IT人员的困绕:互联网早期的病毒传播

安全
本文主要与大家一起回顾了互联网的早期,对网络信赖不太严重的时代影响较大的三类病毒。希望大家能够理解和掌握。

病毒的传播和计算机的应用密切相关,在整个Windows 9x时代,CDROM和软盘在病毒传播中起着至关重要的作用。网络应用也日益兴旺,那应该是中国互联网产业最初的创业潮。软件店里最火的商品,除了杀毒软件,还有一样东西,估计现在的网民都不一定见过。那是各个不同ISP出售的上网卡,卡片上写着如何用Windows 95,Windows 98,或Windows Me来创建拨号网络,拨不同的号,计费标准和网速不一样。

以下介绍几类令人印象深刻的病毒:

1.引导区病毒boot.polyboot(瑞星叫boot.wyx)

因为Windows9x仍然没有完全摆脱DOS,操作系统的启动可以理解为先启动DOS7,再加载Windows外壳。软驱仍是电脑的标配,企业办公网内交换数据,除了邮件之外,比较多的使用软盘。很多人用软盘时有个不良习惯:他的软驱中总有一张盘塞在里面,不管这个盘是不是引导盘。在这种情况下,引导区病毒就会在交换使用软盘的过程中广泛传播。

一台正常的计算机仅读取带boot.polyboot病毒的软盘是不会染毒的,风险在于,这台计算机下次启动时,如果这张有毒的软盘仍在软驱里,开机时,软盘里的病毒就进入内存,感染硬盘。接下来,所有在这台计算机上写入过数据的软盘都将会polyboot引导区病毒感染。这些软盘,再去感染更多的硬盘。

重启是引导区病毒感染的重要时机,而那个时候的Windows9x(包括Windows95/98/me)特别不争气,动不动就给你来张大蓝脸,重启了。这个引导区病毒不发作,系统不会有任何异常,一旦发作,病毒会将正常的硬盘分区表和主引导记录改写,导致系统不能启动或者分区丢失,数据因此不能访问。

杀毒软件对引导区病毒通常不敢轻易处置。因引导区病毒比较多,每种破坏分区表的情况不完全一致,用户的使用水平也参差不齐,如果处理不当,又会造成分区无法访问数据丢失的严重后果。杀毒软件处理这种病毒时,一般会建议用户备份损坏的分区表,然后才去执行清除操作。

至今我仍记得用下面这种通用的办法对付引导区病毒:使用干净的Windows9x命令行,执行format a:/s创建干净的Windows9x启动软盘,软盘启动,执行fdisk/mbr,再执行sysc:来搞定引导区病毒。Windows2000或Windows XP就用光盘引导至故障恢复控制台(一个类似DOS的界面),执行fixmbr和fixboot。

现在,也有改写主引导记录的特殊病毒,比如鬼影、TDSS rootkit,这两个病毒都造成了十分恶劣的影响。鬼影寄生在MBR上,启动病毒木马下载器,中毒电脑会下载很多盗号木马,安装流氓软件。TDSS rootkit是技术高超的后门程序,全球范围内构造了超过300万台PC组成的僵尸网络,感染之后,完全隐藏自身,极难清除,病毒现在主要做广告营销,同时极其危险,被控制的僵尸电脑随时可以用作特殊目的。

2.感染型病毒(funlove,CIH)

funlove病毒会感染这台机器上所有的EXE文件,包括局域网内有可写权限的共享路径(我很奇怪那个时候怎么有很多网管使用共享服务时,习惯于使用完全共享,而不是授权访问和只读共享)。感染后的EXE文件长度会增大,启动被感染的程序时,运行速度会变慢。反复中毒,反复杀毒。结果很快这些EXE就完全损坏,运行就报告错误的win32程序。那个时候,最困扰的问题就是反复中毒,用户因为没有解决防毒的根本问题而反复中毒,对杀毒软件的抱怨也比较多。

类似的感染型病毒,杀毒软件通常显示的病毒名前辍为“win32.”,表示,这是一个Windows32位平台下运行的病毒,中了感染型病毒的特点就是会发现很多EXE中了同一种win32病毒。大部分系统程序文件在感染型病毒后,使用杀毒软件修复到基本正常可用的状态,但也并不都是如此。

有的感染型病毒会出现某些意外,比如熊猫烧香病毒。因李俊同学的程序存在BUG,使得每一个被熊猫烧香病毒感染的EXE文件都有一个熊猫的图标,这其实并非作者李俊故意用图标招摇,实际是感染动作存在BUG,这个图标让李俊同学一举成名。

有一些技术实力很强的感染型病毒,比如Virut,这是个罕见的技术型病毒,病毒会尝试加密变形,使每次感染造成的破坏不尽相同,杀毒软件要想修复被破坏的EXE,就得仔细分析感染原理,这个virut病毒折磨珠海最NB的毒霸分析员boom好几天没睡觉。据说珠海金山后来对病毒分析师增加了一项考核,加薪升职必须满分通过:完整分析病毒virut。

还有一些概念型的感染型病毒,至今杀毒厂商都不能修复。这些病毒是那些技术高超的病毒作者刻意和杀毒厂商的工程师叫板,这类概念型病毒,也没有蓄意大规模传播。有些病毒作者没有设计复杂的感染动作,而是用病毒自身覆盖了大量EXE程序文件,染毒文件本身已经没有修复价值。杀毒软件对这类感染型,只能删除解决。

3.宏病毒

自从微软的Office成为办公软件的统治者之后,宏病毒就困绕着办公一族。在软盘时代,很多公文是通过软盘交换的。早期计算机病毒多用机器语言编写,掌握病毒程序开发有较高门槛。而宏病毒使用VBA语言编写,那时候学习VB的人非常多。在处理大量办公业务时,宏功能是文档分析师们的大爱。可以根据业务需要,编写宏功能自动完成一些重复操作。而喜欢恶作剧的人,就用VBA写了大量宏病毒。

大多数宏病毒是出于恶搞的目的,比如,办公的时候,弹出一个数学题让你做,做对了关闭,做错了,就继续下一道题。或自动打开很多文档,把计算机资源耗尽。但也有非常恶劣的宏病毒,其中有个杀手13的宏病毒就设定为日期+月份=13时(5月8日,6月7日等)发作,发作后,病毒创建一个批处理autoexec.bat,deltreec:\*.*/y,就在你下次开机的时候,删除C盘的所有文件。

宏病毒刚刚兴起时,据传微软并不公布Office文档的格式,杀毒厂商必须得摸着石头过河,自己分析Office文档。对宏病毒处理效果差的杀毒软件,会将病毒和文档一起消灭。办公一族中,交换DOC、XLS是非常普遍的行为。病毒发作时,会发现办公室里所有的机器都不能正常处理文档。

宏病毒的泛滥直到Office升级到Office2003之后才逐步减少,微软修补了一些安全漏洞,在打开Office文档时提醒是否运行宏,默认将宏的运行等级提高,使宏功能的应用受限。最重要的原因,是病毒作者的兴趣点转移,不再以折腾Office为乐了。但宏病毒并未就此消失,在Office文档作为标准文档流转的企业网络,仍然有一定的感染量。现在,有一类特别的通过Office文档传播的攻击程序,它的实质并不是宏病毒,而是寄生在Office文档中的木马程序。

病毒的攻击方式是利用Office程序的0day漏洞或Flash Player的0day漏洞,将特别构造的内嵌攻击代码的Office文档通过电子邮件发送给攻击目标。接收者打开这种文档,内嵌的攻击程序即被激活。防止这类危险程序只能靠及时升级Office程序,或升级Flash Player。

【编辑推荐】

  1. 巧用安全软件防遭截屏
  2. 3G无线市场缺乏有效监控措施
  3. 计算机安全之认清木马的原理
  4. 移动互联网时代下的信息安全
  5. 五种方法让员工成为数据安全的保护神
  6. 保护企业无线网络安全 要采取适当措施
责任编辑:佚名 来源: 机房360
相关推荐

2011-04-01 16:59:20

2016-05-25 10:29:45

2015-05-28 16:11:07

互联网+

2021-06-15 11:16:24

网络安全U盘软件

2016-03-31 16:37:47

2018-08-15 09:02:59

产业互联网工业互联网物联网

2010-09-10 14:14:55

群发邮件蠕虫病毒

2015-06-24 15:35:54

2017-08-03 16:37:35

互联网法院司法

2011-08-19 11:33:32

2012-06-26 13:18:23

互联网公社

2009-09-18 09:12:10

2013-03-08 09:41:06

宜搜移动互联网洗脑

2019-12-11 15:05:27

互联网IT云计算

2015-12-08 09:04:00

2019-04-10 21:33:34

2010-05-14 15:35:21

2014-01-15 14:35:35

云计算

2009-02-20 09:02:42

谷歌互联网温顿·瑟夫

2014-03-19 16:11:04

移动互联网的颠覆和延伸
点赞
收藏

51CTO技术栈公众号