電腦病毒簡介 周承復 Email : ccf@csie.ntu.edu.tw Date: 11/12/2002
大 綱 定義 特性 種類 測試技術 Case Study 預防機制
定義 電腦病毒只是一個電腦程式 電腦病毒是設計來破壞電腦裡的軟體,讓你的工作不能正常進行 電腦病毒是一段很小的電腦程式,它是一種會不斷「自我複製」及「感染」的程式
電腦病毒的特性 繁殖性 記憶體常駐 寄居性 傳染性 多型態 事件觸發
電腦病毒的種類 開機型病毒(Boot Strap Sector Virus) 檔案型病毒 (File Infector Virus) 複合型病毒 (Multi-Partite Virus) 千面人病毒 (Polymorphic/Mutation Virus) 巨集病毒 (Macro Virus)
開機型病毒 (Boot Strap Sector Virus): 開機型病毒 (Boot Strap Sector Virus) 開機型病毒是藏匿和感染磁碟片或硬碟的第一個磁區,即我們平常所說的Boot Sector 傳統開機型病毒 : 米開朗基羅病毒 隱型開機型病毒 :隱型開機型病毒感染的是硬碟的開機磁區 目錄型開機型病毒 :只感染電腦的檔案配置表(FAT)
檔案型病毒 (File Infector Virus) 檔案型病毒通常寄生在可執行檔(如 *.COM, *.EXE等)中。常見的檔案型病毒有Connie系到病毒與耶路撒冷(Jerusalem)系列病毒等等 非常駐型病毒(Non-memory Resident Virus) : 非常駐型病毒將自己寄生在 *.COM, *.EXE或是 *.SYS的檔案中。 常駐型病毒(Memory Resident Virus) :常駐型病毒躲在記憶體中,其行為就好像是寄生在各類的低階功能一般(如 Interrupts),由於這個原因, 常駐型病毒往往對磁碟造成更大的傷害。 散播病毒 產生一組亂數IP位址,利用八組網路遮罩,與系統IP及亂數IP進行運算,以產生下一個攻擊目標
複合型病毒 (Multi-Partite Virus) 複合型病毒兼具開機型病毒以及檔案型病毒的特性。它們可以傳染 *.COM, *.EXE 檔,也可以傳染磁碟的開機系統區(Boot Sector)。 台灣曾經流行的大榔頭(Hammer),歐洲流行的Flip翻轉病毒
千面人病毒 (Polymorphic/Mutation Virus): 千面人病毒可怕的地方,在於每當它們繁殖一次,就會以不同的病毒碼傳染到別的地方去。 如Whale病毒依附於.COM檔時,幾乎無法找到相同的病毒碼,而Flip病毒則只有2 byte的共同病毒碼
巨集病毒 (Macro Virus): 巨集病毒是目前最熱門的話題,它主要是利用軟體本身所提供的巨集能力來設計病毒,所以凡是具有寫巨集能力的軟體都有巨集病毒存在的可能 如Word、Excel、AmiPro都相繼傳出巨集病毒危害的事件,在台灣最著名的例子正是Taiwan NO.1 Word巨集病毒。
第二代病毒 第二代病毒完全不需要寄主的程式, 如果硬要說它寄生在哪裡, 或許只能說它是寄生在「Internet」上吧。 它就是利用網頁編寫所用的JAVA或ActiveX這些語言。由這些語言可以寫出一些「可執行的」程式碼,而在使用者瀏覽網頁時, 一併下載下來在系統裡執行。既然JAVA或ActiveX可寫成一些「可執行的」程式碼, 那就沒什麼理由不能讓病毒藏身其中。
病毒測試技術 病毒碼掃描法 加總比對法 (Check-sum) 人工智慧陷阱(Rule-based) 軟體模擬掃描法 VICE ( Virus Instruction Code Emulation) - 先知掃描法 即時的I/O掃描(Realtime I/O Scan) 文件巨集病毒陷阱(MacroTrapTM)
Case Study: 求職信病毒 行為分析 利用微軟outlook郵件預覽功能 利用IE5系統漏洞 利用通訊錄名單寄發病毒信 冒名發送病毒信 移除防毒軟體的病毒定義碼檔案 即使不開啟電子郵件程式,仍可寄發病毒信
求職信病毒(Cont.) 預防感染對策 安裝IE5修補程式,或升級到IE6 http://www.microsoft.com/technet/security/topics/NimdaIE6.asp 啟動防毒軟體之病毒碼即時更新功能 關閉outlook/outlook express 預覽信件功能 outlook : 關閉 “檢視/預覽窗格” 及 “檢視/自動預覽” outlook express : 關閉 "檢視/版面配置/預覽窗格/顯示預覽窗格"
求職信病毒(Cont.) 清除病毒的方法 關閉資源分享功能。 IE 5.01 及 5.5用戶更新修正程式 關閉所有正在執行的程式,包括防毒軟體 下載清除程式 fix_klez401.zip 開啟MS-Dos模式 ,執行CLN_KLEZ.BAT 重新啟動電腦並使用掃瞄軟體掃瞄所有檔案,並將掃瞄的受感染檔案刪除
Case Study: Sircam 病毒描述 藉由電子郵件進行散播 執行附加檔案後,病毒利用通訊錄中的名單自動發送病毒郵件 郵件主旨及附加檔案名稱不固定 郵件內容第一行與最後一行為: Hi! How are you? See you later. Thanks!
Sircam(cont.) 防毒方式 設定收件原則過濾電子郵件 選取:郵件/從郵件建立規則 選擇規則的條件:勾選「郵件本文包含的文字」 選擇規則的動作:勾選「刪除」 規則說明:按一下底線文字進行編輯,將「Hi! How are you?」等英文字輸入。 按確定即可。
Sircam(cont.) 移除工具 至 http://www.sarc.com/avcenter/FixSirc.com 下載 Fixsirc.com 執行這個工具時先關掉其他程式,包括防毒程式的自動防護 如果使用Windows Me,關掉System Restore (在My Computer->Performance->File System-Troubleshooting) 執行 Fixsirc.com 如果您使用 Windows Me,最後請再開啟 System Restore
個人電腦保全要領 安裝防毒軟體 重要資料要常常做備份 更新Windows應用程式版本 設定Windows檔案共享的權限 不開啟來歷不明的信件與附加檔 注意系統漏洞與病毒的最新消息 妥善管理伺服器