擎天柱通過ebay上的拍賣信息,得知了隱藏在一副眼鏡中的“能源寶”的線索,而威震天讓派兵潛入“空軍一號”,通過網絡連接美國五角大樓的計算機系統,利用病毒植入的方式,竊取美國軍事機密,得知了“能源寶”的線索。
這是真人版大片《變形金剛》中最無厘頭的一段劇情,但卻真實地描繪出了病毒對于信息社會的威脅。計算機病毒在這個世界上已經存活了25年,他的功能與生物病毒類似,只不過破壞的不是生物系統,而是計算機系統。
惡作劇下的壞“蛋”
1982年7月13日,世界上第一個計算機病毒莫名其妙地就誕生了。它就是Elk Cloner,僅僅是美國匹茲堡一位高中生的惡作劇,并不會對計算機產生任何危害。只是對不知情的Apple II的使用者進行騷擾。當時的病毒還沒有針對PC,畢竟IBM的個人電腦也僅才一歲。
病毒的鼻祖
最早攻擊PC的病毒是Brain,誕生于1986年,攻擊的目標是微軟最經典也是最受歡迎的操作系統——DOS,由兩個巴基斯坦兄弟編寫,分別是Basit Farooq Alvi和他的兄弟Amjad Farooq Alvi,這個計算機病毒可以顯示他們的計算機維修商店的電話號碼。
Brain病毒是是一個引導區病毒,可以感染360K軟盤的病毒(不是我們現在使用的軟盤,是很古老的5.25英寸的大盤,而且容量只有360K,現在只能在一些很老的單位才能見到。),這個病毒會填滿軟盤上未用的空間,而導致它不能再被使用。
這個病毒的其他名字還有Lahore、Pakistani和Pakistani Brain。Alvi兄弟倆曾經公開對媒體表示,他們編寫這個程序是為了保護自己出售的軟件免于被盜版,它的目的僅僅是針對版權侵犯。
說起計算機病毒的起源,應該從1949年算起,計算機之父馮·諾伊曼在《復雜自動機組織論》中便定義了病毒的基本概念。他提出了“一部事實上足夠復雜的機器能夠復制自身”的前沿理念。
這在當時,沒有人相信,因為在那個年代一般的人還認為而計算機程序系統的概念根本不靠譜。而一些黑客敏銳地接受了這一新事物,并且在“地下”進行那種能讓程序自我復制的研究。
直到十年之后,在美國電話電報公司(AT&T)的貝爾實驗室中,三個年輕程序員在閑暇之余,想出一種電子游戲叫作“磁芯大戰”。游戲中通過復制自身來擺脫對方的控制,據說這可能是所謂計算機病毒的第一個雛形。
病毒的起源
在1977年的夏天,托馬斯.捷.瑞安的科幻小說《P-1的青春》成為美國的暢銷書,轟動了科普界。作者幻想了世界上第一個計算機病毒,可以從一臺計算機傳染到另一臺計算機,最終控制了7000臺計算機,釀成了一場災難,這實際上是計算機病毒的思想基礎。
實際上,計算機病毒的起源,確實是源自一些計算機愛好者的惡作劇。20多年前,處在青春叛逆期的美國康奈爾大學研究生Robert Tappan Morris因編寫蠕蟲病毒,感染了6000臺計算機惹出麻煩后,被當時供奉為“軟件奇才”,大公司爭相高新聘用。Morris的老爹是美國政府頂級計算機安全專家,當時就斷言“一些懂技術的聰明孩子的惡作劇,在與公司或軍方安全專家的斗智中很可能取勝。”在《變形金剛》中,這點已經得到了驗證,這也是目前現實生活中的真實情景。
多年后, 小Morris用蠕蟲證實了老Morris的預言。一個由多名著名專家組成的委員會在蠕蟲事件調查報告中認為:“Morris釋放的蠕蟲,是一種包含了具有明顯的潛在后果的青年少行為。他可能沒有企圖用蠕蟲去破壞數據或文件,但他可能企圖讓蠕蟲廣泛傳播。”
病毒轉型
2007年4月13日,是今年的第一個“黑色星期五”,這是一個個非常湊巧的日子,因為“黑色星期五”自發病以來的第20個年頭。查看趨勢科技病毒排行榜在1996年的榜單,它位居第二。
而20年后的今天,它那能讓磁盤驅動器一直狂躁不安的功能已經走向末路,1987~1996年“黑色星期五”等文檔型病毒風光的時代已經結束,取而代之的是無聲無息的Web 威脅。
5.Melissa(1999年)
Melissa是最早通過電子郵件傳播的病毒之一,當用戶打開一封電子郵件的附件,病毒會自動發送到用戶通訊簿中的前50個地址,因此這個病毒在數小時之內傳遍全球。
6.Love bug(2000年)
Love bug也通過電子郵件附近傳播,它利用了人類的本性,把自己偽裝成一封求愛信來欺騙收件人打開。這個病毒以其傳播速度和范圍讓安全專家吃驚。在數小時之內,這個小小的計算機程序征服了全世界范圍之內的計算機系統。
7.“紅色代碼”(2001年)
被認為是史上最昂貴的計算機病毒之一,這個自我復制的惡意代碼“紅色代碼”利用了微軟IIS服務器中的一個漏洞。該蠕蟲病毒具有一個更惡毒的版本,被稱作紅色代碼II。這兩個病毒都除了可以對網站進行修改外,被感染的系統性能還會嚴重下降。
8.“沖擊波”(2003年)
沖擊波病毒的英文名稱是Blaster,還被叫做Lovsan或Lovesan,它利用了微軟軟件中的一個缺陷,對系統端口進行瘋狂攻擊,可以導致系統崩潰。
9.“震蕩波”(2004年)
震蕩波是又一個利用Windows缺陷的蠕蟲病毒,震蕩波可以導致計算機崩潰并不斷重起。
殺與被殺的博弈
2005年11月4 日,當年20歲的加州青年Jeanson James Ancheta在洛杉磯被捕,因為它通過病毒程序建立了一個由400000計算機組成的Bot網絡(僵尸網絡)供其利用,并出租Bot網絡供人散播垃圾郵件或發動DDoS攻擊。按照他每次的價碼次出租僵尸網絡費用是3000元美金,他獲得了60000美元現金的收入,自得其樂地購買了全新的BMW和更高性能的計算機環境。
用來探測宇宙中是否存在外星人的計算機網絡,也不如他的僵尸網絡性能高強。Ancheta可能被判刑50年,因為他對位于加州的美國軍事單位US Marine Naval Air Warfare發動DDoS攻擊。
病毒編寫新玩法
最初的病毒制造者通常以炫技、惡作劇或者仇視破壞為目的;從2000年開始,病毒制造者逐漸開始貪婪,越來越多地以獲取經濟利益為目的。
而近一兩年來,黑客和病毒制造者越來越狡猾,他們正改變以往的病毒編寫方式,研究各種網絡平臺系統和網絡應用的流程,甚至殺毒軟件的查殺、防御技術,尋找各種漏洞進行攻擊。
除了在病毒程序編寫上越來越巧妙外,他們更加注重攻擊“策略”和傳播、入侵流程,通過各種手段躲避殺毒軟件的追殺和安全防護措施,達到獲取經濟利益的目的。
傳統殺毒軟件是通過對特征碼的比對技術,根據用戶提交或其他渠道截獲的病毒樣本提取出相應的病毒庫,通過比對病毒特征對病毒進行判斷和處理。
從制造病毒技術上說,黑客和病毒制造者大量采用“模塊化編寫”方法來批量制造新病毒。所謂“模塊化編寫”,就是黑客把傳統功能齊全的病毒,拆分為不同的功能模塊,每個模塊都成為單獨的病毒。
三年前,主動攻擊殺毒軟件的病毒很少見,而目前電腦病毒針對殺毒軟件做攻防,已經成為普遍現象,以新毒王“帕蟲”、老毒王“熊貓燒香”為代表的大量病毒都加載了攻擊殺毒軟件的模塊。它們通過修改殺毒軟件設置、損傷殺毒軟件的配置文件甚至直接關閉殺毒軟件,造成電腦的防御系統崩潰,從而為所欲為。
病毒修改殺毒軟件設置,默認忽略(不查殺)查出的病毒,病毒修改系統時間讓殺毒軟件過期,造成該軟件無法正常使用,病毒破壞該IM軟件自帶的木馬查殺模塊,病毒損壞了某殺毒軟件的配置文件。
黑客熱衷“病毒免殺”
目前,加殼、免殺等技術已經被開始被病毒編寫者大量采用。“加殼”就像給病毒文件穿了“馬甲”,對于識別能力不強的殺毒軟件就會被這件“馬甲”蒙蔽,而放過病毒。而“免殺”是指通過特殊技術處理,修改病毒文件,使已知病毒逃過殺毒軟件的查殺。
與此同時,一些自動加殼、免殺機也開始出現,甚至實現了商業化。比如黑客、病毒制作者使用較多的“免疫007”就是一種商業化的自動加殼機。該軟件作者會每天對軟件進行更新,升級頻率甚至超過殺毒軟件。以使被其加殼的病毒、木馬能夠躲過最新版殺毒軟件的查殺。該軟件作者通過銷售這種工具獲利。
江民科技進行“2007年黑客行為分析”調查后,看到2007年黑客行為呈明顯上升趨勢,其中41.86%左右的黑客或準黑客正在研究“免殺病毒”技術,研制“免殺病毒”和在互聯網交流“免殺技術”已經成為黑客們最為熱衷、追捧的黑客行為。
江民反病毒專家何公道介紹,目前編寫“免殺病毒”已經成為一種世界性的黑客熱潮,越來越多的病毒炮制者為了避免被殺毒軟件查殺,紛紛通過加殼、加花指令、修改文件特征碼等技術推出了快速變種的“免殺病毒”,病毒變種速度之快、數量之多都是前所未有的。
面對病毒的頻繁變種以及“免殺病毒”的盛行,傳統的殺毒軟件往往反應相對滯后,如何有效地防殺“免殺病毒”已經成為殺毒軟件廠商亟需解決的問題。
集體“主動防御”
Morris也成為了Arpanet網的最大的電子入侵者,獲得哈佛大學Aiken中心超級用戶的特權。但他也因此被判3年緩刑,罰款1萬美元,他還被命令進行400小時的新區服務。
某些蠕蟲受害者在分析報告中指出:當蠕蟲程序混入網絡騙取了口令后,蠕蟲程序已經獲取了系統用戶的特權,可以讀取被保護的數據,蠕蟲也就因此具備了進行嚴重破壞活動的能力。但是蠕蟲現在還沒有做,它造成的傷害只是讓機器運轉變得緩慢而已。
這說明當時的Morris已經具備了相當高的技巧,他曾單槍匹馬破譯了采用DES對稱密碼的口令,對DES密碼,IBM曾組織了一批密碼專家,花費了幾周時間也未能破譯。
Morris成為了上世紀80年代最有名的攻擊者,被當時的計算機愛好者稱為“可畏的惡作劇制造者”。如果他有意做惡毒攻擊,那么蠕蟲事件的后果將會更為嚴重。但那個年代的黑客們,顯然很單純。
江民、金山、瑞星、趨勢科技、卡巴斯基、賽門鐵克都在最近推出了全新的病毒防范工具。江民KV2008、瑞星2008、卡巴斯基7.0等這些工具都在與病毒的不斷升級做著艱苦的斗爭。
我國反病毒專家、東方微點公司創始人劉旭是第一個提出“主動防御”概念的人,他認為主動防御軟件應當建立動態仿真反病毒專家系統,能夠自動準確判定新病毒,并且能夠自動提取特征值,自動更新本地特征值庫,實現對病毒的主動防御。簡單來講,防病毒軟件不應當依賴于病毒特征碼的判斷,而應當依靠動態仿真反病毒專家系統根據病毒程序運行的行為進行判定,就像一個專業反病毒人員人工判斷病毒一樣。
“主動防御”的概念已經成了目前病毒防御領域病毒防范的集體思想,集成了新BOOTSCAN、新系統監控、網頁濾毒、未知病毒主動監控與虛擬機脫殼技術五大主動防御功能的江民KV2008,可以實時監控病毒,讓號稱“免殺”的病毒無處可逃。
江民總裁陶新宇說:“主動防御可以從根源上阻斷了病毒來源,并從病毒行為入手,阻斷未知病毒的動作,如寫注冊表、注入程序、復制病毒文件等行為,讓病毒無任何發作機會。”
瑞星殺毒軟件2008版目前正在公測,可以看到 “瑞星主動防御”是資源訪問規則控制(HIPS)、資源訪問掃描、惡意行為分析引擎等多種技術的統稱,通過動態的對所有程序行為進行分析判定,綜合系統加固、資源訪問控制等方法,從整體上防范和遏制未知病毒的侵害。
卡巴斯基7.0中的“主動防御”取消了原有的Office防護項目,保留了應用程序活動分析、應用程序完整性控制,以及注冊表防護。目前的方法是重點分析安裝在計算機上應用程序的行為,監控系統注冊表的改變以及發現隱蔽威脅。
從技術的角度來看,傳統的以行為判斷為核心的、動態的“主動防御”功能,如果能和靜態的“病毒特征碼查殺”結合,就能夠產生非常好的信息安全防護效果。但是,主動防御功能易用性比較差,如果應用不好,很可能造成大量的誤報、系統不穩定等情況。
因此,盡管業界公認“主動防御”是全球反病毒技術的發展方向,但是真正全面應用該技術的殺毒軟件,在技術實現和用戶使用方面,還有一段路要走。
如今“90”后的人很少有聽說過“黑色星期五”這個說法的,他們聽到最多的也許是“熊貓燒香”、“征途木馬”和“QQ通行證”這類科技含量并不高明,但傳播范圍很廣泛的Web病毒。
相對于傳統的通過病毒碼比對方式,強調高偵測率的防毒軟件,已經不足以對抗短時間內不斷自我上網更新的木馬間諜、隨時更換 IP 的網絡釣魚假網站、潛伏在許多知名網站的零時差漏洞攻擊。
從趨勢科技曾經發表的安全報告來看,來自網絡安全的威脅,從2005年至今,成長率已經高達540%,而且信息竊取占絕大部分份額。
Web 威脅使得惡意程序代碼可以經由很多方式讓人們的生活陷入困境:它可能會竊取使用者的名稱與密碼,或是下載木馬產生器;它可以綁架計算機成為僵尸網絡進行其它犯罪;它甚至可以產生大量的彈出式窗口,將使用者折磨到底。
現在流行的“網頁掛馬”方式,是一種由黑客自己建立帶毒的網站,或者攻擊流量大的現有網站,在其中植入木馬、病毒,用戶瀏覽后就會中毒。可以快速的批量入侵大量計算機,非常快捷的組建僵尸網絡、竊取用戶資料。
當腳本木馬侵入網站服務器之后,就會自動搜索硬盤上的所有網頁文件,在其中批量插入網頁木馬,這樣,當用戶訪問帶毒網站時,就會被病毒感染。同時,這些被植入網站的木馬病毒還特別智能化,它能夠智能判斷訪問者使用的操作系統、瀏覽器等信息,找出其中可能存在的漏洞,然后執行針對每種漏洞的攻擊程序。
從Cloner、Brain和Morris這些“良性”病毒開始,電腦病毒在25年內經過了爆炸式發展,在全世界迅速傳播。尤其是互聯網的應用普及之后,聯結到互聯網中的手機、PC、筆記本、PDA等設備顯得脆弱不堪,非常容易被攻破。
病毒的發展也從最初的而惡意軟件也從最初的小孩子的惡作劇,發展成一個巨大的產業。根據IDC的統計,全世界每年因為病毒造成的直接損失,可以達到數千億美元。
IT史上九大病毒
1.Elk Cloner(1982年)
它被看作攻擊個人計算機的第一款全球病毒,也是所有令人頭痛的安全問題先驅者。它通過蘋果Apple II軟盤進行傳播。這個病毒被放在一個游戲磁盤上,可以被使用49次。在第50次使用的時候,它并不運行游戲,取而代之的是打開一個空白屏幕,并顯示一首短詩。
2.Brain(1986年)
Brain是第一款攻擊運行微軟的受歡迎的操作系統DOS的病毒,可以感染感染360K軟盤的病毒,該病毒會填充滿軟盤上未用的空間,而導致它不能再被使用。
3.Morris(1988年)
Morris該病毒程序利用了系統存在的弱點進行入侵,Morris設計的最初的目的并不是搞破壞,而是用來測量網絡的大小。但是,由于程序的循環沒有處理好,計算機會不停地執行、復制Morris,最終導致死機。
4.CIH(1998)
CIH病毒是迄今為止破壞性最嚴重的病毒,也是世界上首例破壞硬件的病毒。它發作時不僅破壞硬盤的引導區和分區表,而且破壞計算機系統BIOS,導致主板損壞。
