病毒的传播和计算机的应用密切相关,在整个Windows 9x时代,CDROM和软盘在病毒传播中起着至关重要的作用。网络应用也日益兴旺,那应该是中国互联网产业最初的创业潮。软件店里最火的商品,除了杀毒软件,还有一样东西,估计现在的网民都不一定见过。那是各个不同ISP出售的上网卡,卡片上写着如何用Windows 95,Windows 98,或Windows Me来创建拨号网络,拨不同的号,计费标准和网速不一样。
以下介绍几类令人印象深刻的病毒:
1.引导区病毒boot.polyboot(瑞星叫boot.wyx)
因为Windows9x仍然没有完全摆脱DOS,操作系统的启动可以理解为先启动DOS7,再加载Windows外壳。软驱仍是电脑的标配,企业办公网内交换数据,除了邮件之外,比较多的使用软盘。很多人用软盘时有个不良习惯:他的软驱中总有一张盘塞在里面,不管这个盘是不是引导盘。在这种情况下,引导区病毒就会在交换使用软盘的过程中广泛传播。
一台正常的计算机仅读取带boot.polyboot病毒的软盘是不会染毒的,风险在于,这台计算机下次启动时,如果这张有毒的软盘仍在软驱里,开机时,软盘里的病毒就进入内存,感染硬盘。接下来,所有在这台计算机上写入过数据的软盘都将会polyboot引导区病毒感染。这些软盘,再去感染更多的硬盘。
重启是引导区病毒感染的重要时机,而那个时候的Windows9x(包括Windows95/98/me)特别不争气,动不动就给你来张大蓝脸,重启了。这个引导区病毒不发作,系统不会有任何异常,一旦发作,病毒会将正常的硬盘分区表和主引导记录改写,导致系统不能启动或者分区丢失,数据因此不能访问。
杀毒软件对引导区病毒通常不敢轻易处置。因引导区病毒比较多,每种破坏分区表的情况不完全一致,用户的使用水平也参差不齐,如果处理不当,又会造成分区无法访问数据丢失的严重后果。杀毒软件处理这种病毒时,一般会建议用户备份损坏的分区表,然后才去执行清除操作。
至今我仍记得用下面这种通用的办法对付引导区病毒:使用干净的Windows9x命令行,执行format a:/s创建干净的Windows9x启动软盘,软盘启动,执行fdisk/mbr,再执行sysc:来搞定引导区病毒。Windows2000或Windows XP就用光盘引导至故障恢复控制台(一个类似DOS的界面),执行fixmbr和fixboot。
现在,也有改写主引导记录的特殊病毒,比如鬼影、TDSS rootkit,这两个病毒都造成了十分恶劣的影响。鬼影寄生在MBR上,启动病毒木马下载器,中毒电脑会下载很多盗号木马,安装流氓软件。TDSS rootkit是技术高超的后门程序,全球范围内构造了超过300万台PC组成的僵尸网络,感染之后,完全隐藏自身,极难清除,病毒现在主要做广告营销,同时极其危险,被控制的僵尸电脑随时可以用作特殊目的。
2.感染型病毒(funlove,CIH)
funlove病毒会感染这台机器上所有的EXE文件,包括局域网内有可写权限的共享路径(我很奇怪那个时候怎么有很多网管使用共享服务时,习惯于使用完全共享,而不是授权访问和只读共享)。感染后的EXE文件长度会增大,启动被感染的程序时,运行速度会变慢。反复中毒,反复杀毒。结果很快这些EXE就完全损坏,运行就报告错误的win32程序。那个时候,最困扰的问题就是反复中毒,用户因为没有解决防毒的根本问题而反复中毒,对杀毒软件的抱怨也比较多。
类似的感染型病毒,杀毒软件通常显示的病毒名前辍为“win32.”,表示,这是一个Windows32位平台下运行的病毒,中了感染型病毒的特点就是会发现很多EXE中了同一种win32病毒。大部分系统程序文件在感染型病毒后,使用杀毒软件修复到基本正常可用的状态,但也并不都是如此。
有的感染型病毒会出现某些意外,比如熊猫烧香病毒。因李俊同学的程序存在BUG,使得每一个被熊猫烧香病毒感染的EXE文件都有一个熊猫的图标,这其实并非作者李俊故意用图标招摇,实际是感染动作存在BUG,这个图标让李俊同学一举成名。
有一些技术实力很强的感染型病毒,比如Virut,这是个罕见的技术型病毒,病毒会尝试加密变形,使每次感染造成的破坏不尽相同,杀毒软件要想修复被破坏的EXE,就得仔细分析感染原理,这个virut病毒折磨珠海最NB的毒霸分析员boom好几天没睡觉。据说珠海金山后来对病毒分析师增加了一项考核,加薪升职必须满分通过:完整分析病毒virut。
还有一些概念型的感染型病毒,至今杀毒厂商都不能修复。这些病毒是那些技术高超的病毒作者刻意和杀毒厂商的工程师叫板,这类概念型病毒,也没有蓄意大规模传播。有些病毒作者没有设计复杂的感染动作,而是用病毒自身覆盖了大量EXE程序文件,染毒文件本身已经没有修复价值。杀毒软件对这类感染型,只能删除解决。
3.宏病毒
自从微软的Office成为办公软件的统治者之后,宏病毒就困绕着办公一族。在软盘时代,很多公文是通过软盘交换的。早期计算机病毒多用机器语言编写,掌握病毒程序开发有较高门槛。而宏病毒使用VBA语言编写,那时候学习VB的人非常多。在处理大量办公业务时,宏功能是文档分析师们的大爱。可以根据业务需要,编写宏功能自动完成一些重复操作。而喜欢恶作剧的人,就用VBA写了大量宏病毒。
大多数宏病毒是出于恶搞的目的,比如,办公的时候,弹出一个数学题让你做,做对了关闭,做错了,就继续下一道题。或自动打开很多文档,把计算机资源耗尽。但也有非常恶劣的宏病毒,其中有个杀手13的宏病毒就设定为日期+月份=13时(5月8日,6月7日等)发作,发作后,病毒创建一个批处理autoexec.bat,deltreec:\*.*/y,就在你下次开机的时候,删除C盘的所有文件。
宏病毒刚刚兴起时,据传微软并不公布Office文档的格式,杀毒厂商必须得摸着石头过河,自己分析Office文档。对宏病毒处理效果差的杀毒软件,会将病毒和文档一起消灭。办公一族中,交换DOC、XLS是非常普遍的行为。病毒发作时,会发现办公室里所有的机器都不能正常处理文档。
宏病毒的泛滥直到Office升级到Office2003之后才逐步减少,微软修补了一些安全漏洞,在打开Office文档时提醒是否运行宏,默认将宏的运行等级提高,使宏功能的应用受限。最重要的原因,是病毒作者的兴趣点转移,不再以折腾Office为乐了。但宏病毒并未就此消失,在Office文档作为标准文档流转的企业网络,仍然有一定的感染量。现在,有一类特别的通过Office文档传播的攻击程序,它的实质并不是宏病毒,而是寄生在Office文档中的木马程序。
病毒的攻击方式是利用Office程序的0day漏洞或Flash Player的0day漏洞,将特别构造的内嵌攻击代码的Office文档通过电子邮件发送给攻击目标。接收者打开这种文档,内嵌的攻击程序即被激活。防止这类危险程序只能靠及时升级Office程序,或升级Flash Player。
【编辑推荐】