中国计算机反
病毒20年重要计算机病毒
1988年,当中国计算机反病毒第一人王江民看到自己编写工控
软件的计算机上有一个小球状的图标在跳来跳去的时候,并没有意识到这个小小的东西会给计算机带来多大的麻烦。凭着过硬的汇编功底,王江民很轻松地就把这个现在看来是中国出现的第一个病毒“小球”手工清除了,并把清除病毒的杀毒程序命名为KV1,这就是中国最早的计算机杀毒
软件雏形。20年后的今天,计算机病毒已经超过100万种,电脑和操作系统也已经更新升级了一代又一代,而每一个阶段,总会有一些令人印象十分深刻的病毒,病毒在给计算机用户带来了许许多多麻烦,上演着一幕幕虚拟世界的《罪与罚》。
恶作剧时代
从1988年出现“小球”病毒起至1992年之前,大部分病毒都是恶作剧式的
DOS病毒。他们在电脑用户的屏幕上用各种各样五花八门的花样展现着自己,“小球”病毒在电脑屏幕上跳来跳去,“贪吃蛇”则会吃掉所经过屏幕上的字符,有的会放出缤纷的礼花,干扰用户的电脑操作,但并不对系统造成破坏。其它的还有“米开朗基罗”“黑色星期五”“Stoned(石头)”病毒等等,这些病毒都通过感染硬盘或软盘引导区,感染.COM和.EXE文件。这类病毒修改了部分中断向量表,被感染的文件明显的增加了字节数,并且病毒代码主体没有加密,也容易被查出和解除。 略有对抗反病毒手段的只有Yankee Doole病毒, 当它发现你用DEBUG工具跟踪它的话,它会自动从文件中逃走。
接着, 又一些能对自身进行简单加密的病毒相继出现。它们加密的目的主要是防止跟踪或掩盖有关特征等。后来还有一些对抗反病毒
技术和隐藏自己的病毒出现,1992年以后,一些病毒开始破坏系统引导区,但由于那时候电脑主要是在高校和科研机关应用,普通家庭根本没有机会接触到电脑,只有少数一些电脑使用者在关注它们,病毒与电脑使用者之间就象是玩一场游戏,在杀与被杀之间斗智斗勇,这是一场只有少数人才有资格参与的游戏。
“快乐时光”不快乐!
1995年开始,WINDOWS视窗的推出和
interNET的应用带来了病毒的繁荣。WINDOWS和INTERNET给人们带来了“欢乐时光”,与此同时,一种“欢乐时光(happy time)”病毒也在悄然来袭。“快乐时光”能够通过电子邮件迅速传播,发送大量的带毒邮件,而且电脑用户只要将鼠标光标点到这封邮件上,病毒就会被触发,向电脑中所有的联系人发送同样的带毒邮件。
快乐时光使用了
微软并利用Outlook Express一个
漏洞,该漏洞可以在你没有点击运行附件时就将附件运行。快乐时光能够感染VBS、html 和脚本文件,成为
互联网上长期的祸害,后来快乐时光又发展成为新快乐时光并出现了很多变种,在系统日期月和日加起来等于13的那天发作。一直到2005年才开始退出流行病毒行列。
那时候,很多电脑用户都不装杀毒
软件,在电脑感到运行缓慢的时候,往往会找来江民KV3000等杀毒
软件临时杀毒,结果一杀就能杀出数千上万个病毒出来,因为快乐时光是感染型病毒,电脑中有多少脚本和网页文件,病毒就能感染多少,所以出现了杀出一万多个病毒的奇观。
CIH 中国信息大劫难
1998年2月,陈盈豪编写出了破坏性极大的Windows恶性病毒CIH-1.2版,并定于每年的4月26日发作破坏,然后,悄悄的潜伏在网上的一些供人下载的
软件中。
一个月后,也就是到了1998年8月26日,CIH-1.4病毒首先跳出来发作,我国部分地区遭到袭击,但损害面积不大。事后,为了避免更大灾害,我国政府职能部门公安部发出了通缉三种CIH病毒的通告。可是,使用正版杀毒
软件的意识不被一些用户重视,又不经常保持升级杀毒
软件,CIH-1.2病毒又经过一年的传播,已传遍全世界,世界性的巨大杀机潜伏下来了,一场人类史无前例的信息大劫难即将暴发。
1999年4月26日,一个计算机行业难以忘却的日子,也就是到了CIH-1.2病毒第二年的发作日,人们起早一上班便轻松的打开计算机准备工作,可是,打开一台计算机后,只看到屏幕一闪便就黑暗一片。再打开另外几台,也同样一闪后就再也启动不起来了...,计算机史上,病毒造成的又一次巨大的浩劫发生了。第二天早上,上门请求恢复硬盘数据的用户从江民公司的楼上一直排到了公司门前的马路上,江民公司全体员工连夜免费为用户修复电脑硬盘数据,整整忙了一个星期这种情况才有所缓解。
谈到造成那次计算机浩劫的主要原因,江民反病毒专家严绍文分析说,主要原因是人们没有起码的防范意识。早在98年KV300+就可以清除CIH病毒,但那时许多人掉以轻心,没有及时定期地对计算机进行病毒扫描,还有一部分用户没有升级,加上那时杀毒
软件盗版成风,种种原因聚集在一起,导致了99年CIH的大规模爆发。
对于CIH病毒,江民反病毒中心每年都会病毒发作情况监控,2006年以后,随着使用以
DOS为内核的WIN98和WIN ME操作系统的人越来越少,CIH已经失去了发作的系统平台,江民反病毒中心连续几年对CIH病毒发作情况进行了监测,数据表明CIH已经开始退出病毒舞台。
“梅丽莎” 美丽杀手
1999年在西方国家大爆发的melissa又称为“梅丽莎”或者美丽杀手,是一种
word97宏病毒,专门针对微软的电子邮件
服务器ms exchange和电子邮件收发系统outlook。该病毒利用outlook全域地址表来获取信箱地址信息,并自动给表中前50个信箱发送电子邮件,并在其后附加一个被感染的文件list.doc,内含大量的色青网址。该病毒会在每台被感染的电脑上重复这样的动作,在短时间内形成连锁反应,产生大量的电子邮件垃圾,造成邮件
服务器严重阻塞以至最后瘫痪。用户可以手工在
注册表中添加类似病毒感染的表项,避免病毒的传染,或者在发送电子邮件时不要启动
word文字处理系统。“梅丽莎”当年造成了超过8000万美元的经济损失。
“求职信” 不死毒王
求职信病毒(wantjob)始现于2001年8月,因为病毒中带有特征字句“I want a good job,I must support my parents.(我必须找到一分工作来供养我的父母)”,因此被称之为“求职信”病毒。“家庭”中的几位“重要”的成员,分别是:Worm.WantJob.61440、Worm.WantJob.73744、Worm.WantJob.81936、Win32.Foroux.A
这是一个高危险性的恶性邮件病毒,因为病毒中带有特征字句“I want a good job,I must support my parents.(我必须找到一分工作来供养我的父母)”,因此被称之为“求职信”病毒。它与Nimda病毒同样利用了Iframe ExecCommand漏洞,使没有打IE补丁的用户收到邮件后会自动运行,具有非常强的传播性。
“求职信”不仅具有尼姆达病毒自动发信、自动执行、感染局域网等破坏功能,而且在感染计算机后还不停的查询
内存中的进程、检查是否有一些杀毒
软件存在。如果存在则将该杀毒
软件的进程终止。每隔0.1秒就循环检查进程一次,以至于这些杀毒
软件无法运行。该病毒每过8小时就搜寻一切可写的网络资源(如局域网的完全共享目录),随机产生一个文件名,加密后把复制过去。因此感染性极强。主要特点是通过电子邮件系统进行传播,感染电脑之后能主动关闭许多杀毒
软件的运行,正是这一个特点使得它的传播速度明显快于其他病毒,其次它还能感染通过在局域网与电脑相连接的共享驱动器。
求职信病毒如果感染的是Windows NT/2000系统的计算机,即把自己注册为系统服务进程,一般方法很难杀灭。它还不停地向外发送邮件,把自己伪装成”Htm、Doc、Jpg、Bmp、Xls、Cpp、Html、Mpg、Mpeg“类型文件中的一种,文件名也是随机产生的,很具隐蔽性。
该病毒将会自动搜索硬盘,用内存中的随机数据覆盖硬盘上的所有文件,因此会给用户数据带来无法估量的损失。
求职信病毒后来也出现了大量的变种,历经数年而不衰,一段时间被称为是“不死毒王”,直到2005年以后,当木马盗号病毒成为主流,求职信才很少再被提起过。
SQL杀手 史上最短小、杀伤力最大的蠕虫
2003年1月25日,江民快速反病毒应急处理中心成功截获造成全球
互联网瘫痪的"SQL杀手"(worm.SQL.helkerm)蠕虫病毒。这是一个病毒体极其短小,却具有极强的传播性病毒,病毒只用376个字节的程序,就使全球
互联网遭遇到重创。病毒不破坏文件、数据,但是能消耗大量网络带宽资源,使得网络陷入瘫痪。
江民反病毒专家介绍,此病毒是利用Microsoft SQL Server的漏洞进行传播,由于Microsoft SQL Server在世界范围内都很普及,因此此次病毒攻击导致全球范围内的
互联网瘫痪,在中国80%以上网民受此次全球性病毒袭击影响而不能上网,很多企业的
服务器被此病毒感染引起网络瘫痪。而美国、泰国、日本、韩国、马来西亚、菲律宾和印度等国家的
互联网也受到严重影响。这是继红色代码、尼姆达,求职信病毒后又一起极速病毒传播案例。所以“SQL杀手”蠕虫的出现,应该成为一个传奇……
“SQL杀手”病毒能够大面积传播的奥秘在于,病毒在入侵未受保护的机器后,首先取得三个Win32 API地址,GetTickCount、socket、sendto,接着病毒使用GetTickCount获得一个随机数,进入一个死循环继续传播。在该循环中蠕虫使用获得的随机数生成一个随机的ip地址,然后将自身代码发送至1434端口(Microsoft SQL Server开放端口),该蠕虫传播速度极快,它使用广播数据包方式发送自身代码,每次均攻击子网中所有255台可能存在机器,而受到感染的电脑又开始进行下一轮攻击,病毒以255的几何级倍级传播,因此能够在短短一小时左右迅速传遍全球。
冲击波
2003年8月12日,是继1999年4月26后又一个让电脑用户难以忘记的日子。这天,几乎所有WIN2000以上操作系统的用户一连上网就被提示系统将要在一分钟内重启,局域网用户的电脑也出现同样症状。截止到今年4月份,据微软统计,这个被命名为“冲击波”的病毒已经感染了近千万台电脑。冲击波利用微软操作系统RPC漏洞传播,扫描TCP端口,对所有存在漏洞的机器发送攻击代码,病毒无需进入硬盘,在内存中即可导致被扫描到的机器频繁重启。
一时间,冲击波病毒在全球范围内的泛滥不可遏止,全国上百万台计算机、上千个局域网被感染,并以极快的速度传播。
“这次大规模蠕虫病毒的爆发可以说是2-3年以来国内反应最为强烈的一次”,江民科技董事长王江民在接受新浪科技独家采访时表示,“从江民目前的统计来看,本次遭受攻击的
电脑系统主要集中在Windows XP及Windows 2000上,大概占到60-70%的比例,另外少量Windows Me及98系统也遭到了不同程度的攻击”。
12日上午,江民公司率先在国内提交了该病毒的解决方案并及时升级了病毒库,同时向国家公安部等相关部门提交了病毒样本。
据江民公司的
技术人员介绍,冲击波病毒是一种蠕虫病毒,其样本大小为6176字节,感染的操作系统为Windows2000和XP及2003操作系统,病毒会下载并运行病毒文件Msblast.exe,最终将会导致机器停止响应。
王江民认为,蠕虫病毒将是
互联网时期最为肆虐的电脑病毒,而在今后的时间内,可能还会不同程度的爆发。对于本次冲击波病毒,王江民表示,相比之前的CIH病毒,这个病毒的传播能力颇强,就象它自身的名字一样,基本是按指数上升的。
随着
互联网信息时代的到来,网络
安全已经成为企业和个人不得不面临的问题,“准确的说,根本没有所谓永久性的
安全防护措施,对用户而言,提高防护意识可能更重要!”
震荡波 不平常的五一
2004年5月1日,人们正沉浸在五一长假的快乐当中,震荡波病毒开始发难,其攻击手段与冲击波如出一辙,仍然是利用微软操作系统漏洞以及开放的端口从内存到内存对连在网上的电脑进行攻击的,一时,反病毒公司的热线电脑响声四起,反映自己奔四电脑比586还慢,上不了网、频繁重启的求助电话一个接着一个,“震荡波”病毒在短短12天时间内,即接连出现6个变种,感染了全球约1800万台电脑,损失高达5亿美元。
4月13日到4月29日,江民反病毒专家们刚刚截获并消灭了专偷网上银行资金的病毒“网银大盗”病毒,5月1日,国家计算机病毒应急中心发现,一种利用微软操作系统漏洞的蠕虫病毒正在对
互联网发起攻击,并陆续接到江苏、宁夏、北京、黑龙江、辽宁和广东等地区用户报告。凭着与计算机病毒多年的实战经验,专家们认为这个病毒潜在的危害巨大,病毒利用的是Windows LSASS的一个已知漏洞(MS04-011),被攻击的计算机会出现系统频繁重启的现象,与去年大面积爆发的冲击波病毒危害十分相似。反病毒专家们担心的是,虽然去年4月份微软就发布了这个漏洞补丁,但我国仍有相当部分用户没有打上这个漏洞补丁。
当日,国家计算机病毒应急处理中心紧急与以江民为首的我国反病毒通道厂商联系,要求反病毒厂商紧急升级杀毒
软件病毒库。江民国内率先响应了国家应急中心的指示,以最快速度升级了KV系列杀毒
软件病毒库,并在江民反病毒资讯网发布了病毒
技术分析报告以及相关解决方案。
网银大盗 网上银行大劫难
2003年4月21日,一条平时不为人关注的计算机病毒新闻登上了京城各大报刊的头版,江民反病毒专家发布消息称,他们截获一种专门盗取某网上银行用户名和密码的木马病毒,这种病毒会在用户计算机中创建可执行文件与挂钩和发信模块文件,并修改注册表,病毒在系统启动时即可运行。病毒主程序开启2个计时器,计时器1每隔3秒钟检查是否有常用反病毒和防火墙
软件运行,一旦发现则立即终止这些进程,同时还自动回写病毒注册表项和病毒文件。计时器2每隔0.5秒搜索用户的IE窗口,如果发现用户正在"某网上银行"的登录界面,则尝试窃取注册卡号和密码。一旦成功,就把窃取到的信息保存到共享内存中,电脑与网络再次连通后,木马就会把共享内存中保存的用户帐号和密码通过电子邮件发送给病毒作者。
“网银大盗”系一种间谍
软件,属于木马类病毒,该病毒利用某网上银行系统漏洞,偷取网上银行用户银行卡号和密码,并自动发送给病毒作者。截止犯罪嫌疑人被捕时,该犯罪团伙已成功窃取资金4.8万元 。在江民及某网上银行
技术人员的努力下,该病毒于4月中旬即被查杀,某网上银行也已经进行了紧急
技术升级,堵上了这个漏洞,避免了一场即将发生的网上银行浩劫,保护了某网上银行用户上千亿万资金
安全。
证券大盗
2004年11月25日,江民反病毒中心截获“证券大盗”木马病毒(Trojan/PSW.Soufan)。该木马可以盗取多家证券交易系统的交易账号和密码,被盗号的股民帐户存在被人恶意操纵的可能。
据江民反病毒专家介绍,病毒运行后,自动监控一些特定的金融证券网站页面,当病毒监测到包含多家券商名称的网站标题窗口时,就开始使用键盘钩子程序自动记录用户登陆信息,包括用户名和密码,同时,病毒还通过屏幕快照将用户登陆时窗口画面保存为图片,在记录达到一定次数后,将记录的信息和图片通过电子邮件发送给病毒作者。
江民公司研发部总经理何公道认为,该病毒可能造成的危害在于,
黑客可以恶意操纵被盗的股票,将某高价股票高买低卖,然后使用自己的账户将同一股票低买高卖,赚取中间的差价,给被盗股民带来巨大的损失。更为狡猾的是,“证券大盗”病毒每次运行后即“自杀”,并删除自身在系统中留下的文件,达到消毁“罪证”的目的,“作案”手段十分隐蔽。
令人吃惊的是,2006年5月14日,新华社报道,据公安部门侦察,截止到犯罪嫌疑人被捕时,证券大盗病毒作者已利用“证券大盗”病毒程序,在不到2个月时间里,截获股民股票账户、密码,盗买、盗卖股票价值1141.17万元,非法获利38.6万元。5月9日下午,南昌市中级人民法院一审以盗窃罪判处主犯张勇无期徒刑,从犯王浩、邹亮分别被判13年和12年有期徒刑。证券大盗给人们留下深深的思考!
敲诈者
2006年6月11日,国内首例旨在敲诈被感染用户钱财的木马病毒被江民公司反病毒中心率先截获。该病毒名为“敲诈者”(Trojan/Agent.bq),病毒可恶意隐藏用户文档,并借修复数据之名向用户索取钱财。 “敲诈者”给中毒的电脑用户带来了巨大麻烦。山东某公司财务部电脑感染了“敲诈者”,导致财务报表莫名失踪,用户不得已紧急飞往北京寻求数据恢复。广州某从事鞋业国际贸易的网友因感染该病毒,导致一笔巨额外贸订单丢失,白白损失数十万元。而唐山某银行的用户也因为感染了敲诈者,导致单位工资报表被隐藏,一时难以恢复。“敲诈者”病毒可谓作恶多端,一时网上人人喊打,被病毒侵害丢失巨额外贸订单的网友“大叔”甚至极端地在网上发帖,称要悬赏十万严惩名为“欧阳俊曦”的病毒作者。
据国内率先截获“敲诈者”病毒的江民科技反病毒工程师介绍,仅江民反病毒中心已接到110余例用户中毒求助报告,而全国估计至少有数千人感染该病毒,目前该反病毒中心已截获该病毒的7个变种。新华社6月19日报道,经过病毒留下的线索和
技术分析,江民反病毒工程师锁定了一
网名为“俊曦”的人,怀疑此人即为“敲诈者”病毒的作者。据“俊曦”在MSN上留言,他传播病毒不过是为了“买点面包充饥”。“俊曦”自称是有着二十年编程经验的程序员,以前沉溺于
技术赚钱不多得不到周围人承认,现在感觉“经常用左腿走路累,突然换右脚感觉快多了”,暗示编写程序不如编写病毒赚钱。他还透露将掀起“更大的风暴”。 另据介绍,病毒作者还透露“敲诈者”病毒是2006年6月6日制作完成并传播的,而这一天恰好是西方国家的魔鬼日,病毒作者对此颇为自得,自称事前并无预谋,如此巧合“似有神助”。
“敲诈者”病毒案例引起了公安部及广东省公安厅领导的高度重视,广州警方成立了专案组,迅速锁定了病毒制造者欧阳某,并于7月3日晚9时许,在广州白云区某小区内将犯罪嫌疑人抓获,当场查获作案工具计算机2台以及
手机卡和银行卡一批。从案发到侦破仅用了19天时间。
熊猫烧香
2006与2007年岁交替之际,一名为“熊猫烧香”的计算机病毒在
互联网上掀起轩然大波。从去年12月首次出现至今,短短一个多月,病毒已迅速在全国蔓延,受害用户至少上百万,计算机反病毒公司的热线电话关于该病毒的咨询和求助一直不断,
互联网上到处是受害者无奈的求助、怨恨、咒骂,电脑里到处是熊猫烧香的图标,重要文件被破坏,局域网彻底瘫痪,病毒造成的损失无法估量。
1月18日,国内最大的计算机反病毒厂商江民科技监测到,“威金”病毒新变种“熊猫烧香”仍在疯狂传播,上演着最后的疯狂。江民科技监测发现,近阶段该病毒的传播手段更是无所不用其及,继一些IT专业门户及资讯网站成为病毒帮凶后,一家普及率非常高的影音播放
软件网站也感染了该病毒,用户点击网页即可中毒。“熊猫烧香”不但可以终止大量的杀毒
软件和防火墙程序,而且还禁止用户使用GHOST恢复系统,通过U盘、共享文件夹、系统默认共享、IE漏洞、
qq漏洞、系统弱口令等等多种途径传播,局域网中一台机器感染,可以瞬间传遍整个网络。
江民反病毒专家介绍,导致病毒快速传播目前存在三大原因。一个大量的企业用户使用国外杀毒
软件,而国外杀毒
软件对于此类国产病毒响应速度特别慢。二是一部分网站编辑或网站管理人员本身机器感染了病毒,由于病毒能够修改HTML文件,当他们把受感染文件上传到
服务器后,访问者点击此类受感染网页即中毒。三是病毒综合利用了多种漏洞和传播途径,如利用微软MS06-014漏洞感染HTML文件,通过QQ最新漏洞传播自身,通过网络文件共享、默认共享、系统弱口令、U盘及移动硬盘等多种途径传播。
磁碟机
近日,越来越多的企业用户向江民反病毒中心求助,称他们的企业网络正在遭受病毒侵袭,电脑运行缓慢,出现系统蓝屏、死机等现象,可执行文件被病毒感染,整个网络
安全面临严重的病毒威胁。
江民反病毒工程师经提取病毒样本分析后认为,多数企业都遭受了同一病毒“千足虫”(又名磁碟机)病毒侵害。千足虫(磁碟机)早在去年就被江民反病毒中心截获,近期频繁变种,大有卷土重来之势。“磁碟机”病毒能够利用多种手段终止杀毒
软件运行,并可导致被感染计算机系统出现蓝屏、死机等现象,严重危害被感染计算机的系统和数据
安全。与其它关闭杀毒
软件的病毒不同的是,该病毒利用了多达六种强制关闭杀毒
软件和干扰用户查杀的反攻手段,许多自身保护能力不够强壮的杀毒
软件在病毒面前纷纷被折。
江民反毒专家何公道认为,磁碟机病毒是近几年以来发现的病毒
技术含量最高、破坏性最强的病毒,其破坏能力、自我保护和反杀毒
软件能力均十倍于“熊猫烧香”。磁碟机病毒的发作标志着计算机病毒进入了驱动病毒时代。
计算机病毒从2006年开始,又有了重大的发展。病毒的目标已经从以前的炫耀
技术彻底转向经济利益,网络上流行的病毒大都是盗号窃密的木马病毒,而病毒
技术也日新月异,病毒通过Rootkit
技术和映象劫持
技术隐藏自身的进程、注册表键值,通过插入进程、线程避免被杀毒
软件查杀,通过实时监测对自身进程进行回写,避免被杀毒
软件查杀,通过还原系统SSDT HOOK和还原其它内核HOOK
技术破坏反病毒
软件,其中仅映象劫持
技术就包括“进程映像劫持”、“磁盘映像劫持”、“域名映像劫持”、“系统DLL动态连接库映像劫持”等多种方式。目前几乎所有的盗取网络游戏帐号的木马病毒都具备了以上一种以上的
技术特征,几乎所有最新的程序应用
技术都被病毒一一应用,电脑一旦感染病毒,普通用户根本无能力彻底清除,只能求助专业
技术人员。未来的计算机病毒将综合利用以上新
技术,使得杀毒
软件查杀难度更大。
伴随着
互联网的高速发展,病毒也进入了愈加猖狂和泛滥的新阶段,并呈现出了以下几个特征:
1、病毒的种类和数量在迅速增长:
江民公司2008年1月2日发布的《2007年度病毒疫情报告》中显示表明:截止到2007年底,江民反病毒中心共截获新病毒总数为36万3000余种,较06年增长501%。截止到2007年12月份,病毒累计感染计算机 3441万4793 台,其中78%以上的病毒为木马、后门。而仅2008年上半年,江民反病毒中心共截获新病毒206439种,1至6月全国共有9871681台计算机感染了病毒。目前江民反病毒中心日处理病毒数量达到最高达到上万种。
2、传播手段越来越广泛:
木马、病毒通过移动存储设备、网页挂马、网址欺骗、
视频文件传播、部分知名
软件的漏洞等进行疯狂传播。
3、病毒的
技术水平越来越高:
病毒制造者不断更新着病毒的制造
技术,不断推出病毒的新变种,利用新的
技术手段隐藏自身进程,通过加壳和免杀
技术终止杀毒
软件的运行,逃避杀毒
软件对于病毒的查杀,达到传播有害程序、破坏数据文件、非法窃取利益的目的。更值得关注的是,进入2008年以来,大部分主流病毒
技术都进入了驱动级,开始与杀毒
软件争抢系统驱动的控制权,从而控制杀毒
软件,致使杀毒
软件功能失效。
4、病毒的危害越来越大:
更多的木马和病毒破坏
电脑系统、造成死机、蓝屏、数据丢失、窃取用户帐号密码等,给用户造成巨大的损失和破坏。熊猫烧香、机器狗、ARP病毒、磁碟机这些病毒迅速在
互联网上疯狂传播,被感染的计算机数量急速增长,严重影响着个人用户和企业用户的信息
安全。
二十年来,从
DOS病毒到WINDOWS病毒,从单台电脑之间传播到到网络传播,转播载体从软盘到光盘再到现在的移动存储,反病毒与病毒的较量从来没有停止过,江民反病毒专家们随时都处于备战状态。反病毒在明处,病毒在暗处,没有人可以预知下一个病毒会在什么时候出现,而反病毒工作者的责职及使命所在就是:消灭每一个病毒在萌芽状态,防止其进一步的传播和爆发,让更多的电脑用户能够
安全、愉快地使用
互联网。
中国计算机反病毒20年重要反病毒
技术(2)
从1988年我国发现第一个病毒“小球”算起,至今中国计算机反病毒之路已经走过了二十年。二十年弹指一挥间,计算机病毒和反病毒
技术发生了翻天覆地的变化,计算机病毒迄今为止已经超过了一百万种,而计算机反病毒
技术也已经更新了一代又一代。作为中国最早从事计算机反病毒研究的
安全软件企业之一,江民科技以亲身经历见证和参与书写了中国计算机反病毒二十年辉煌历史。
中国计算机反病毒发展史以1998年为界分为前十年和后十年两个重要阶段。前十年历史主要是查杀感染文件型和引导区病毒的历史,后十年主要是针对蠕虫和木马的历史。发展到今天,计算机病毒更加复杂,多数新病毒是集后门、木马、蠕虫等特征于一体的混合型病毒,而病毒
技术也从以前以感染文件和复制自身,给电脑用户带来麻烦和恶作剧为目的,变成了以隐藏和对抗杀毒
软件并最终实施盗号窃秘为目的。特别是进入2008年以来,病毒逃避杀毒
软件追杀的能力在不断提升,内核级驱动、映像劫持、ROOTKIT、注册表关联、插入进程/线程、加壳加密等等,病毒从来没有象今天这样,将新
技术应用的如此全面,如此完善。而魔高一尺,道高一丈,计算机反病毒
技术在与计算机病毒的较量中也得到了升华,与20年前相比已经已经有了质的飞跃。
DOS杀毒时代
无论是病毒还是反病毒,在一定时间阶段内必定是基于某一类主流平台的,从
DOS时代至今,操作平台发生了三次重大演变,从
DOS进展到WINODWS时代,从WINDOWS单机操作到目前互联时代,计算机已经单一的信息孤岛发展成为全球
互联网中的一个信息节点,相应地计算机病毒的发展也与此息息相关。
DEBUG手工杀毒
1988年至1989年,我国先后出现了最早的计算机病毒“小球”和“大麻”,而当时国内并没有杀毒
软件,这时候,一些程序员使用微软的
软件缺陷调试程序DEBUG来跟踪清除病毒,这也成为最早最原始的手工杀毒
技术。DEBUG通过跟踪程序运行过程,寻找病毒的突破口,然后通过DEBUG强大的编译功能将其清除。由于DEBUG强大的侦错能力,在早期的反病毒工作中发挥了重大作用,但由于使用DEGUG需要精通汇编语言和一些硬盘底层
技术,所以,能够熟练使用DEBUG杀病毒的人并不多,而早期经常使用DEBUG跟踪破解病毒的程序员,在长期的杀毒工作过程中积累了经验以及病毒样本,多数成为后来计算机反病毒行业的中坚
技术力量。
就在那个时候,江民科技创始人王江民每次利用DEBUG杀掉一个病毒,就编写一个程序,命名为KV1,当杀掉100个病毒,就把他们集中起来,叫做KV100,一直到风靡全国的KV300,这样,普通的电脑用户不需要掌握DEBUG,只需用KV就可以杀毒了。当然,计算机病毒发展到现在,仅江民杀毒
软件KV2006就可以清除超过13万种病毒,我们的杀毒
软件也早就不再用杀毒数来命名,而是采用了国际通用的以年代命名的方法。随着操作系统和病毒
技术的发展,以及
DOS病毒的退出历史舞台,现在的反病毒工程师已经很少用DEBUG去破解病毒,而是普遍应用了IDA、OllyDbg等反编译程序,但用DEBUG手工杀毒至今仍然是老一代反病毒人员津津乐道和难以忘怀的往事。
广谱智能杀毒
技术 当病毒数量激剧上升,达到几千几万种的时候,人们发现,许多新病毒其实就是老病毒变种,病毒作者在老病毒的基础上修改一些字节数,添加一些新特征,这样就让杀毒
软件无法识别了。这时候,如果仍然采用一个一个病毒分析的方法,无疑工作量很大。能不能有一种办法,提取出一个此类病毒的共同特征,以后不管这种病毒出现多少变种,都可以用一种特码征去查杀。经过
技术上的攻关和一次次测试,我们研发成功了广谱智能杀毒
技术,这种杀毒
技术是在对此类变种病毒的充分剖解的基础上,精心提取的病毒共同特征,只要在杀毒
软件中添加了广谱特征码,变种再多也可以做到以不变应万变。
宏病毒杀毒
技术 1997年下半年,微软的Office逐渐普及,然而,不知从什么时候开始,许多用户开始发现,平时很正常的
word文档无法打印,一篇稿件写完后去无法保存......一场“宏”病毒大潮来袭!江民公司反病毒中心接到的求助电话开始越来越多,经过反病毒工程师分析,导致此类怪现象的原因,是因为电脑用户的
word文档中多了一个未知的“宏”。“宏”是
word中的一种自动执行的一组操作命令,病毒正是利用
word此项功能,将一些有害的代码添加为“宏”命令,从而破坏
word的正常使用,甚至可以删除
word文档。由于这种“宏”极具传染性,所以被称为“宏病毒”。
然而,由于微软的
word文档格式和算法是保密的,而“宏病毒”所在的文件位置却并不确定,而且杀毒
软件清除宏病毒的还不能破坏
word文档,这给杀除“宏”带来很大的困难。在求助微软中国公司未果的情况下,经过江民反病毒研究中心一个月的攻关,终于把
word格式研究的透透彻彻,于是马上升级KV300杀毒引擎和病毒库,彻底解决了宏病毒的难题。那个时候,衡量一款杀毒
软件的杀毒能力,只要看他处理“宏”病毒的情况就可以了,而KV300是国内首家可以彻底解除宏病毒的杀毒
软件,随着其它杀毒
软件也开始加入清除“宏病毒”的功能,慢慢地“宏”病毒开始逐渐被消灭。
杀双料病毒和变形病毒
除了广谱杀毒
技术和宏病毒杀毒
技术外,清除变形病毒和引导区、文件型的“双料”病毒也是
DOS时代较为典型的杀毒
技术。“双料”病毒既感染磁盘引导区、又感染可执行文件,常见的有Flip/Omicron、 XqR(New century)、Invader/侵入者、 Plastique/塑料炸弹、3584/郑州(狼)、3072(秋天的水)、ALFA/3072-2、Ghost/One_Half/3544(幽灵)、Natas(幽灵王)、TPVO/3783等,如果只解除了文件上的病毒,而没解除硬盘主引导区的病毒,系统引导时又将病毒调入内存,会重新感染文件。如果只解除了主引导区的病毒,而可执行文件上的病毒没解除,一执行带毒的文件时,就又将硬盘主引导区感染。狡诈的变形加密病毒,象乱线团一个,几乎让人解不开。用具有特殊
技术的查毒方法,使上述病毒在静态环境中是很容易被发现。所谓静态环境就是指重新加电,用干净软盘引导系统。这样,就可在内存无病毒的状态下,用具有特殊扫描方法的
软件去主动搜索病毒。即我们可用广谱过滤法、以毒攻毒法、跟踪法、逻辑法、逆转显影法、内存反转法、虚拟机法、启发式分析法、指纹分析法、神经网络敏感系统...等等,这样,变形病毒的问题也得到了解决。
WINDOWS视窗时代 从“杀毒”到“反病毒”的关键一跃
随着WINDOWS95和WINDOWS98操作系统的逐渐普及,电脑开始进入可视化视窗时代,随着电脑与外界数据交换越来越频繁,电脑病毒开始从各种入口入侵。除了软盘,光盘、硬盘、网上邻居、电子邮件、网络下载、注册表等等都可能成为病毒感染的通道。病毒越来越多,一味地杀毒将使电脑用户疲于应付,这时,反病毒工程师开始意识到有效防御病毒比单纯杀毒对于用户来讲价值更大。1999年,江民公司首家研发成功病毒实时监控
技术,首次突破了杀毒
软件的单一杀毒概念,开创了从“杀毒”到“反病毒”新时代。从此,杀毒
软件也开始摆脱了一张杀毒盘的概念,首次安装版本,以KVW3000等为代表。
安装版的杀毒
软件与操作系统同步运行,对通过文件、邮件、网页等途径进入电脑的数据进行实时过滤,发现病毒在内存阶段立即清除,抵御病毒于系统之外。
随着这一
技术的发展和完善,目前实时监控
技术已经非常完善,如江民杀毒
软件现在已具备了七套实时监控系统,具有文件监视、邮件监视、网页监视、即时通信监视、木马注册表监视、脚本监视、隐私信息保护等七大实时监控功能,从各大病毒入侵通道封杀病毒,成为目前杀毒
软件最主流最具价值的核心
技术。目前,衡量一款杀毒
软件的防杀能力,也主要通过测式实时监控性能,例如,发现网页上的病毒,是在下载过程中(内存阶段)报警并清除还是在下载完毕后才能报警并处理?经过层层压缩和加密的病毒,杀毒
软件是根目录时便能侦测到并报警,还是选择了这个病毒压缩包才能报警?病毒实时监控
技术又包含了比特动态滤毒
技术、深层杀毒
技术、神经敏感系统
技术等,这些
技术使得杀毒
软件在实时监控病毒时更灵敏,清除病毒也更彻底。
互联网时代 主动防御新时代
近年来,伴随着
互联网的高速发展,病毒也进入了愈加猖狂和泛滥的新阶段,并呈现出了以下几个特征:
1、病毒的种类和数量在迅速增长:
江民公司2008年1月2日发布的《2007年度病毒疫情报告》中显示表明:截止到2007年底,江民反病毒中心共截获新病毒总数为36万3000余种,较06年增长501%。截止到2007年12月份,病毒累计感染计算机 3441万4793 台,其中78%以上的病毒为木马、后门。而仅2008年上半年,江民反病毒中心共截获新病毒206439种,1至6月全国共有9871681台计算机感染了病毒。目前江民反病毒中心日处理病毒数量达到最高达到上万种。
2、传播手段越来越广泛:
木马、病毒通过移动存储设备、网页挂马、网址欺骗、
视频文件传播、部分知名
软件的漏洞等进行疯狂传播。
3、病毒的
技术水平越来越高:
病毒制造者不断更新着病毒的制造
技术,不断推出病毒的新变种,利用新的
技术手段隐藏自身进程,通过加壳和免杀
技术终止杀毒
软件的运行,逃避杀毒
软件对于病毒的查杀,达到传播有害程序、破坏数据文件、非法窃取利益的目的。更值得关注的是,进入2008年以来,大部分主流病毒
技术都进入了驱动级,开始与杀毒
软件争抢系统驱动的控制权,从而控制杀毒
软件,致使杀毒
软件功能失效。
4、病毒的危害越来越大:
更多的木马和病毒破坏
电脑系统、造成死机、蓝屏、数据丢失、窃取用户帐号密码等,给用户造成巨大的损失和破坏。“熊猫烧香”、“机器狗”、“ARP病毒”、“磁碟机”这些病毒迅速在
互联网上疯狂传播,被感染的计算机数量急速增长,严重影响着个人用户和企业用户的信息
安全。
伴随着计算机病毒的飞速发展,一些新的计算机反病毒
技术也应运而生。
未知病毒主动防御
技术 未知病毒主动防御的核心原理是依据行为判断,不同于常规的特征扫描
技术。主动防御监测系统主要是依靠本身的鉴别系统,分析某种应用程序运行进程的行为,从而判断它的行为,达到主动防御的目的。
当前的杀毒
软件都是通过从病毒样本中提取病毒特征值来构成病毒特征库,采用特征扫描
技术,通过与计算机中的应用程序或者文件等的特征值逐一比对,来判断计算机是否已经被病毒感染,即由专业反病毒人员在反病毒公司对可疑程序进行人工分析研究。杀毒
软件厂商只有通过用户上报或者通过
技术人员在网络上搜索才能捕获到新病毒,然后从新病毒中提取病毒特征值添加到病毒库中,用户通过升级获取最新的病毒库,才能判断某个程序是病毒。
如果用户不升级,用户计算机上安装的杀毒
软件就不能防范新出现的病毒,这也是专业反病毒工程师一直强调用户要及时升级杀毒
软件病毒库的原因。这种特征值扫描
技术的原理决定了杀毒
软件的滞后性,使用户不能对网络新病毒及时防御,网络病毒的频频爆发,已经使国际国内反病毒领域开始意识到,杀毒
软件赖以生存的事后“补丁”式
技术越来越被动,所以主动防御监测
技术应运而生。
BOOTSCAN系统启动前杀毒
技术 近年来,一系列计算机新
技术被病毒利用,人们发现,病毒开始越来越难清除了,中了病毒无法查出,查出病毒无法清除,甚至杀毒
软件被病毒干掉的事情经常发生。“ROOTKIT”、插入线程、进程这些计算机新
技术已经成为木马病毒的常用办法。针对此类疑难病毒,BOOTSCAN系统启动前杀毒
技术应运而生,江民反病毒研究中心在2005年9月研发成功的此项
技术能够在系统启动之前就开始调用杀毒引擎扫描和清除病毒,而在这一阶段病毒的这些自我保护和对抗反病毒
技术的功能还没有运行,因此在杀毒
软件的快刀下被纷纷“斩首”。目前还没有发现BOOTSCAN杀不掉的病毒。
反病毒Rootkit、反病毒Hook
技术 越来越多的病毒开始利用Rootkit
技术隐藏自身,利用HOOK
技术破坏系统文件,防止被
安全软件所查杀。反病毒Rootkit、反病毒Hook
技术能够检测出深藏的病毒文件、进程、注册表键值,并能够阻止病毒利用HOOK
技术破坏系统文件,接管病毒钩子,防御病毒于系统之外。
启发式扫描 、虚拟机脱壳
启发式分为静态启发和动态启发,静态启发有点相当于广谱特征码
技术,在杀毒
软件中内置一个特别的启发特征库,然后将病毒的原码与这个库进行比较,如果符合或接近这个库里的病毒特征,就将其报为相应的病毒。江民杀毒
软件KV2009不但具有静态启发,而且还有动态启发,动态启发与虚拟机结合的十分紧密,目前主要应用在对花指令病毒的扫描和查杀。
虚拟机的原理是在系统上虚拟一个操作环境,然后在这个虚拟环境下运行病毒,在病毒现出原形后将其清除。虚拟机目前主要应用在脱壳方面,许多未知病毒其实是换汤不换药,只是把原病毒加了一个壳,如果能成功地把病毒的这层壳脱掉,就很容易将病毒清除了。对于虚拟机的应用,许多反病毒专家各执一词,有人强调虚拟机杀毒
技术,认为这项
技术可以很好地清除未知病毒。而有的专家则对此持保留态度,原因是虚拟机需要占用太多的系统资源,虚拟机功能的强大是建立在消耗大量的系统资源基础上的,过分强调和应用虚拟机杀毒
技术,可能会导致整个操作系统都不能进行其它工作。
“沙盒”(Sandbox)
技术 “沙盒”
技术是国际反病毒业界近年来最新提出的反病毒新概念,多数杀毒厂商尚处于实验室研究阶段,江民杀毒
软件KV2009成为国内首家将该项新
技术应用到产品中的专业杀毒厂商。
虽然同为防范未知病毒的杀毒
技术,“沙盒”
技术与主动防御
技术原理截然不同。主动防御是发现程序有可疑行为时立即拦截,终止运行;“沙盒”
技术是发现可疑行为让程序继续运行,当发现的确是病毒时才终止。让程序的可疑行为电脑虚拟的“沙盒”里充分表演,但是沙盒会记下他的每一个动作。在病毒充分暴露了其病毒属性后,“沙盒”则会执行“回滚”机制,将病毒的痕迹和动作抹去,恢复系统到正常状态。
反病毒
技术发展方向:内核级主动防御
计算机病毒与反病毒较量了20余年后,终于在2008年登峰造极。进入2008以来,大部分主流病毒
技术都进入了驱动级,病毒已经不再一味逃避杀毒
软件追杀,而是开始与杀毒
软件争抢系统驱动的控制权,在争抢系统驱动控制权后,转而控制杀毒
软件,使杀毒
软件功能失效。
目前几乎所有的盗号木马病毒都具备了这一特征,病毒应用了包括ROOTKIT
技术、内核级HOOK
技术、进程注入、文件加密存放等主流编程
技术,导致电脑一旦被病毒感染,事后清除十分困难。内核级主动防御系统能够防御驱动型病毒终止杀毒
软件,在
cpu内核阶段对病毒进行拦截和清除。
对于病毒的活动来说,由于反病毒
软件必须保证其在内存阶段即被截获并作出处理,所以普通的用户级程序是无法监控的,只有工作于Ring0(系统核心层)的程序才能监控系统活动。内核级主动防御系统将查杀病毒模块直接移植到系统核心层直接监控病毒,让工作于系统核心态的驱动程序去拦截所有的文件访问。目前国内外杀毒
软件普遍的
技术研发现状只是部分监控模块运行于内核层,而内核级主动防御系统将查毒和杀毒模块都运行于系统内核层,可以有效防范未知病毒对计算机系统的入侵,并能够在系统内核阶段完成对计算机病毒的防御和清除,解决目前杀毒
软件普遍面临的难以有效防御和清除驱动型病毒的
技术难题。是计算机信息
安全领域
技术发展新方向。
综合来说,内核级主动防御系统既能解决层出不穷的新病毒的问题,而且针对病毒采用的对抗杀毒
软件技术提出了有针对性的解决方法,能够解决电脑和
互联网用户面临的越来越广泛的疑难病毒问题。
