|
一、病毒发展趋势
我们先来看看计算机病毒的定义:计算机病毒就是能够通过某种途径潜伏在计算机存储介质(或程序)里, 当达到某种条件时即被激活的具有对计算机资源进行破坏作用的一组程序或指令集合。在这里我们可以清楚地看到计算机病毒的几个基本特征:
1、计算机病毒潜伏在计算机存储介质或者程序中传播;
2、对计算机资源具有破坏作用的程序或者指令集合;
3、当达到一定条件时被激活;
以上这些特征,是我们对计算机病毒比较经典的定义,我们也一直以此来作为计算机病毒的判断方式。所以,我们可以先根据计算机病毒的定义来看看病毒的一些发展趋势。
一)病毒传播方式不再以存储介质为主要的传播载体,网络成为计算机病毒传播的主要载体。
当计算机病毒于1983年11月在美国计算机专家的实验室里面诞生的时候,计算机网络还只是在科学界使用。直到1994年,计算机网络才真正在美国实现商业化的运作。在1994年以前,计算机病毒的传播载体其实主要是软盘,所以,我们现在还可以清楚地记得学校里面老师一次又一次的在上机之前对软盘进行杀毒。到了1998年,计算机病毒才真正在网络上打出自己的天地,那就是1998年年底出现的Happy99病毒,这款病毒是网络蠕虫病毒的始祖,从此,计算机病毒几乎完全与软盘脱离关系。计算机病毒的传播越来越依靠网络,1998年以后出现的影响比较大的病毒,几乎都利用了网络以传播到全世界的每一个角落。包括CIH病毒也是利用了当时“小龙女”屏幕保护程序在网上传播。
到现在,我们在生活和工作中,已经很少使用软盘,网络成为我们传播文件的主要方式,因此,计算机病毒也就不在依靠传统的传播方式,网络成为计算机病毒传播的最主要载体,这里面有两层涵义:
(一)计算机病毒的传播被动的利用了网络;比如CIH病毒完全是一款传统的病毒,但是,它依附在其他程序上面通过网络进行传播;
(二)计算机病毒主动利用网络传播;比如FunLove病毒、尼姆达等,这些病毒直接利用了网络特征,甚至,如果没有网络,这些病毒完全没有发挥余地;这也是今后计算机病毒的最常见的特征;
二)传统病毒日益减少,网络蠕虫成为最主要和破坏力最大的病毒类型。
当网络应用日益广泛以后,计算机病毒不会最关注传统的传播介质,因此,网络蠕虫成为病毒设计者的首选(也有人认为蠕虫并不是病毒,蠕虫和病毒是有分别的,见Internet标准RFC2828)。除了网络具有传播广、速度快的优点以外,蠕虫的一些特征也促使病毒制造者特别中意这种病毒类型:
(一)蠕虫病毒主要利用系统漏洞进行传播,在控制系统的同时,为系统打开后门,因此,病毒制造者特别是有黑客趋向的病毒制造者会特别中意这种病毒;
(二)蠕虫病毒编写简单,不需要经过复杂的学习;看看CIH的源代码,我们会发现它是很复杂的,需要对系统又深入的了解;如果我们仔细看一些蠕虫病毒的源代码,它们往往利用的就是VBS来编写,比如欢乐时光,这一类病毒的特点就是,只要仔细研究它们的源代码,很快就可以自己编写一个相似的病毒出来;这样,使利用VBS或者相似技术编写的病毒越来越多;同时,由于其简单性,甚至可以编写出专门生产病毒的程序;尽管这一类程序在技术上可能没有太多创新,但在当前的反病毒技术下,防病毒软件并不可以识别这些具有相似性的病毒;
三)恶意网页、木马还是病毒?
我们不知道实际上,现在已经有很多网页使用了这种技术。这些网页有以下特点:
(一)在用户(浏览者)不知道的情况下,修改用户的浏览器选项,包括首页、搜索选项、浏览器标题栏、浏览器右键菜单、浏览器工具菜单等,以达到使浏览者再次访问该网页的目的;网页这一类的网页没有对用户的文件资料和硬件造成损害,但是,让用户在浏览时造成不便;
(二)修改用户(浏览者)注册表选项,锁定注册表、修改系统启动选项、在用户桌面生成网页快捷访问方式;这一类的网页,目的也是迫使用户访问其网页,但是,在客观上已经造成了对用户的恶意干扰甚至破坏;
(三)格式化用户硬盘;这样的网页在理论上已经可以实现,但在实际的网络上,似乎还没有大规模的出现或者没有以上提到的那些恶意网页那样广泛;现在网上的一些使用此技术的网站,往往是一些纯技术的网站,作为分析该技术使用;
其实以上提到的三种情况,就使用技术而言是相似甚至相同的,都是使用了IE的ActiveX漏洞,但现在的杀毒软件一般没有防范此恶意网页的功能,因此,很多用户的计算机遭到了恶意网页的修改;
在当前的病毒定义下,我们不能称恶意网页为病毒,因为它少了病毒最明显得一个特征,就是不能自我复制;当然,我们也不能称这种恶意网页为木马,因为它没有远程文件来控制;而在实际中,我们往往感觉这就是病毒,那么,我们该叫恶意网页什么呢?可能这也是我们需要考虑的一个问题,病毒的定义在当前的网络环境下,是否会有适当地变化或者发展呢?
四)病毒与木马技术相互结合,出现带有明显病毒特征的木马或者木马特征的病毒。
在有木马以前,病毒的危害比较直接,那就是简单的破坏;有了木马以后,我们看到了木马的“聪明”,因为它们的背后往往有一个人来控制,中了木马以后,控制端的人会通过木马来控制计算机;现在,我们似乎已经看到这两种技术的结合品,那就是尼姆达病毒。尼姆达病毒没有木马的最直接的特征,但是,感染尼姆达病毒的计算机会留下漏洞。这是不是一种比较间接的对计算机的控制呢?
在病毒技术越来越平民化的现在,制造木马德黑客们,会放弃病毒技术来加大木马德传播速度和破坏效果吗?可能,不久我们就会看到木马与病毒的结合体。
五)技术的遗传与结合
病毒技术的发展,也就是计算机最新技术的发展。当一种最新的技术或者计算机系统出现的时候,病毒总会找到这些技术的薄弱点进行利用。同时,病毒制造者们还不断吸取已经发现的病毒技术,试图将这些技术融合在一起,制造更加具有破坏力的新病毒。
在尼姆达的身上,我们看到了这种趋势。尼姆达在传播方式上,同时利用了几种有名病毒的传播方式:
(一)FunLove的共享传播方式;这时尼姆达病毒传播的主要方式之一,利用病毒的扫描功能,找出网络上完全共享的资源,然后,进入这些资源,将改计算机的磁盘进行共享,继续寻找类似资源;
(二)利用邮件病毒的特点,传播自己;
(三)利用系统软件漏洞,传播自己;这里,我们看到了曾经让我们大为恼火的几种病毒传播方式,同时,我们也看到了利用系统漏洞来传播这一新的传播方式;
六)传播方式多样化
这里的传播方式不是指网络等介质的传播,而是指吸引用户“上当”的方式。可能用户对病毒自投罗网是从AnnaKournikova.jpg.vbs开始的,美丽女球星的照片吸引了很多用户将病毒激活;从这以后,又出现了类似的裸体妻子。这些病毒网络利用了人们好奇的心里,引诱用户打开邮件感染病毒。现在出现的投票病毒和求职信病毒也是这一类,但是,投票病毒利用的是人们对政治时间的兴趣,求职信变本加厉,随机从几个语句中选择来引诱用户打开邮件。
今后,会不会出现更多的吸引人的语句来诱使用户打开邮件呢?我们相信是会的。
七)跨操作系统的病毒
现在已经发现Linux下的病毒,随着Linux的普及,我们相信在该系统下的病毒会越来越多。而在今年五月份,已经发现可以同时感染Windows操作系统和Linux操作系统的W32.Winux病毒。将来会不会有更多的此类病毒出现呢?
八)手机病毒、信息家电病毒的出现
手机病毒流传已久了,根据已经有的资料,现在发现的所谓“手机病毒”其实就是计算机病毒,只是这种病毒将资料发向手机或者发送短信息给手机。还有资料说有手机病毒可以修改用户信息、令手机连续发出警告声音或者锁定键盘。这些资料都没有得到权威部门的证实,我们在这里只作为参考。
随着WAP和信息家电的普及,手机和信息家电将逐步复杂和智能化,同时,手机、信息家电和互联网的结合日益紧密,我们不得不考虑在将来是否真的有手机和信息家电病毒的产生。在理论上说,这些信息产品的复杂化越高,和网络联系越紧密,这些信息产品的软件部分开放的程度也就会越高。那么,利用软件缺陷制造和传播病毒的几率也就越大。
|
