计算机病毒的新趋势

浅析计算机病毒发展的新趋势及应对措施

摘要：计算机网络技术的发展和普及，极大地方便的人们的生活。通过网络，就算你可以足不出户，也可以完成很多的工作，你可以通过电子商务网来购物，可以通过VPN连接单位服务器工作，可以通过即时通讯软件与朋友聊天与交流，可以通过论坛社区来学习、灌水、娱乐等等.........

在计算机网络给人们带来极大便利的同时，随着计算机在社会生活各个领域的广泛运用，计算机病毒攻击与防范技术也在不断拓展。据报道，世界各国遭受计算机病毒感染和攻击的事件数以亿计，严重地干扰了正常的人类社会生活，给计算机网络和系统带来了巨大的潜在威胁和破坏。与此同时，病毒技术在战争领域也曾广泛的运用，在海湾战争、近期的科索沃战争中，双方都曾利用计算机病毒向敌方发起攻击，破坏对方的计算机网络和武器控制系统，达到了一定的政治目的与军事目的。可以预见，随着计算机、网络运用的不断普及、深入，防范计算机病毒将越来越受到各国的高度重视。

我国计算机反病毒技术从80年代末发展至今已有十余年历史，其间随着计算机操作系统的更替和网络技术的迅猛发展，反病毒技术也已经历了多次重大变革。从DOS时代只杀不防，到WINDOWS时代的实时监控，从一对一的特征码判断到广谱智能查杀，从查杀文件型病毒到防范种类繁多的网络病毒，反病毒与病毒技术一刻也没有停止过较量。而随着网络技术的飞速发展，宽带的日益普及，新病毒出现的数量和传播的速度也越来越快。据江民病毒分析工程师统计，目前江民反病毒研究中心捕获的病毒从以前的每天十几个到现在的上百个。一边是反病毒专家不停地分析病毒，另一方面是新病毒不断地出现，从病毒出现到捕获升级难免有时间差。因此了解病毒的发展趋势对反病毒工作有重要意义。

关键词：信息技术；信息安全；计算机病毒

正文：电脑病毒是一种在人为或非人为的情况下产生的、在用户不知情或批准下，能自我复制或运行的电脑程序；电脑病毒往往会影响受感染电脑的正常运作。

“病毒”一词最早用来表达此意是在弗雷德·科恩（Fred Cohen）1984年的论文《电脑病毒实验》。而病毒一词广为人知是得力于科幻小说。一部是1970年代中期大卫·杰洛德（David Gerrold）的《When H.A.R.L.I.E. was One》，描述了一个叫“病毒”的程序和与之对战的叫“抗体”的程序；另一部是约翰·布鲁勒尔（John Brunner）1975年的小说《震荡波骑士（ShakewaveRider）》，描述了一个叫做“磁带蠕虫”、在网络上删除数据的程序。

1960年代初，美国麻省理工学院的一些青年研究人员，在做完工作后，利用业务时间玩一种他们自己创造的计算机游戏。做法是某个人编制一段小程序，然后输入到计算机中运行，并销毁对方的游戏程序。而这也可能就是计算机病毒的雏形。

现在病毒的种类繁多，样式五花八门，威胁也愈来愈大，但是我们依然可以从中摸出一些趋势。

从病毒的种类上看近一两年木马和后门病毒明显增多，《2007年中国计算机病毒疫情调查技术分析报告》中前十名的病毒一半是木马。

从技术上看，免杀是指：对病毒的处理，使之躲过杀毒软件查杀的一种技术。通常病毒刚从病毒作者手中传播出去前，本身就是免杀的，甚至可以说“病毒比杀毒软件还新，所以杀毒软件根本无法识别它是病毒”，但由于传播后部分用户中毒向杀毒软件公司举报的原因，就会引起安全公司的注意并将之特征码收录到自己的病毒库当中，病毒就会被杀毒软件所识别。病毒作者可以通过对病毒进行再次保护如使用汇编加花指令或者给文档加壳就可以轻易躲过杀毒软件的病毒特征码库而免于被杀毒软件查杀。

美国的Norton Antivirus、McAfee、PC-cillin，俄罗斯的Kaspersky Anti-Virus，斯洛伐克的NOD32等产品在国际上口碑较好，但杀毒、查壳能力都有限，目前病毒库总数量也都仅在数十万个左右。

自我更新性是近年来病毒的又一新特征。病毒可以借助于网络进行变种更新，得到最新的免杀版本的病毒并继续在用户感染的计算机上运行，比如熊猫烧香病毒的作者就创建了“病毒升级服务器”，在最勤时一天要对病毒升级8次，比有些杀毒软件病毒库的更新速度还快，所以就造成了杀毒软件无法识别病毒。

除了自身免杀自我更新之外，很多病毒还具有了对抗它的“天敌”杀毒软件和防火墙产品反病毒软件的全新特征，只要病毒运行后，病毒会自动破坏中毒者计算机上安装的杀毒软件和防火墙产品，如病毒自身驱动级Rootkit保护强制检测并退出杀毒软件进程，可以过主流杀毒软件“主动防御”和穿透软、硬件还原的机器狗，自动修改系统时间导致一些杀毒软件厂商的正版认证作废以致杀毒软件作废，从而病毒生存能力更加强大。

免杀技术的泛滥使得同一种原型病毒理论上可以派生出近乎无穷无尽的变种，给依赖于特征码技术检测的杀毒软件带来很大困扰。近年来，国际反病毒行业普遍开展了各种前瞻性技术研究，试图扭转过分依赖特征码所产生的不利局面。目前比较有代表性产品的是基于虚拟机技术的启发式扫描软件，代表厂商NOD32，Dr.Web，和基于行为分析技术的主动防御软件，代表厂商中国的微点主动防御软件等。

从目的上看，在业界专家看来，对于电脑病毒，也许最严峻的挑战还不是因传播方式变化而带来的质变，而是传播目的所发生的变化。

专家指出，当病毒从破坏文件系统演化到窃取商业信息以后，实质上“就已经从一个技术游戏变成了一个犯罪工具”。

如今，越来越多的新病毒被设计用来传播间谍软件、制造垃圾邮件、实施“钓鱼”欺诈等。现在病毒制造者是出于个人的私利，而不是技术探索目的，来编写病毒。

“现在病毒爆发同以往最大的变化，是病毒制造者从单纯的炫耀技术，转变成以获利为目的；前者希望病毒尽量被更多的人知道，但后者希望最大程度地隐蔽病毒，以更多地获利。”金楷说。

金山反病毒实验室主管戴光剑则对记者透露，在业界，一个可以被控制的电脑被叫做“肉鸡”。在国内可以卖到0.5元到1元人民币一只，这样的“肉鸡”可以使用几天；如果可以使用半个月以上，则可以卖到几十元一只。对于病毒制造者和“经纪人”而言，如果控制了几十万甚至上百万台这样的“肉鸡”，盈利空间是可以想象的。

这样的“肉鸡”构成的“僵尸网络”(BotNet)既可以用来对企业网络实施集中攻击，还可以发送垃圾邮件，以及点击广告等。

CNCERT/CC抽样监测发现，中国大陆地区约有1000多万个IP地址的主机被植入僵尸程序；境外约1.6万个IP对中国境内的僵尸主机实施控制，这些IP主要位于美国、韩国和中国台湾等。

“熊猫烧香”病毒可以实现的一个重要功能，就是盗取用户账号和密码，从而窃取用户的虚拟财产；而一旦盗取了诸如装备、点卡等虚拟财产，就可以通过很多网上交易平台完成“销赃”，并从中获利。

据悉，2006年金山截获的各类病毒中，专门盗取网银/网游等网络财产和QQ号的“木马”占了51％。病毒的绝大多数变化都围绕此中心展开，已成为众多网民面临的第一大威胁。北京江民新科技术有限公司技术总监严绍文在接受记者采访时强调，金钱诱惑往往比个人爱好更持久、更有吸引力，这也在很大程度上导致了现在病毒遍地开花的严峻局面。

与此同时，部分杀毒软件厂商，到底在这个“黑色产业”中扮演着什么样的角色？电脑病毒市场上是否也在真实演绎着另类“无间道”，这或许仍然是个谜团。