfiles.

BootSectorInfectorAvirusthatplacesitsstartingcodeinthebootsector.Whenthe

computertriestoreadandexecutetheprograminthebootsector,the

virusgoesintomemorywhereitcangaincontroloverbasiccomputer

operations.Frommemory,abootsectorinfectorcanspreadtoother

drives(floppy,network,etc.)onthesystem.Oncethevirusisrunning,

itusuallyexecutesthenormalbootprogram,whichitstoreselsewhere

onthedisk.

CavityVirusesAvirusthatoverwritesapartofitshostfilewithoutincreasingthe

lengthofthefilewhilealsopreservingthehost'sfunctionalityinorder

tolimitordeterdetection.

CompanionVirusCompanionvirusesuseafeatureofDOSthatallows

softwareprogramswiththesamename,butwithdifferent

extensions,tooperatewithdifferentpriorities.Thevirus

createsaprogramwithahigherpriority,ensuringits

runninginsteadoftheoriginalprogram.14

DirectActionVAvirusthatimmediatelyloadsitselfintomemory,infectsfiles,

andthenunloadsitself.

DroppeAcarrierfilethatisusedtohidethevirusuntilitcanbe

unloadedontoasystem.

EncryptedVirusAnencryptedvirus'scodebeginswithadecryptionalgorithm

andcontinueswithscrambledorencryptedcodeforthe

remainderofthevirus.Eachtimeitinfects,itautomatically

encodesitselfdifferently,soitscodeisneverthesame.

Throughthismethod,thevirustriestoavoiddetectionbyanti­

virussoftware.

FastInfectorFastinfectorviruses,whenactiveinmemory,infectnotonly

executedprograms,butalsothosethataremerelyopened.Thus

runninganapplication,suchasanti-virussoftware,whichopens

manyprogramsbutdoesnotexecutethem,canresultinall

programsbecominginfected.

FileVirusesFilevirusesusuallyreplaceorattachthemselvestoCOMand

EXEfiles.TheycanalsoinfectfileswiththeextensionsSYS,

DRV,BIN,OVLandOVY.

Filevirusesmayberesidentornon-resident,themostcommon

beingresidentorTSR(terminate-and-stay-resident)viruses.

Manynon-residentvirusessimplyinfectoneormorefiles

wheneveraninfectedfileruns.

Logic(Mail/Time)BombAlogicbombisatypeoftrojanhorsethatexecuteswhen

specificconditionsoccur.Triggersforlogicbombscaninclude

achangeinafile,byaparticularseriesofkeystrokes,or花a

specifictimeordate

MacroVirusAmacrovirusisamaliciousseriesofinstiuctionsdesignedto

simplifyrepetitivetaskswithinaprogram.Macrovirusesare

writtenamacroprogramminglanguageandattachtoa

documentfile(suchasWordorExcel).Whenadocumentor

templatecontainingthemacrovirusisopenedinthetarget

application,thevirusruns,doesitsdamageandcopiesitself

•ointootherdocuments.Continualuseoftheprogramresultsin

thespreadofthevirus

MasterBootSectorVirusMasterbootsectorvirusesinfectthemasterbootsectorof

harddisks,thoughtheyspreadthroughthebootrecordof

floppydisks.Thevirusstaysinmemory,waitingforDOSto

accessafloppydisk.Ittheninfectsthebootrecordoneach

floppydiskDOSaccesses.

MemoryResistantVirusAvirusthatstaysinmemoryafteritexecutesandinfects

otherfileswhencertainconditionsaremet.

MultipartiteVirusMultipartitevirusesuseacombinationoftechniquesincluding

infectingdocuments,executablesandbootsectorstoinfect

computers.Mostmultipartitevirusesfirstbecomeresidentin

memoryandtheninfectthebootsectoroftheharddrive.

Onceinmemory,multipartitevirusesmayinfecttheentire

system.

16

MutatingVirusAmutatingviruschanges,ormutates,asitprogressesthrough

itshostfilesmakingdisinfectionmoredifficult.Theterm

(usuallyreferstovirusesthatintentionallymutate,though

j

\/someexpertsalsoincludenon-intentionallymutatingviruses.

Ky

OverwritingVirusAnoverwritingviruscopiesitscodeoveritshostfile'sdata,

thusdestroyingtheoriginalprogram.Disinfectionispossible,

althoughfilescannotberecovered.Itisusuallynecessaryto

deletetheoriginalfileandreplaceitwithacleancopy.

PolymorphicVirusPolymoiphicvirusescreatevaried(thoughfullyfunctional)

copiesofthemselvesasawaytoavoiddetectionfromanti­

virussoftware.Somepolymorphicvirususedifferent

encryptionschemesandrequiresdifferentdecryptionroutines.

Otherpolymorphicvirusesvaryinstructionsequencesanduse

falsecommandsintheattempttothwartanti-virussoftware.

Oneofthemostadvancedpolymorphicvirusesusesa

mutation-engineandrandom-numbergeneratorstochangethe

viruscodeanditsdecryptionroutine.

ProgramInfectorAprograminfectorvirusinfectsotherprogramfilesoncean

infectedapplicationisexecutedandtheactivatedvirusis

loadedintomemory.17

ResidentVirusAresidentvirusloadsintomemoryandremains

inactiveuntilatriggerevent.Whentheeventoccurs

thevirusactivates,eitherinfectingafileordisk,or

causingotherconsequences.Allbootvirusesare

residentvirusesandsoarethemostcommonfile

•oviruses.

Self-EncryptingVirusSelf-encryptingvirusesattempttoconceal

themselvesfromanti-virusprograms.Mostanti-virus

programsattempttofindvirusesbylookingfor

certainpatternsofcode(knownasvirussignatures)

thatareuniquetoeachvirus.Self-encryptingviruses

encryptthesetextstringsdifferentlywitheach

infectiontoavoiddetection.

Self-GarblingVirusAself-garblingvirusattemptstohidefromanti-virus

softwarebygarblingitsowncode.Whenthese

virusesspread,theychangethewaytheircodeis

encodedsoanti-virussoftwarecannotfindthem.A

smallportionoftheviruscodedecodesthegarbled

codewhenactivated.

SparseInfectorAsparseinfectorvirusesuseconditionsbefore

infectingfiles.Examplesincludefilesinfectedonly

onthe10thexecutionorfilesthathaveamaximum

sizeof128kb.Thesevirusesusetheconditionsto

infectlessoftenandthereforeavoiddetection.18

StealthVirusStealthvirusesattempttoconcealtheirpresencefromanti­

virussoftware.Manystealthvirusesinterceptdisk-access

requests,sowhenananti-vimsapplicationtriestoreadfiles

・\orbootsectorstofindthevirus,thevirusfeedstheprogram

\y

a"clean"imageoftherequesteditem.Otherviruseshidethe

actualsizeofaninfectedfileanddisplaythesizeofthefile

beforeinfection.

Stealthvirusesmustberunningtoexhibittheirstealth

qualities.

TrojanHorseProgramATrojanhorseprogramisamaliciousprogramthatpretends

tobeabenignapplication;aTrojanhorseprogram

purposefullydoessomethingtheuserdoesnotexpect.

Trojansarenotvirusessincetheydonotreplicate,butTrojan

horseprogramscanbejustasdestructive.

WonnWormsareparasiticcomputerprogramsthatreplicate,but

unlikeviruses,donotinfectothercomputerprogramfiles.

Wormscancreatecopiesonthesamecomputer,orcansend

thecopiestoothercomputersviaanetwork.Wormsoften

spreadviaIRC(InternetRelayChat).

ZooVirusAzoovirusexistsinthecollectionsofresearchersandhas

neverinfectedarealworldcomputersystem

19

History

1949:JohnVonNuemann-"TheoryandOrganizationof

ComplicatedAutomata99

1981:TheFirstVirus-AppleComputersatTexasA&M

1983:Cohen5sPhD-MathematicalVirus

1986:BasitandAmjad-“PakistanBrain55

1988:JerusalemReleased

1990:FirstAnti-Virus:NortonbySymantec

1991:PolymorphicVirusesintroduced

1992:420%increasesince1990

1995:Windows95andtheMacroVirus

1996:JavaCodeVirus

Today:100,000+

20

计算机病毒年谱一DOS引导阶段

♦：♦1987年，计算机病毒主要是引导型病毒，具有代表性的是“

小球”和“石头”病毒

当时得计算机硬件较少，功能简单，一般需要通过软盘启

动后使用。引导型病毒利用软盘得启动原理工作，它们修

改系统启动扇区，在计算机启动时首先取得控制权，减少

系统内存，修改磁盘读写中断，影响系统工作效率，在系

统存取磁盘时进行传播

21

计算机病毒年谱一DOS可执行阶段

♦：♦1989年，可执行文件型病毒出现，它们利用DOS系统加载

执行文件的机制工作，代表为”耶路撒冷"、"星期天”病毒

病毒代码在系统执行文件时取得控制权，修改DOS中断，

在系统调用时进行传染，并将自己附加在可执行文件中，

使文件长度增加

❖1990年，发展为复合型病毒，可感染COM和EXE文件

22

计算机病毒年谱一伴随，批次型阶段

♦：♦1992年伴随型病毒出现，利用DOS加载文件优先顺序工作

，具有代表性的是"金蝉'病毒

它感染EXE文件时生成一个和EXE同名的扩展名为COM伴

随体

它感染COM文件时，改为原来的COM文件为同名的EXE文

件，在产生一个原名的伴随体，文件扩展名为COM

这样，在DOS加载文件时，病毒就取得控制权

23

计算机病毒年谱一多形阶段

。1994年，随着汇编语言的发展，实现同一功能可以用不同

的方式进行完成，这些方式的组合使一段看似随机的代码

产生相同的运算结果

多形型病毒是一种综合性病毒，它既能感染引导区又能感

染程序区

24

计算机病毒年谱一生成器，变体机阶段

♦：♦1995年在汇编语言中，一些数据的运算放在不同的通用寄

存器中，可运算出同样的结果，随机的插入一些空操作和

无关指令，也不影响运算的结果，这样一段算法就可以由

生成器生成。当生成的是病毒时，这种复杂的称之为病毒

生成器和变体机就产生了

具有典型代表的是“病毒制造机"VCL,它可以在瞬间制造

出成千上万种不同的病毒，查解时就不能使用传统的特征

识别法，需要在宏观上分析指令，解码后查解病毒。变体

机就是增加解码复杂程度的指令生成机制

25

计算机病毒年谱一网络，蠕虫阶段

*1995年随着网络的普及，病毒开始利用网络进行传播，它

们只是以上几代病毒的改进

在非DOS操作系统中「蠕虫”是典型的代表，它不占用除内

存以外的任何资源，利用网络功能搜索网络地址，将自身

向下一地址进行传播，有时也在网络服务器和启动文件中

存在

26

计算机病毒年谱一宏病毒阶段

♦：♦1996年随着WindowsWord功能的增强，使用Word宏语言

也可以编制病毒，这种病毒使用类Basic语言，编写容易，

感染Word文档文件

在Excel和AmiPro出现的相同工作机制的病毒也归为此类。

由于Word文档格式没有公开，这类病毒查解比较困难

27

计算机病毒年谱一互连网阶段

♦：♦1997年随着因特网的发展，各种病毒也开始利用因特网进

行传播，一些携带病毒的数据包和邮件越来越多，如果不

小心打开了这些邮件，机器就有可能中毒

28

计算机病毒年谱一爪哇，邮件炸弹阶段

.：♦1997年随着万维网上Java的普及，利用Java语言进行传播

和资料获取的病毒开始出现，典型的代表是JavaSnake病毒

还有一些利用邮件服务器进行传播和破坏的病毒，例如

Mail-Bomb病毒，它就严重影响因特网的效率

29

病毒的命名

L“多视角命名”规则

♦：♦产生如下的情况

■不同的病毒有不同的名称

■多种不同的病毒按相同的视角而被认为是同一个病毒

■同一个病毒可能有多种不同的名称

30

病毒的命名

L“多视角命名”规则

♦：♦黑色星期五

■它攻击所有的COM文件和.EXE文件，使这两种文件增

加1808字节，且每运行一次都增加1808字节，直到占满

整个磁盘空间为止

■病毒进入内存以后大约三十分钟，屏幕左下方出现长方

形亮块或作有规律闪动，有时候还伴随着条形花纹

■到了机内系统日期是13日又恰逢星期五，病毒就开始大

发作，给用户造成极大损失

31

方法

命名方法病毒名称备注

序号K

1

触发时间黑色星期五病毒

从5个不同的视

2

表现症状长方块病毒，

角对同一个病

开窗口病毒

毒的5种命名方

3

传染方式疯狂复制病毒

法，产生了7个

4Jerusalem病毒

发现地点

不同的病毒名

51813病毒，

对感染文件增加的长度

1808病毒

Stoned病毒

6

自身宣布的名称

从5个不同的视