網路病毒
網路病毒
網路病毒指計算機病毒的定義計算機病毒(Computer Virus)在《中華人民共和國計算機信息系統安全保護條例》中被明確定義,病毒“指編製或者在計算機程序中插入的破壞計算機功能或者破壞數據,影響計算機使用並且能夠自我複製的一組計算機指令或者程序代碼”。
與醫學上的“病毒”不同,計算機病毒不是天然存在的,是某些人利用計算機軟體和硬體所固有的脆弱性編製的一組指令集或程序代碼。它能通過某種途徑潛伏在計算機的存儲介質(或程序)里,當達到某種條件時即被激活,通過修改其他程序的方法將自己的精確是拷貝或者可能演化的形式放入其他程序中,從而感染其他程序,對計算機資源進行破壞,所謂的病毒就是人為造成的,對其他用戶的危害性很大!
計算機網路病毒本身並不是存在於實際世界的病毒生物,用最簡單的話來對它下個定義,計算機網路病毒就是編程人員人為編寫的一段計算機代碼程序。
這種程序的產生並不是為了服務於人們的生產生活,而是為了對特定的計算機網路進行破壞,從而達到盜取數據以及私人賬戶信息的目的。它既然是程序為什麼會被叫做計算機網路病毒呢?那是因為這種程序本身具有生物病毒的一些特徵。
從不同的角度看,網路病毒有不同的分類方式。
(1)從網路病毒功能區分。可以分為木馬病毒和蠕蟲病毒。木馬病毒是一種後門程序,它會潛伏在操作系統中,竊取用戶資料比如QQ、網上銀行密碼、賬號、遊戲賬號密碼等。蠕蟲病毒相對來說要先進一點,它的傳播途徑很廣,可以利用操作系統和程序的漏洞主動發起攻擊,每種蠕蟲都有一個能夠掃描到計算機當中的漏洞的模塊,一旦發現后立即傳播出去,由於蠕蟲的這一特點,它的危害性也更大,它可以在感染了一台計算機后通過網路感染這個網路內的所有計算機,被感染后,蠕蟲會發送大量數據包,所以被感染的網路速度就會變慢,也會因為CPU、內存佔用過高而產生或瀕臨死機狀態。
(2)從網路病毒傳播途徑區分。可以分為漏洞型病毒、郵件型病毒兩種。相比較而言,郵件型病毒更容易清除,它是由電子郵件進行傳播的,病毒會隱藏在附件中,偽造虛假信息欺騙用戶打開或下載該附件,有的郵件病毒也可以通過瀏覽器的漏洞來進行傳播,這樣,用戶即使只是瀏覽了郵件內容,並沒有查看附件,也同樣會讓病毒乘虛而入。而漏洞型病毒應用最廣泛的就是Windows操作系統,而Windows操作系統的系統操作漏洞非常多,微軟會定期發布安全補丁,即便沒有運行非法軟體,或者不安全連接,漏洞性病毒也會利用操作系統或軟體的漏洞攻擊計算機,例如2004年風靡的衝擊波和震蕩波病毒就是漏洞型病毒的一種,它們造成全世界網路計算機的癱瘓,造成了巨大的經濟損失。
(1)感染速度極快
單機運行條件下,病毒僅僅會經過軟盤來由一台計算機感染到另一台,在整個網路系統中能夠通過網路通訊平台來進行迅速的擴散。結合相關的測定結果,就PC網路正常運用情況下,若一台工作站存在病毒,會在短短的十幾分鐘之內感染幾百台計算機設備。(2)擴散面極廣
網路病毒
在網路環境中,病毒的擴散速度很快,且擴散範圍極廣,會在很短時間內感染區域網之內的全部計算機,也可經過遠程工作站來把病毒在短暫時間內快速傳播至千里以外。
(3)傳播形式多元化
對於計算機網路系統而言,病毒主要是通過“工作站-伺服器工作站”的基本途徑來傳播。然而,病毒傳播形式呈現多元化的特點。
(4)無法徹底清除
若病毒存在於單機之上,可採取刪除攜帶病毒的文件或低級格式化硬碟等方式來徹底清除掉病毒,若在整個網路環境中一台工作站無法徹底進行消毒處理,就會感染整個網路系統中的設備。還有可能一台工作站剛剛清除,瞬間就被另一台攜帶病毒的工作站感染。針對此類問題,只是對工作站開展相應的病毒查殺與清除,是無法徹底解決與清除掉病毒對整個網路系統所造成的危害。
傳播中的網路病毒分為靜態和動態兩種。位於輔助存儲媒介上的病毒就是靜態病毒。因為當操作系統執行程序后程序才被載入至內存當中,所以靜態病毒沒有被執行或載入,其也就不在於內存中。類似休眠的這種病毒也被當做一種潛伏狀態的病毒,且沒有傳染性和破壞性。如果病毒處於無法執行它的系統中,也將進入一種休眠狀態,即多相病病毒傳播機理。進入內存的病毒即動態病毒必須跟隨其宿主才能運行,且具有傳染性和破壞性。
靜態病毒轉換為動態病毒的過程被定義為病毒啟動。啟動過的動態病毒還可以分為可激活態及激活態。如果系統可以正常執行內存中的動態病毒,則動態病毒處於可激活態。系統調用該病毒修改中斷時可以執行修改中斷向量表的動態病毒。系統調用設備驅動時可以執行修改設備驅動程序頭的動態病毒。病毒的修改行為是為盜用或截留系統的正常運行機制。如果系統正在運行動態病毒,則動態病毒處於激活態。激活態的病毒不一定在傳染或破壞,但病毒傳染或破壞時一定是激活態。可激活態的動態病毒需要盜用或截留系統的正常運行機制進入激活態並得到系統的控制權。
病毒自身傳播機理的工作目的就是複製和隱蔽自己。其能夠被傳播的前提條件是:當計算機開啟后病毒至少被執行一次,並且具備合適的宿主對象。接下來從傳播目標、傳播過程、傳播方式分別描述傳播機理。
(1)傳播目標
病毒的傳播目標通常為可執行程序,具體到計算機中就是可執行文件、引導程序、BIOS和宏。詳細歸納一下,傳播目標可以是軟盤或硬碟引導扇區、硬碟系統分配表扇區、可執行文件、命令文件、覆蓋文件、COMMAND和IBMBIO文件等。病毒的傳播目標既是本次攻擊的宿主,也是以後進行傳播的起點。
(2)傳播過程
計算機中病毒的傳播過程和醫學概念中病毒的傳播過程是一樣的。病毒首先通過宿主的正常程序潛入計算機,藉助宿主的正常程序對自己進行複製。如果計算機執行已經被感染的宿主程序時,那麼病毒將截獲計算機的控制權。在這裡,宿主程序主要有操作系統、應用程序和Command程序三種,而病毒感染宿主程序主要有鏈接和代替兩種途徑。當已感染的程序被執行時,病毒將獲得運行控制權且優先運行,然後找到新的傳播對象並將病毒複製進入其中。
計算機網路病毒和傳統生物病毒一樣都需要有傳播方式才能進行傳播,大致可以分為以下幾類:
(1)E-mail的附件
一般最常見的傳播方式就是這種,將病毒藏在郵件的附件之中,再配上一個好聽的文字或者是其他的一些誘惑,誘使人們去打開附件,從而實現病毒的傳播。
(2)E-mail本身
一些蠕蟲病毒會利用在微軟漏洞調查通報的MS01-020中討論的安全漏洞將自己本身隱藏於E-mail中,與此同時,向其他的系統用戶發送一個副本來進行病毒傳播,誠如微軟的系統公告中所說,這個漏洞只是存在於IE瀏覽器中。但是可以通過Email郵件來進行傳播,當打開郵件的一瞬間,病毒就已經完成傳播過程。
(3)Web伺服器
計算機之間彼此信息交互是依靠Web伺服器來進行的。有一些病毒就是會攻擊5.0Web伺服器。以一種名為尼姆達的病毒舉例說明,它具有兩種攻擊方法,一種是它自身會檢測紅色代碼二病毒是否已經破壞了計算機,因為這種紅色代碼二病毒會在侵入過程創建一個“後門”,這個“後門”計算機使用自身是無法察覺到的,但是任何惡意用戶(指病毒編寫人員)都可以使用這個後門任意進出以及攻擊計算機。第二種方法就是病毒本身會嘗試利用計算機本身一個有關於Web伺服器的漏洞來進行攻擊,一旦病毒成功找到這個漏洞,就會利用這個漏洞來感染計算機。
(4)文件共享
一般來說Windows系統自身可以被設置成允許其他用戶來讀取系統中的文件,這樣就會導致安全性的急劇降低。在系統的默認情況下,系統僅允許經過授權的用戶讀取系統的所有文件。如果被有心人發現系統允許其他人讀寫系統的文件,系統中就會被植入帶有病毒的文件。再藉由文件傳輸過程完成新一輪的傳播。
(1)電腦運行緩慢
病毒運行時不僅要佔用內存,還會中斷、干擾系統運行,使系統運行緩慢。有些病毒能控制程序或系統的啟動程序,當系統剛開始啟動或是一個應用程序被載入時,這些病毒將執行它們的動作,因此會花更多時間來載入程序,對一個簡單的工作,磁碟似乎花了比預期長的時間,例如:儲存一頁的文字若需一秒,但病毒可能會花更長時間來尋找未感染文件。
(2)消耗計算機資源
如果並沒有存取磁碟,但磁碟指示燈狂閃不停,這可能預示著電腦已經受到病毒感染了。很多病毒在活動狀態下都是常駐內存的,如果發現並沒有運行多少程序時系統卻已經被佔用了不少內存,這就有可能是病毒在作怪了;一些文件型病毒傳染速度很快,在短時間內感染大量文件,每個文件都不同程度地加長了,造成磁碟空間的嚴重浪費。
(3)破壞硬碟和數據
引導區病毒會破壞硬碟引導區信息,使電腦無法啟動,硬碟分區丟失。如果某一天,機器讀取了U盤后,再也無法啟動,而且用其他的系統啟動盤也無法進入,則很有可能是中了引導區病毒;正常情況下,一些系統文件或是應用程序的大小是固定的,某一天,當發現這些程序大小與原來不一樣時,十有八九是病毒在作怪。
(4)竊取隱私賬號
如今已是木馬大行其道的時代,據統計如今木馬在病毒中比重已佔七成左右。而其中大部分都是以竊取用戶信息,獲取經濟利益為目的,如竊取用戶資料、網銀賬號密碼、網游賬號密碼等。一旦這些信息失竊,將給用戶帶來不小經濟損失。
(1)強化網路用戶安全防範意識
網路病毒會存在於文檔中,計算機用戶需要強化自身的安全防範意識,不隨意的點擊和下載陌生的文檔,從而使計算機感染網路病毒的幾率得到減少。此外,在上網瀏覽網頁時,對於陌生的網頁不能輕易的點擊,主要是因為網頁、彈窗中可能會存在惡意的程序代碼。所以網頁病毒是傳播廣泛、破壞性強的網路病毒程序,計算機用戶需要強化自身的網路安全以及病毒防範意識,嚴格規範自身的網路行為,拒絕瀏覽非法的網站,避免出現損失,也防止計算機遭到網路病毒的侵害。(2)及時對計算機系統更新
網路病毒
計算機會定期的檢測自身的不足與漏洞,併發布系統的補丁,計算機的網路用戶需要及時下載這些補丁,並安裝,避免網路病毒通過系統漏洞入侵到計算機中,進而造成無法估計的損失。計算機用戶需要及時的對系統進行更新升級,維護計算機的安全,此外關閉不用的計算機埠,並及時升級系統安裝的殺毒軟體,利用這些殺毒軟體有效的監控網路病毒,從而對病毒進行有效的防範。
(3)科學安裝防火牆
在計算機網路的內外網介面位置安裝防火牆也是維護計算機安全的重要措施,防火牆能夠有效隔離內網與外網,有效的提高計算機網路的安全性。如果網路病毒程序要攻擊計算機,病毒只有先避開和破壞防火牆,從能夠避免計算機用戶被攻擊。防火牆的開啟等級是不同的,計算機用戶需要自主選擇相應的等級。
(4)有效安裝殺毒軟體
當前殺毒軟體是比較常見的查殺網路病毒的方法,但是很多用戶最開始不能對殺毒軟體的作用正確認識,隨著計算機網路病毒的不斷出現,人們開始認識到殺毒軟體的重要性,並且殺毒軟體自身的完善與能力提高,也使人們更好的接受殺毒軟體。當前的殺毒軟體能夠全天候的對計算機進行監測,實時監測網路病毒。並且殺毒軟體以及病毒庫的及時更新能夠有效的查殺新型的網路病毒,其適應能力是比較強的。長期使用殺毒軟體可以發現,殺毒軟體能夠很好的對網路病毒進行查殺。同時,殺毒軟體不會佔用系統太大的資源,有時計算機運行速度比較慢是因為殺毒軟體在過濾網路病毒。此外殺毒軟體的使用也比較便利,即使計算機有中毒的情況,也能夠在短時間內自救。
(5)做好數據文件的備份
如果網路病毒入侵到計算機中,會導致計算機系統出現癱瘓,所以計算機用戶在日常使用中需要備份計算機中的重要數據與文件,通過這樣的方法減少網路病毒會計算機用戶造成的損失。
(1)架構防火牆與防毒牆
通過對計算機網路病毒的分析與了解,網路病毒傳播具有隱蔽性、隨機性、破壞性與突發性的特點,實施計算機網路安全防範工作時,需要架構防火牆與防毒牆的技術屏障,要求在病毒隔離層面出發來提升防禦性能。防火牆技術主要是藉助網路空間隔離技術,從網路安全形度出發,控制好網路通信訪問,其中所使用的技術有網關技術、包過濾技術與狀態監測技術。包過濾技術主要是篩選傳輸層內的網路數據,遵循事先約定的相關過濾原則,科學檢測每個數據包的目標地址、源地址與埠,進而對整個系統安全係數進行合理的判斷。狀態監測技術主要是藉助防火牆來從網路安全策略之上來檢測網路狀態,提升網路環境的安全性與通暢性。例如,可抽取相關的狀態信息來與安全策略進行對照,科學檢查網路動態數據包,若發覺意外,應即刻停止傳輸。網關技術主要是設立到網路數據通信埠的相關工作站,主要負責檢查進入到網路平台之中的網路數據與網路請求,避免發生惡意攻擊行為,從而達到保護網路數據的安全性。近些年來,防毒牆技術逐步發展起來,主要是對計算機網路病毒實施過濾的一種病毒庫,要求把防毒牆設置在網路入口位置,過濾好網際網路各項信息,主要實現對病毒的科學過濾,如若發現存在病毒的威脅,應及時將病毒予以清除掉。從理論角度出發,防毒牆可防止發生病毒入侵現象,而發揮更好的病毒防範效果,應對病毒庫進行更新,利用防毒牆來實時化監測最新的病毒。
(2)身份認證與訪問控制
對於網路系統中的每台計算機,必須要利用身份認證來予以識別,而對於對方訪問情況,需要由身份辨認角度來予以確認。安全管理員應科學設置口令,由口令認證上開展訪問控制。此外,應對用戶開展相應的分級管理,使用不同許可權來利用好網路資源。在口令認證上,可加強對口令字元數的管控,針對不同字元組合來設定口令,也要開展定期變更處理,對用戶數據進行保密處理。不可在郵件之中予以發送。網路認證環境相對複雜,而對於攻擊者而言,其主要是由網路傳輸層來截獲口令,此種情況下,口令認證也會存在著安全風險。網路身份認證工作甚為複雜,而在各個主機上,對雙方身份進行認證處理時,可通過網路平台來操作,此時,網路會為黑客帶來便利。面對此類問題,防範口令入侵之上,主要採取密鑰加密處理方式。與此同時,應對IP地址採取合理的接入處理,能限制訪問非授權性用戶。而後,還要遵循事先約定的基本原則,科學檢測來訪者的具體身份,在控制階段來對用戶實施分組,對許可權範圍予以限制,對相關文件實施合理的控制與操作。
(3)反病毒軟體
不管是密鑰認證技術,還是病毒防火牆與數據加密技術,基於計算機網路環境而言,依然存在病毒與黑客攻擊行為。當前,網路病毒變異的速度逐步加快,致使病毒感染率大大提高。此時,可使用反病毒軟體來對病毒進行防範處理。反病毒軟體主要是通過對網路病毒的科學檢測,預防出現惡意程序問題,會使得安全和管理工作變得十分便捷,利於提高網路維護與管理質量。例如,可在NT伺服器之上安裝一定的殺毒軟體,能對本區域網之內全部極其實施安全配置,藉助操作系統間相關安全處理措施來架構網路病毒防禦系統。此外,利用反病毒軟體,能結合網路病毒的基本特點來開展目標性設計,若發現病毒,就需要啟動病毒隔離系統,若個別終端存在著感染病毒的現象,伺服器就會起到防範兵符傳播的作用。
據國家網際網路應急中心2020年11月16日-11月22日消息顯示,中國境內感染網路病毒的主機數量約為47.6萬個,其中包括境內被木馬或被殭屍程序控制的主機約41.2萬以及境內感染飛客(conficker)蠕蟲的主機約6.4萬。