网络通信 频道

PC病毒原理:感染-潜伏-繁殖-发作(4)

第二阶段:潜伏----实施掩盖和伪装

  在第二阶段即潜伏过程中需要了解的内容是,病毒是如何为躲避用户和防病毒软件的侦察而进行隐藏的。通过与防病毒软件之间不断地“斗智斗勇”,有的病毒已经逐渐具备了非常高级的隐身法。最具代表性的潜伏方法是隐蔽和自我变异。

尺寸上作假,逃避监视

  隐蔽法是指为病毒为了已经隐藏文件已感染病毒的事实,向用户和防病毒软件提供虚假文件尺寸。比如,用户运行受病毒感染的文件后,病毒不仅会感染其他文件,还常驻内存并开始监视用户操作。如果用户运行文件列表显示等命令查看文件尺寸时,病毒就会代替操作系统提供虚假信息。

如果在第一阶段中介绍的追加感染型病毒采用这种方法,用户就很难察觉已经受到病毒感染。也就是说以文件尺寸的变化为线索分析感染情况会变得相当困难。

通过伪装躲避追踪

  另一个潜伏方法即自我变异是指病毒通过实际改变自身的形态,来主要逃避防病毒软件的检测。尽管在第二部分已经进行了详细说明,笔者在这里再解释一遍,防病毒软件为了检测病毒,首先会提取病毒特征代码,然后通过比较文件和病毒特征代码来查找病毒感染情况。

  也就是说这种方法是指病毒通过采取某些措施,由于在每次感染时都会改变自身形态(病毒特征代码),因此即便与防病毒软件掌握的特征代码相对照,也不会被发现。另外,也有人把此类病毒称为变形病毒。

  还有一种比自我变异更高级的方法即“加密法”,指每次感染时先对自身进行加密,然后把还原程序及加密密钥嵌入到感染的对象文件中。如果此类病毒准备了大量的加密密钥,那么由于每次感染时就会变成不同的数据,因此防病毒软件就很难发现。

  为了防止被破解,加密过程越复杂、加密时就越要花费更多的时间。也就是说,加密法越复杂,不仅越容易被用户察觉,而且病毒自身的感染速度也变得越慢。不过最近的个人电脑性能已经很高,进行这种处理根本不算是什么负担。

第三阶段:繁殖----通过网络传播

  就像在感染阶段那部分所提到的那样,最近病毒主要通过电子邮件入侵个人电脑。将电子邮件用作传播媒介的就是蠕虫。

  实际上,最近发生的大规模病毒感染事件基本上都与蠕虫分不开。为了了解这些事件的真相,下面首先说明一下蠕虫繁殖的机理。

随意假借邮件软件实施传播

  首先以最具代表性的Windows蠕虫为例,说明一下蠕虫繁殖的过程(图8(点击放大))。比如99年春出现的、仅在数日内就有数万台甚至数十万部个人电脑被感染的梅莉莎蠕虫(也称为W97M.、Melissa.A)。

  梅莉莎蠕虫属于感染Word文档文件的宏病毒,会作为电子邮件附件发送给用户。用户一旦打开(运行)该附件,在感染Word的同时,也开始作为蠕虫进行繁殖。

  具体来说,该蠕虫会随意使用Word宏功能,起动电子邮件软件Outlook,然后把包括自身拷贝的Word文档文件添加到电子邮件中,并发送给Outlook地址薄中登记的前50个邮件地址。

  也就是说,即便用户并没有与别人交换软盘之类的存储媒介,该蠕虫也会为所欲为地把自身拷贝发送给其他用户并进行繁殖。

完全自动的UNIX蠕虫

  最近出现的蠕虫基本上都像梅莉莎蠕虫一样通过电子邮件软件进行繁殖。但还有其他类型的蠕虫。这就是主要在UNIX系统中繁殖的蠕虫,此类蠕虫曾经是蠕虫的主流品种。

  为数众多的UNIX蠕虫的最大特点是:完全自动地通过网络进行繁殖。像梅莉莎这样的使用电子邮件进行繁殖的蠕虫虽然能够向其他电脑发送自身拷贝,但此后就只能等着电脑用户去运行附件了。而UNIX蠕虫则不需用户进行任何操作即可进行繁殖。

  之所以能如此,是因为UNIX机器基本上都是作为服务器来使用。也就是说由于运行了服务器软件,因此利用服务器软件的安全漏洞,由外部发送并运行蠕虫。

  我们来具体地看一下其繁殖过程。UNIX蠕虫首先在合适的IP地址范围内,查找正在运行具有某种特定安全漏洞的服务器软件的UNIX机器。然后一旦找到符合条件的服务器,就会利用服务器软件的安全漏洞由外部执行命令,向服务器内部发送自身拷贝。紧接着再运行所发送的蠕虫。

 

文章转载地址:http://www.cnpaf.net/Class/Virus/05122020353961173163.htm

0
相关文章