计算机病毒及其发展趋势
2023-06-04
来源:榕意旅游网
第37卷 第11期 、bl-37 ・计算机工程 2011年6月 June 2011 NO.11 Computer Engineering 安全技术・ 文章编号:1000--.3428(2011)11—0149L’-_o3 文献标识码:A 中图分类号:TP393 计算机病毒及其发展趋势 肖英 ,邹福泰 (1.井冈山大学信息与传媒学院,江西吉安343009;2.上海交通大学信息安全工程学院,上海200030) 摘要:通过对计算机病毒的基本属性以及结构的介绍,提高网络用户对计算机病毒的理解。分析和总结计算机病毒的发展趋势,介绍计 算机病毒所采用的隐藏、多形性、社会工程、动态更新、混合攻击、数据关联、新型媒介、速度为王、恶意攻击、跨越平台等十大技术及 发展方向,为科研技术人员和反病毒厂商防治计算机病毒提供有价值的参考。 关健词:计算机病毒;病毒结构;病毒演变;病毒感染 Computer Virus and Its Development Trend XIAO Ying .ZOU Fu.tai (1.School of Information and Media,Jinggangshan University,Ji’an 343009,China; 2.School of Information Security Engineering,Shanghai Jiaotong University,Shanghai 200030,China) [Abstract]This paper introduces the basic properties and structure of computer viruses,it can help network users to increase the understanding of computer viruses.And analyses and summarizes the development trends of computer viruses,introduces the top ten technical and developmental directions:stealth,polymorphism,social engineering,dynamic updates,blended attacks,associated data,new media,speed king,malware/rtojan attacks,crossplatform.They provides valuable reference for scientific and technical personnel and anti—virus vendors to prevent computer viurses. [Key words]computer virus;virUS structure;virus evolution;virus infection D0I:10.3969/j.issn.1000—3428.2011.11.051 1概述 码,实施破坏 。 跟据国际上的统计分析表明,计算机病毒每天产生十多 (4)1994年2月18日, 中华人民共和国计算机信息系统 种,目前已达数万种。国内90%的计算机遭受过病毒的攻击。 安全保护条例 第28条给计算机病毒所下的定义是:计算机 随着我国的对外开放,各种正常进13和非法拷贝的计算机软 病毒,是指编制或者在计算机程序中插入的破坏计算机功能 件数量迅速增加,国际上各种计算机病毒大量传入我国。而 或者毁坏数据,影响计算机使用,并能自我复制的一组计算 居高不下的盗版软件使用率使得我国绝大多数计算机受到病 机指令或者程序代码。 毒的攻击。本文通过对计算机病毒及其发展趋势的介绍,提 (5)国内有学者把计算机病毒定义为:计算机病毒是一种 高网络用户对计算机病毒的理解和增强网络安全意识。 程序,它用修改其他程序或与其他程序有关信息的方法,将 2计算机病毒定义 自身的精确拷贝或者可能演化的拷贝放入或链入其他程序, 尽管计算机病毒作为一个名词已得到广泛的认识,但是 从而感染其他程序 I。 其真正的定义却略显得模糊。一方面精确定义是否为计算机 (1)、(2)、(5)对计算机病毒的定义与(3)、(4)定义的区别 病毒的特征存在一定的困难性,另一方面计算机病毒也在随 是:前一种观点认为计算机病毒是具有感染性,但不一定具 着技术的发展而不断发展。下面是有关计算机病毒的文献给 有破坏性的计算机程序,而后一种观点认为计算机病毒是不 出的一些定义,它们反映了不同的侧重点: 仅具有感染性,还必须具有破坏性的计算机程序。是否具有 (1)计算机病毒之父弗雷德・科恩博士1984年把计算机 破坏性是两者的根本区别。本文倾向于后者,认为计算机病 病毒定义为:计算机病毒是一种计算机程序,它通过修改其 毒技术应当考虑更广泛的程序,特别是那些具有破坏性的 他程序把自身或其演化体插入它们中,从而感染它们…。并 程序。 .于1988年强调:计算机病毒不是利用操作系统的错误或缺陷 3计算机病毒结构 的程序。它是正常的用户程序,它仅使用那些每天都使用的 通过对目前的计算机病毒分析,可把计算机病毒的结构 正常操作 J。 表达为以下3个主要构成机制: (2)Hambung大学计算机病毒测试中心的Vesselin (1)感染(Infect)。感染机制可定义为病毒传播的途径或 Bontchev认为:计算机病毒是一种自我复制程序,它通过修 方式。 改其他程序或它们的环境来“感染”它们,使得一旦调用“被 (2)触发(Trigger)。触发机制定义为决定是否在此时传送 感染”的程序就意味着(implies)调用“病毒”的演化体,在多 数情况下,意味着调用与“病毒”功能相似的拷贝 】。 基金项目:教育部科研基础设施示范基金资助项目(CNGI2008—106) (3)美国Command Software Systems公司的安全专家认 作者倚介:肖英(1965一),女,副教授、硕士,主研方向:计算机 为:计算机病毒是一种程序,在某环境下,在你未知或未经 病毒结构;邹福泰,讲师、博士 你同意,通过控制你的计算机系统,复制自身、修改执行代 收稿日期:2010—11—04 E-mail:mengya11@126.corn 150 计算机工程 2011年6月5日 载荷(若存在载荷)。 (3)载荷(Payload)。载荷机制定义为除了自我复制以外的 所有动作(若其存在)。 因此,若程序定义为病毒,只有感染机制的存在是强制 性的,而有效载荷和触发机制是非强制性的。 未来趋势:已经看到各种邮件蠕虫病毒采用了社会工程。 它仍然将广泛地存在,与社会心理学的结合将更好地发挥它 的效用。 (4)动态更新(Dynamic Updates) 目前的病毒技术已经开始采用动态更新技术。2000年 10月,Hybris蠕虫 作为E—mail邮件附件传播。它连接到 4计算机病毒的发展趋势 本文通过对过去病毒发展所采用的一系列重要的创新技 术来展示病毒的发展趋势。 (1)隐藏(Stealth) alt.comp.virus新闻组来接收加密的plug—in(代码更新)。这种 方式是复杂而且潜在的危害性极大,因为蠕虫的有效载荷 (payload,破坏性模块)能够动态地被修改,从而病毒有不同 隐藏对于计算机病毒来说是重要的技术。因为病毒要得 到有效而广泛的传播,尽可能地被晚发现是关键。常用的隐 藏技术有:1)当检测病毒时,给出的信息似乎病毒不存在。 的表现形式和破坏。2003年的Lirva蠕虫试图连接到Web. host.kz来下载一个臭名昭著的远程控制软件BackOrifice。 未来趋势:很明显这种动态更新技术的使用越来越广泛。 2)将病毒隐藏到特殊的物理空间。3)主动防卫。病毒和蠕虫 已经试图对感染病毒机器上安装的反病毒软件进行主动攻击 来做隐藏。 未来趋势:隐藏技术的进展可能设想通过数字水印技术 来隐藏病毒(参考数据关联技术);也可能通过操作系统或者 网络层次的复杂化而在这些不对用户公开的层次进行隐藏 (如DIR2病毒);网络的隐藏,如采用编码技术(red—code); 心理学也将用于隐藏,如利用人的好奇心或者对于知名品牌 的信赖(如Beagle病毒伪造知名的应用软件,如WinAmp、 Ad0bePhotoshop等);主动防卫技术必然会成为病毒隐藏的重 要手段,甚至可能形成病毒专杀反病毒软件与反病毒软件之 间的激烈斗争。 (2)多形性(Polymorphism) 多形性技术是指病毒通过简单的加密技术从而改变自身 的形态。1)一种是从简单的“随机的”数字着手,例如发生 病毒感染时系统时间的时域值,然后在病毒代码的每个字节 处加上一个简单的密码。2)多形化工程。多形化工程是一组 代码,这组代码被添加到病毒上,以使同种病毒在每次复制 时都改变它的形态。多形化工具的出现使得反病毒软件检测 困难。1995年的Pathogen和Queeg是用Black Baron的 SMEG(Simulated Metamorphic Encryption enGine)产生的多形 化的DoS文件病毒。 未来趋势:变形病毒的特征是使得病毒自身的代码和结 构在时间、空间上发生变化,从而不能够被特征串化而识别。 当前网络化的迅速发展,将使得空间不再局限于单机空间, 而扩展到网络中去。即它将表现在不同机器上而有所不同, 这使得其破解算法分析复杂化;另一方面,在时间上病毒将 自变异,不仅是感染时刻的病毒变形,而且是病毒生存期间 也自进化自己的代码,这可以通过其自身含有病毒变形机来 实现;此外,最近发现的病毒Hybris表明病毒可采用模块化 组织,并通过IRC或者特定网站进行自我更新,表现出更高 的智能性。 (3)社会工程(Social Engineering) 社会工程是指通过非技术的途径来破坏安全。实际上, 社会工程一直是一种非常有效的计算机破坏工具,而且被广 泛地用于病毒和特洛伊木马的各种行动中。1987年的 Christnia Exec蠕虫病毒是社会工程的一个早期例子,通过 E—mail在IBM主机传播。邮件消息向使用者许诺一张圣诞卡, 而且也确实在终端屏幕上显示了一个模糊的松球开头,使用 一种名为REXX的脚本语言。但同时它也送它自身的一个拷 贝到外出邮件列表。接收者由于相信此E—mail来自该用户, 因此更可能打开此E—mail。 未来的趋势是病毒越来越模块化自组织,它的3个模块(感 染、载荷、触发)均可能动态更新,从而病毒的特征形态更难 察觉,更难以清除。此外,病毒还可以将自身化为多个部分 组成,各部分隐藏在网络中需要时再进行自组织,并且这种 自组织具有多形性。这样,病毒变化不仅在载荷形态上而且 也在自身的感染和攻击特性上。P2P自组织技术结合这些更 新技术,能够为病毒设计提供更广阔的发展空间,是一个新 的发展方向。 (5)混合攻击(Blended Attacks) 所谓混合攻击,一方面是指在同一次攻击中,既包含病 毒攻击、黑客攻击,也包含隐通道攻击、拒绝服务攻击,并 可能包含口令攻击、路由攻击、中间人攻击等多种攻击方式; 另一方面是指攻击来自不同的地方或来自系统的不同部分, 如服务器、客户端、网关等。混合攻击可以更快地在更多计 算机上扩散病毒,造成更大危害。混合攻击的目标主要有微 软的IIS服务器、IE浏览器等。 未来趋势:混合攻击是病毒复杂性的必然趋势,也是黑 客手段与计算机病毒技术日渐紧密结合的表现。未来病毒越 来越能将各种攻击手段结合在一起,从而提高自己的生存能 力和影响能力。 (6)数据关联(Data Associated) 数据文件往往被视为不可以传播病毒。但是若其含有可 解释或可执行的指令,则它也可以传播病毒。这是病毒可利 用的数据关联性,称此类病毒为译码病毒。此类病毒通常采 用宏和脚本,简单易用,且需要适当程序解释执行。由于其 具有的解释性,因此是跨平台的。 2O世纪90年代中期,宏病毒处于支配地位。大多数宏 病毒目标针对于微软的办公文档,因为这些文件将宏代码保 存在文档内。Concept是第1个宏病毒,作用于Win95下的 Word文档。Melissa,Taiwan NO.1B为肆虐一时的宏病毒。宏 能够将数据文件或目标程序连接在一起,从而可以在一个 HTML电子邮件内隐藏一个JavaScript脚本或者Word文档内 隐藏一个Word宏。 未来趋势:尽管宏病毒的优点是容易编写并且平台独立, 但是微软发布的产品已做了一定预防,当公众越来越小心来 找开宏时,这种传播受到较大的局限性。新的趋势可能是针 对其他一些新型脚本环境如Jscript、VBS等。此外,数据关 联具有较大欺骗性,病毒仍然会在其上面做一定的努力。 (7)新型媒介(New Media) 病毒传播已经从软磁盘、光碟等移动媒介,发展到 Internet网络,特别是最近已将将应用程序也作为新型的传播 媒介。 第37卷第l1期 肖英,邹福泰:计算机病毒及其发展趋势 151 Linux下的Slapper病毒,出现在2002年9月,是最初 利用P2P技术的病毒之一。它利用了Apache1.3 Web Server 的被mod—ssl模块使用的libssl库中的长SSL2(Secure Sockets Layer 2)关键字参数的缓存溢出漏洞。当蠕虫感染一个新机器 时,它监控UDP2002端口,成为P2P网络的一部分。蠕虫将 它自身送到P2P网络上的每一机器并且在网络上广播新的蠕 虫地址,并周期性更新主机列表。新的蠕虫也扫描随机选择 的B类网络以寻找其他有漏洞的机器。 未来趋势:病毒的网络化是病毒寻找更快的感染和更大 的影响的必然趋势。新的网络媒介如P2P、IRC、ICQ已成为 病毒传播的有效方式。一些新的应用已经展示了它们的威力, 从而可能会有不同于一般病毒的传播。当前建设的Grid平台 以及P2P共享应用系统以及MSN、OlCQ等即时通信工具, 是病毒已经传播或者潜在的传播途径。不仅利用P2P网络、 Grid网络,更具特性的P2P病毒、Grid病毒在不久的将来也 许就会出现。 (8)速度为王(Speed King) 病毒在利用漏洞的速度和传播速度都在加快。近年来, 新的计算机系统安全漏洞不断被发现。2002年,根据 Symantec统计,新发现漏洞的数目比2001年增加了82%; 2003年,新发现漏洞的数量继续增加,仅上半年就达到了 1 432个。在这些漏洞中,大部分的漏洞的危险程度为中等或 严重,而且超过一半的漏洞可以被远程攻击。大量系统漏洞 的发现,使计算机网络很容易遭受攻击。研究显示,网络攻 击者热衷于攻击新发现的漏洞。在所有新攻击方法中,64% 的攻击针对一年之内发现的漏洞。有些漏洞的发现相距针对 此漏洞的攻击爆发的时间相当短,以致于很多网络管理员还 来不及给系统打补丁。例如红色代码(Code Red)蠕虫大规模 爆发距相应漏洞被公布的时间仅为28天。表1是近年来一些 漏洞发现到攻击爆发的时间间隔。 表1一些漏滑发现刭攻击爆发的时间问啊 未来趋势:由于Internet带来的迅捷性,病毒开始致力 于快速的传播,这一方面是病毒期待的功效性,另一方面也 是因为安全漏洞具有时效性。一方面,利用漏洞速度加快。 只要漏洞被知晓,黑客们用来开发新蠕虫的时间就会缩短。 某些网络攻击可能在厂家的补丁程序发布以前爆发,造成更 严重的后果。另一方面,新蠕虫也采用各项技术来加快自己 的传播。 (9)恶意攻击(Malware/Trojan Attacks) 近两年的病毒呈现了强烈的恶意性,已经不满足仅对用 户机器运行进行破坏,而且更渗入到窃取用户的私人信息, 谋求商业利益。它们主要是通过邮件得以渗入到各网络内部, 并通过社会工程得以快速传播。木马等黑客程序与蠕虫病毒 得到广泛的结合,大大增长了病毒的恶意性。 未来趋势:病毒的赢利趋势将越来越显著。由此,将产 生新的病毒犯罪集团,专门采用木马、后门、Phshing等黑客 技术结合网络病毒得到传播。恶性病毒采用分布式拒绝服务 攻击(DDoS)也将在今后产生严重影响。 (10)跨越平台(CrossPlatform) 最初病毒主要是DoS环境,极少数在Mac环境或者IBM 主机上,目前已经在Linux/Unix上出现(如Slapper病毒)。一 些引导型病毒确实是可以跨平台的,但是它们的传播也仅限 于引导区。 Java和ActiveX的网页技术逐渐被广泛使用在Internet, 从而使得设计跨平台的病毒变得更容易。如1999年的 BeanHive病毒,无论是Linux还是Windows通过上网浏览病 毒作者所设计的站点而可染毒。之后,病毒的主Java控件就 运行于用户计算机的Java虚拟机中。文献[7]介绍了E—mail 病毒跨越平台在无标度网络中的传播模型。 未来趋势:病毒总在扩张自己的传播领域,而跨平台技 术的采用将极大拓展病毒的传播领域,并造成更大的危害性。 尽管通过网页在跨平台上已较为普遍,但真正的能够自适应 各类平台的病毒还不存在,而它们的产生必然带来更大的危 害性。 本节根据已存在的计算机病毒及它们的特性总结了计算 机病毒的十大技术及方向,这些技术为当代病毒采用,并得 到不断发展,分别介绍其发展趋势。它们对于计算机病毒发 展而言都是重要的,并不能够因为某项目前并不占据主流而 得到忽略;看待计算机病毒的发展趋势,需要对于每一技术 的进展均有清楚地认识。 5结束语 目前,计算机病毒形式及传播途径日趋多样化,网络用 户不小心就可能“中招”。本文通过对计算机病毒及其发展趋 势的介绍,帮助网络用户提高对计算机病毒的理解和增强网 络安全意识;同时为广大科研技术人员和反病毒厂商防治计 算机病毒提供了有价值的参考。 参考文献 [1]Cohen E Computer Viurses:Theory and Experiments[C]//Proc.of IFIPTC’84.Toronto,Canada:[S.n.],1984. [2]Cohen E On the implications of Computer Viruses and Methods of Defense[J].Computers&Security,1988,7(2):167—184. [3]Bontchev V.Are Good Computer Viruses SOil a Bad Idea?[EB/OL] (2010—04—01).http://www.drsolomon.Com/ftp/papers. [4】Gordon S.Technologically Enabled Crime:Shifting Paradigms for the Year 2000[J].Computer nad Security,1995,14(5):391—402. [5]张汉亭.计算机病毒与反病毒技术[MI.北京:清华大学出版社 1996. [6]Open Mail Relays Used to Deliver,Hybrisworm[EB/OL].(2001— 02—20).http://www.ce ̄.org/incidenCnotes/IN一2001-02.htm1. [7]刘俊,金聪,邓清华.无标度网络环境下E-mail病毒的传 播模型[J1.计算机工程,2009,35(21):131—133. 编辑索书志