⑴ 簡述病毒與木馬的相同點與不同點,還有病毒和木馬的代表事件
木馬不是病毒
木馬與病毒、蠕蟲、後門程序並列從屬於惡意程序范疇
區別:
計算機病毒具有如下幾個特徵:感染性、隱藏性、潛伏性、可觸發性、衍生性、破壞性
病毒是最早出現的計算機惡意程序
所以我們以病毒為標桿,拿其他類型的惡意程序來對比一下就知道有什麼區別了
首先是您關心的木馬:
木馬並不具有感染性,木馬並不會使那些正常的文件變成木馬,但病毒可以感染正常文件使其成為病毒或者病毒傳播的介質
木馬不具有隱藏性和潛伏性,木馬程序都是我們看得到的,並沒有把自己隱藏起來,也不像病毒那樣通過系統中斷或者其他的一些什麼機制來定期發作,木馬只是偽裝成一個你想要使用的正常程序,甚至具有正常程序的一切功能,當你使用這些正常的功能的同時,木馬的行為也就同時發作了。
木馬沒有破壞性,純粹的木馬旨在盜取用戶資料,取得用戶的信息,並不會破壞用戶的系統。
從上面幾點就能很清楚的看出木馬和病毒的區別了
蠕蟲不感染、不隱藏、不破壞計算機,它是通過阻塞網路或者惡意侵佔用戶資源來造成系統運行的不穩定甚至崩潰
後門程序則本身是正常程序,或出於某種惡意的設計或出於疏忽大意,這些正常程序中留有可能被利用來破壞計算機的漏洞,就成為了後門程序……前些時間被炒的沸沸揚揚的暴風影音後門事件就是暴風影音處於商業利益誘導留的一個後門,最終被黑客利用製造了極大的破壞。
雖說有區別,不過這些區別只是理論定義上的。木馬製造者可不會因為定義上說木馬不破壞計算機,他就不製造破壞計算機的木馬。而且事實上現在確實有這種木馬了,這種木馬其實是木馬和病毒的混合體,同樣的,也有蠕蟲與病毒的混合體。還有後門、木馬、病毒形成一個自動下載發作的程序鏈協同作戰的。所以這些區別僅僅做個了解即可,他們之間的界限正在慢慢模糊~
至於代表事件
傳統的計算機病毒分類是根據感染型態來區分,以下為各類型簡介:
• 開機型
米開朗基羅病毒,潛伏一年,"硬"是要得(這個沒看懂)
• 文件型
(1)非常駐型
Datacrime II 資料殺手-低階格式化硬碟,高度破壞資料
(2)常駐型
Friday 13th黑色(13號)星期五-"亮"出底細
• 復合型
Flip 翻轉-下午4:00 屏幕倒立表演准時開始
• 隱形飛機型
FRODO VIRUS(福祿多病毒)-"毒"鍾文件配置表
• 千面人
PE_MARBURG -掀起全球"戰爭游戲"
• 文件宏
Taiwan NO.1 文件宏病毒-數學能力大考驗
• 特洛伊木馬病毒 VS.計算機蠕蟲
" Explorezip探險蟲" 具有「開機後再生」、「即刻連鎖破壞」能力
• 黑客型病毒
Nimda 走後門、發黑色信件、癱瘓網路
認識計算機病毒與黑客
2.1開機型病毒 (Boot Strap Sector Virus):
開機型病毒是藏匿在磁碟片或硬碟的第一個扇區。因為DOS的架構設計, 使得病毒可以在每次開機時, 在操作系統還沒被載入之前就被載入到內存中, 這個特性使得病毒可以針對DOS的各類中斷 (Interrupt) 得到完全的控制, 並且擁有更大的能力進行傳染與破壞。 @實例
Michelangelo米開朗基羅病毒-潛伏一年,"硬"是要得
發病日: 3月6日
發現日:1991.3
產地:瑞典(也有一說為台灣)
病徵:米開朗基羅是一隻典型的開機型病毒,最擅長侵入計算機硬碟機的硬碟分割區(Partition Table)和開機區(Boot Sector),以及軟盤的開機區(Boot Sector),而且它會常駐在計算機系統的內存中,虎視眈眈地伺機再感染你所使用的軟盤磁碟。米開朗基羅病毒感染的途徑,事實上只有一種,那就是使用不當的磁碟開機,如果該磁碟正好感染了米開朗基羅,於是,不管是不是成功的開機,可怕的米開朗基羅病毒都已借機進入了你的計算機系統中的硬碟,平常看起來計算機都頗正常的,一到3月6日使用者一開機若出現黑畫面,那表示硬碟資料已經跟你說 Bye Bye 了。
歷史意義:文件宏病毒發跡前,連續數年蟬聯破壞力最強的毒王寶座
Top
2.2文件型病毒 (File Infector Virus):
文件型病毒通常寄生在可執行文件(如 *.COM, *.EXE等)中。當這些文件被執行時, 病毒的程序就跟著被執行。文件型的病毒依傳染方式的不同, 又分成非常駐型以及常駐型兩種 :
(1) 非常駐型病毒(Non-memory Resident Virus) :
非常駐型病毒將自己寄生在 *.COM, *.EXE或是 *.SYS的文件中。當這些中毒的程序被執行時,就會嘗試去傳染給另一個或多個文件。
@實例:
Datacrime II 資料殺手-低階格式化硬碟,高度破壞資料
發病日:10月12日起至12月31日
發現日:1989.3
產地:荷蘭
病徵:每年10月12日到12月31號之間,除了星期一之外DATA CRIME II 會在屏幕上顯示:*DATA CRIME II VIRUS*
然後低階格式化硬碟第0號磁柱 (CYLINDER0從HEAD 0~HEAD 8)FORMAT後,會聽到BEEP一聲當機,從此一蹶不振。
歷史意義:雖然聲稱為殺手,但它已經快絕跡了
(2) 常駐型病毒(Memory Resident Virus) :
常駐型病毒躲在內存中,其行為就好象是寄生在各類的低階功能一般(如 Interrupts),由於這個原因, 常駐型病毒往往對磁碟造成更大的傷害。一旦常駐型病毒進入了內存中, 只要執行文件被執行, 它就對其進行感染的動作, 其效果非常顯著。將它趕出內存的唯一方式就是冷開機(完全關掉電源之後再開機)。
@實例:
Friday 13th黑色(13號)星期五-"亮"出底細
發病日: 每逢13號星期五
發現日:1987
產地:南非
病徵:十三號星期五來臨時,黑色星期五病毒會將任何一支你想執行的中毒文件刪除。該病毒感染速度相當快,其發病的唯一徵兆是A:磁碟驅動器的燈會一直亮著。十三號星期五病毒登記有案的變種病毒,如:Edge、Friday 13th-540C、Friday 13th-978、Friday13th-B、Friday 13th-C、Friday 13th-D、Friday 13th-NZ、QFresh、Virus-B等...。其感染的本質幾乎大同小異,其中Friday 13th-C病毒,當它進行感染文件時,屏幕上會顯示一行客套語:"We hope we haven''t inconvenienced you"
歷史意義:為13號星期五的傳說添加更多黑色成分
Top
2.3復合型病毒 (Multi-Partite Virus):
復合型病毒兼具開機型病毒以及文件型病毒的特性。它們可以傳染 *.COM, *.EXE 文件,也可以傳染磁碟的開機系統區(Boot Sector)。由於這個特性, 使得這種病毒具有相當程度的傳染力。一旦發病,其破壞的程度將會非常可觀!
@實例:
Flip 翻轉-下午4:00 屏幕倒立表演准時開始
發病日:每月2日
發現日:1990.7
產地:瑞士(也有一說為西德)
病徵:每個月 2 號,如果使用被寄生的磁碟或硬碟開機時,則在16 時至16時59分之間,屏幕會呈水平翻動。
歷史意義:第一隻使具有特異功能的病毒
Top
2.4隱型飛機式病毒 (Stealth Virus):
隱型飛機式病毒又稱作中斷截取者(Interrupt Interceptors)。顧名思義, 它通過控制DOS的中斷向量,把所有受其感染的文件"假還原",再把"看似跟原來一模一樣"的文件丟回給 DOS。
@實例
FRODO 福祿多 -"毒"鍾文件配置表
別 名:4096
發現日:1990.1
發病日:9月22日-12月31日
產地:以色列
病徵:4096病毒最喜歡感染.COM, .EXE和.OVL文件,顧名思義被感染的文件長度都會增加4,096 bytes。它會感染資料文件和執行文件(包括:COM、.EXE)和.OVL等覆蓋文件。當執行被感染的文件時,會發現速度慢很多,因為FAT (文件配置表) 已經被破壞了。此外,9月22日-12月31日會導致系統當機。
歷史意義:即使你用DIR 指令檢查感染文件,其長度、日期都沒有改變,果真是偽裝秀的始祖。
Top
2.5千面人病毒 (Polymorphic/Mutation Virus):
千面人病毒可怕的地方, 在於每當它們繁殖一次, 就會以不同的病毒碼傳染到別的地方去。每一個中毒的文件中, 所含的病毒碼都不一樣, 對於掃描固定病毒碼的防毒軟體來說,無疑是一個嚴重的考驗!有些高竿的千面人病毒,幾乎無法找到相同的病毒碼。
@實例
PE_MARBURG -掀起全球"戰爭游戲"
發病日:不一定(中毒後的3個月)
發現日:1998.8
產地:英國
病徵:Marburg 病毒在被感染三個月後才會發作,若感染 Marburg 病毒的應用軟體執行的時間剛好和最初感染的時間一樣 (例如,中毒時間是9月15日上午11點,若該應用程序在12月15日上午11點再次被執行),則 Marburg 病毒就會在屏幕上顯示一堆的 "X"。如附圖。
歷史意義:專挑盛行的計算機光碟游戲下毒,1998年最受歡迎的 MGM/EA「戰爭游戲」,因其中有一個文件意外地感染 Marburg 病毒,而在8 月迅速擴散。
感染 PE_ Marburg 病毒後的 3 個月,即會在桌面上出現一堆任意排序的 "X" 符號
2.6宏病毒 (Macro Virus):
宏病毒主要是利用軟體本身所提供的宏能力來設計病毒, 所以凡是具有寫宏能力的軟體都有宏病毒存在的可能, 如Word、 Excel 、AmiPro 等等。
@實例:
Taiwan NO.1 文件宏病毒- 數學能力大考驗
發病日:每月13日
發現日:1996.2
產地:台灣
病徵:出現連計算機都難以計算的數學乘法題目,並要求輸入正確答案,一旦答錯,則立即自動開啟20個文件文件,並繼續出下一道題目。一直到耗盡系統資源為止。
歷史意義:1.台灣本土地一隻文件宏病毒。2. 1996年年度殺手,1997年三月踢下米開朗基羅,登上毒王寶座。3. 被列入ICSA(國際計算機安全協會)「In The Wild」病毒資料庫。(凡難以馴服、惡性重大者皆會列入此黑名單)
2.7特洛伊木馬病毒 VS.計算機蠕蟲
特洛依木馬( Trojan )和計算機蠕蟲( Worm )之間,有某種程度上的依附關系,有愈來愈多的病毒同時結合這兩種病毒型態的破壞力,達到雙倍的破壞能力。
特洛伊木馬程序的偽裝術
特洛依木馬( Trojan )病毒是近年崛起的新品種,為幫助各位讀者了解這類病毒的真面目,我們先來看一段「木馬屠城記」的小故事:
話說風流的特洛伊王子,在遇上美麗的有夫之婦希臘皇後後,竟無法自拔的將其誘拐回特洛伊國,此舉竟引發了為期十年的特洛依大戰。然而,這場歷經九年的大戰,為何在最後一年會竟終結在一隻木馬上呢?原來,眼見特洛伊城久攻不下,於是希臘人便特製了一匹巨大的木馬,打算來個"木馬屠城計"!希臘人在木馬中精心安排了一批視死如歸的勇士,借故戰敗撤退,以便誘敵上勾。果然,被敵軍撤退喜訊給弄得神智不清的特洛伊人哪知是計,當晚便把木馬拉進城中,打算來個歡天喜地的慶功宴。哪知道,就在大家興高采烈喝酒歡慶之際,木馬中的精銳諸將,早已暗中打開城門,一舉來個里應外合的大搶攻。頓時之間,一個美麗的城市就變成了一堆瓦礫、焦土,而從此消失在歷史中。
後來我們對於那些會將自己偽裝成某種應用程序來吸引使用者下載或執行,並進而破壞使用者計算機資料、造成使用者不便或竊取重要信息的程序,我們便稱之為「特洛伊木馬型」或「特洛伊型」病毒。
特洛伊木馬程序不像傳統的計算機病毒一樣會感染其它文件,特洛伊木馬程序通常都會以一些特殊的方式進入使用者的計算機系統中,然後伺機執行其惡意行為,例如格式化碟、刪除文件、竊取密碼等。
計算機蠕蟲在網路中匍匐前進
計算機蠕蟲大家過去可能比較陌生,不過近年來應該常常聽到,顧名思義計算機蠕蟲指的是某些惡性程序代碼會像蠕蟲般在計算機網路中爬行,從一台計算機爬到另外一台計算機,方法有很多種例如透過區域網絡或是 E-mail.最著名的計算機蠕蟲案例就是" ILOVEYOU-愛情蟲 "。例如:" MELISSA-梅莉莎" 便是結合"計算機病毒"及"計算機蠕蟲"的兩項特性。該惡性程序不但會感染 Word 的 Normal.dot(此為計算機病毒特性),而且會通過 Outlook E-mail 大量散播(此為計算機蠕蟲特性)。
事實上,在真實世界中單一型態的惡性程序其實愈來愈少了,許多惡性程序不但具有傳統病毒的特性,更結合了"特洛伊木馬程序"、"計算機蠕蟲"型態來造成更大的影響力。一個耳熟能詳的案例是"探險蟲"(ExploreZip)。探險蟲會覆蓋掉在區域網絡上遠程計算機中的重要文件(此為特洛伊木馬程序特性),並且會透過區域網絡將自己安裝到遠程計算機上(此為計算機蠕蟲特性)。
@實例:
" Explorezip探險蟲" 具有「開機後再生」、「即刻連鎖破壞」能力
發病日: 不一定
發現日:1999.6.14
產地:以色列
病徵:通過電子郵件系統傳播的特洛依病毒,與梅莉莎不同之處是這只病毒除了會傳播之外,還具有破壞性。計算機受到感染後,其它使用者寄電子郵件給已受到感染的用戶。該受到感染的計算機會利用Microsoft的MAPI功能在使用者不知情的狀況下,自動將這個病毒"zipped_files.exe"以電子郵件的附件的方式寄給送信給這部計算機的用戶。對方收到的信件內容如下:Hi <Recipient Name>!I received your email and I shall send you a reply ASAP.Till then, take a look at the attached zipped docs.問候語也有可能是Bye, Sincerely, All或是Salutation等。當使用者在不知情的情況下執行TROJ_EXPLOREZIP時,這只病毒會出現如下的假信息"Cannot open file: it does not appear to be a valid archive. If this file is part of a ZIP format backup set, insert the last disk of the backup set and try again. Please press F1 for help."一旦使用者執行了這個病毒,它會存取使用者的C:到Z:磁碟驅動器,尋找以下擴展名的文件,並將所找到的文件以0來填空。造成使用者資料的損失。.c (c source code files).cpp (c++ source code files).h (program header files).asm (assembly source code).doc (Microsoft Word).xls (Microsoft Excel).ppt (Microsoft PowerPoint)
歷史意義:
• 開機後再生,即刻連鎖破壞
--傳統病毒:立刻關機,重新開機,停止它正進行的破壞行動--探險蟲:不似傳統病毒,一旦重新開機,即尋找網路上的下個受害者
2.8 黑客型病毒
-走後門、發黑色信件、癱瘓網路
自從 2001七月 CodeRed紅色警戒利用 IIS 漏洞,揭開黑客與病毒並肩作戰的攻擊模式以來,CodeRed 在病毒史上的地位,就如同第一隻病毒 Brain 一樣,具有難以抹滅的歷史意義。
如同網路安全專家預料的,CodeRed 將會成為計算機病毒、計算機蠕蟲和黑客"三管齊下"的開山鼻祖,日後的病毒將以其為樣本,變本加厲地在網路上展開新型態的攻擊行為。果不其然,在造成全球 26.2 億美金的損失後, 不到 2 個月同樣攻擊 IIS 漏洞的Nimda 病毒,其破壞指數卻遠高於 CodeRed。 Nimda 反傳統的攻擊模式,不僅考驗著 MIS 人員的應變能力,更使得傳統的防毒軟體面臨更高的挑戰。
繼紅色代碼之後,出現一隻全新攻擊模式的新病毒,透過相當罕見的多重感染管道在網路上大量散播,包含: 電子郵件、網路資源共享、微軟IIS伺服器的安全漏洞等等。由於 Nimda 的感染管道相當多,病毒入口多,相對的清除工作也相當費事。尤其是下載微軟的 Patch,無法自動執行,必須每一台計算機逐一執行,容易失去搶救的時效。
每一台中了Nimda 的計算機,都會自動掃描網路上符合身份的受害目標,因此常造成網路帶寬被占據,形成無限循環的 DoS阻斷式攻擊。另外,若該台計算機先前曾遭受 CodeRed 植入後門程序,那麼兩相掛勾的結果,將導致黑客為所欲為地進入受害者計算機,進而以此為中繼站對其它計算機發動攻勢。
類似Nimda威脅網路安全的新型態病毒,將會是 MIS 人員最大的挑戰。"
實例:Nimda
發現日:2001.9
發病日:隨時隨地
產地:不詳
病徵:通過eMail、網路芳鄰、程序安全漏洞,以每 15 秒一次的攻擊頻率,襲擊數以萬計的計算機,在 24 小時內竄升為全球感染率第一的病毒
歷史意義:
計算機病毒與黑客並肩挑釁,首創猛爆型感染先例,不需通過潛伏期一台計算機一台計算機感染,瞬間讓網路上的計算機幾乎零時差地被病毒攻擊
認識計算機病毒與黑客
防止計算機黑客的入侵方式,最熟悉的就是裝置「防火牆 」(Firewall),這是一套專門放在 Internet 大門口 (Gateway) 的身份認證系統,其目的是用來隔離 Internet 外面的計算機與企業內部的區域網絡,任何不受歡迎的使用者都無法通過防火牆而進入內部網路。有如機場入境關口的海關人員,必須核對身份一樣,身份不合者,則謝絕進入。否則,一旦讓恐怖份子進入國境破壞治安,要再發布通緝令逮捕,可就大費周章了。
一般而言,計算機黑客想要輕易的破解防火牆並入侵企業內部主機並不是件容易的事,所以黑客們通常就會用採用另一種迂迴戰術,直接竊取使用者的帳號及密碼,如此一來便可以名正言順的進入企業內部。而 CodeRed、Nimda即是利用微軟公司的 IIS網頁伺服器操作系統漏洞,大肆為所欲為。
--寬頻大開方便之門
CodeRed 能在短時間內造成亞洲、美國等地 36 萬計算機主機受害的事件,其中之一的關鍵因素是寬頻網路(Broadband)的"always-on" (固接,即二十四小時聯機)特性特性所打開的方便之門。
寬頻上網,主要是指 Cable modem 與 xDSL這兩種技術,它們的共同特性,不單在於所提供的帶寬遠較傳統的電話撥接為大,同時也讓二十四小時固接上網變得更加便宜。事實上,這兩種技術的在本質上就是持續聯機的,在線路兩端的計算機隨時可以互相溝通。
當 CodeRed 在 Internet 尋找下一部伺服器作為攻擊發起中心時,前提必須在該計算機聯機狀態方可產生作用,而無任何保護措施的寬還用戶,"雀屏中選"的機率便大幅提升了。
當我們期望Broadband(寬頻網路)能讓我們外出時仍可隨時連上家用計算機,甚至利用一根小手指頭遙控家中的電飯鍋煮飯、咖啡爐煮咖啡時,同樣的,黑客和計算機病毒也有可能隨時入侵到我們家中。計算機病毒可能讓我們的馬桶不停地沖水,黑客可能下達指令炸掉家裡的微波爐、讓冰箱變成烤箱、甚至可能利用家用監視攝影機來監視我們的一舉一動。唯有以安全為後盾,有效地阻止黑客與病毒的覬覦,才能開啟寬頻網路的美麗新世界。
計算機及網路家電鎮日處於always-on的狀態,也使得計算機黑客有更多入侵的機會。在以往撥接上網的時代,家庭用戶對黑客而言就像是一個移動的目標,非常難以鎖定,如果黑客想攻擊的目標沒有撥接上網路,那幺再厲害的黑客也是一籌莫展,只能苦苦等候。相對的,寬頻上網所提供的二十四小時固接服務卻讓黑客有隨時上下其手的機會,而較大的帶寬不但提供家庭用戶更寬廣的進出渠道,也同時讓黑客進出更加的快速便捷。過去我們認為計算機防毒與防止黑客是兩回事(見表一),然而 CodeRed卻改寫了這個的定律,過去黑客植入後門程序必須一台計算機、一台計算機地大費周章的慢慢入侵,但CodeRed卻以病毒大規模感染的手法,瞬間即可植入後門程序,更加暴露了網路安全的嚴重問題