https://newera17031.activehosted.com/index.php?action=social&chash=19de10adbaa1b2ee13f77f679fa1483a.2906&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=19de10adbaa1b2ee13f77f679fa1483a.2906&nosocial=1

觀點

解析病毒演變新趨勢

2002 / 06 / 06
解析病毒演變新趨勢

整理/郭慧姿


沒有固定主旨,沒有信件內容,沒有附加檔案,日前求職信變種病毒(WORM_KLEZ.G)以詭譎形式橫行,利用電子郵件迅速在全球各地擴散,造成多家企業甚至政府單位電腦陷入癱瘓。有鑒於近來病毒來勢洶洶,威力更勝以往,企業對於病毒演變方式不能掉以輕心。
病毒令企業損失慘重
據研究機構Computer Economics截至2001年12月初的統計顯示,企業於去年花在受電腦病毒攻擊後的善後經費高達123億美元,單是CodeRed病毒所造成的經濟損失,就遠遠超過過去6年來,每年的年度病毒損失。


E-mail仍是傳播電腦病毒的主要管道
趨勢科技轄下的TrendLabs全球防毒研發暨技術支援中心所作的「2001年10大病毒統計」中可以發現,蠕蟲(Worm)與特洛依木馬(Trojan Horse)的病毒類型佔2001年出現病毒的絕大部份,一些病毒如SIRCAM.A(SIRCAM的變種病毒)、MTX.A、KAKWORM.A、MAGISTR.B等甚至不再專屬某一種病毒類型。至於去年7月新出現的駭客型病毒如NIMDA.A、CodeRed則搶佔榜首,其中尤以NIMDA.A為甚,在十大病毒中感染率達36.07%。值得關注的是,自1995年起,持續6年為病毒主要類型的巨集病毒(Macro)卻退居10大病毒之外,而E-mail仍是傳播電腦病毒的主要管道。


Internet縮短病毒傳播時間
在Internet未崛起之前,電腦的主要功能限於運算與資料儲存;1993年區域網路(LAN)興起,電腦的主要功能以資源共享為主;1995年Internet興起,即時線上服務興起資訊浪潮;而防毒技術與病毒形式也隨之演變。
撰寫病毒程式的人,彷彿將Internet當成私人的遊樂場,透過非法的地下網站、新聞討論區或ICQ等聊天程式,與同好交換切磋駭客技巧,甚至公佈病毒撰寫工具或新的危害方式進而製造病毒。過去,Internet尚未起飛的年代,一隻病毒從美國傳到中國,可能要花上好幾個星期的時間,而今只需要Click一下滑鼠,病毒就在瞬間傳到全球各大洲了。


























































年代 1988~ 1993~ 1995~
電腦演進 個人電腦 區域網路 Internet
主要功能 運算與資料儲存 資料分享 即時線上服務
病毒威脅的目標 硬碟、開機區 企業內部伺服器 對外開放的伺服器、E-mail、網站
防毒重點 用戶端 服務器端 閘道
流行的病毒類型 檔案型 文件巨集型病毒 特洛依木馬、蠕蟲、駭客型病毒
防毒技術 監控檔案是否有病毒 即時掃毒、伺服器掃毒 空中抓毒、中央控管與服務
感染率(資料來源:ICSA-美國國家電腦安全協會) 21% 63% 98%
病毒數量 20-3000 3000-8000 8000-15000以上



病毒威脅與防毒技術演變





惡性程式大混血
「惡性程式」(Malicious Code)泛指所有不懷好意的程式碼,包括電腦病毒(Virus)、特洛伊木馬程式(Trojan
Horse)、電腦蠕蟲(Worm)。在過去,90%以上的惡性程式都屬於電腦病毒,而近兩年來特洛依木馬程式及電腦蠕蟲幾乎橫掃天下。





在早期電腦病毒、特洛伊木馬程式、電腦蠕蟲都是個自獨立的程式而且彼此不相干,但近幾年來單一型態的惡性程式愈來愈少了,大部份都以「電腦病毒」加「電腦蠕蟲」或「特洛伊木馬程式」加「電腦蠕蟲」的型態存在,以便造成更大的影響力;而且比例以前者居多。例如:「梅莉莎」(MELISSA)便是結合「電腦病毒」及「電腦蠕蟲」的兩項特性,不但會感染Word的Normal.dot(此為電腦病毒特性),而且會透過Outlook
E-mail大量散播(此為電腦蠕蟲特性)。例外一個耳熟能詳的案例是結合了「特洛伊木馬程式」及「電腦蠕蟲」兩項特性的「探險蟲」(ExploreZip)。探險蟲並不會感染任何檔案,但是會覆蓋掉(Overwrite)在區域網路上遠端電腦中的重要檔案(此為特洛伊木馬程式特性),並且會透過區域網路將自己安裝到遠端電腦上(此為電腦蠕蟲特性)。













在其電腦病毒、特洛伊木馬程式、電腦蠕蟲都是各自獨立的程式而且彼此不相干,但近幾年來卻是互相結合,發揮更大的破壞力。


 









認識惡性程式
1.電腦病毒:即是會將本身複製到其他乾淨的檔案或開機區的惡性程式,當電腦使用者在不自覺的情形執行到已受病毒感染的檔案或磁片開機時,這個惡性程式就以相同的方式繼續散播出去;至於電腦病毒是不是都會在某特定日期發作且破壞電腦資料,就和病毒的寫作者如何設計程式有關,並不屬於電腦病毒的特性。

2.特洛伊木馬程式:不像電腦病毒一樣會感染其他檔案,特洛伊木馬程式通常都會以一些特殊管道進入使用者的電腦系統中,然後伺機執行其惡意行為(如格式化磁碟、刪除檔案、竊取密碼等),Back
Orifice特洛伊木馬程式便是一個案例;透過該程式,電腦駭客便有機會入侵主機竊取機密資料。



3.電腦蠕蟲:電腦蠕蟲也不會像電腦病毒一樣感染其他檔案,但「本尊」會複製出很多「分身」,就像西遊記中的孫悟空一樣,拔幾根毛就可以複制出幾個分身,然後像蠕蟲般在電腦網路中爬行,從一台電腦爬到另外一台電腦,最常用的方法是透過LAN、Internet或是E-mail進行散佈。著名的電腦蠕蟲「I
Love You」就是一個例子。



病毒發展趨勢
病毒與駭客聯袂攻擊電腦



從前的病毒均非常簡單,只是專侵襲及感染開機區域、執行檔及Word
檔案等;如今的電腦病毒卻與駭客聯袂,利用Microsoft伺服器的漏洞植入後門程式如特洛依木馬,或藉著E-mail大肆傳播衍生無數分身的電腦蠕蟲,亦會藉著用戶瀏覽網頁而令其下載病毒;更甚者是三者兼備。去年七月CodeRed利用Microsoft
IIS
伺服器的漏洞,引進駭客型病毒的攻擊模式,令其在電腦病毒歷史上的地位如第一隻病毒Brain一樣,具有重大的歷史意義;而高居榜首的Nimda病毒亦是三者兼備的病毒代表,它的多重管道散播病毒的模式,破壞力比起CodeRed有過之而無不及。



過去電腦病毒與駭客行徑最不同之處,在於電腦病毒經大量複製及傳播,卻沒有特定的感染目標;而駭客卻會選擇知名的網站作為目標,然而Nimda病毒已揭開了駭客邁向侵襲個人電腦用戶的第一步。兩、三年前駭客不會寫病毒,病毒作者也不懂駭客伎倆,但現在他們已互相交換技巧,甚至在某些網站上公開彼此的程式碼等資訊,令侵襲的方式日新月異。



預覽E-mail亦會感染病毒



「不要開啟E-mail附件」、「不要讀取來歷不明的E-mail」是預防以E-mail散播病毒的最佳方法,2000
年的「 I Love You」病毒以此方法大肆散播,造成重大的經濟損失,另外一些與新聞事件相關的標題如「911事件」,完全利用網友的好奇心,令電腦病毒攻無不克。



日前求職信變種病毒橫行,實際上,這隻求職信 (TROJ_KLEZ或PE_ELKERN)病毒於去年10月底即已現身,當時是以苦肉計的求職信方式吸引收信人點選
(我需要奉養家人,我需要工作....)
,再加上因其具有電腦蠕蟲的特性,在當時也引起不小的風波。半年多來,該病毒變種不斷產生,不同於以往的病毒攻擊方式,此最新變種病毒以不固定主旨,沒有信件內容,沒有附加檔案的詭譎形式出現,令人側目的是,使用者只要預覽此病毒信件,不需執行任何附加檔案,就已經受到病毒感染。其主旨甚至會假冒是由防毒軟體公司名義發出的清除工具來誘拐用戶點選,可怕的是,它甚至還能卸載用戶電腦中的防毒軟體。其變種特別多,到目前為止已經不下十數種,據估計,僅次於當年叱吒一時的「
I Love You」病毒。



事實上這種一經預覽用戶就會中毒的病毒已經不是第一次出現,根據2001年病毒感染率報告指出,10大病毒中有7種皆藉E-mail作感染媒介,排名第6的BADTRANS.B病毒甚至會在預覽郵件時,透過Internet
Explorer MIME的漏洞自動執行病毒程式,並且會利用通訊錄再度寄出郵件,造成企業郵件伺服器癱瘓,因此使用者盡量不要開啟郵件預覽功能,以免遭受破壞力十足的病毒攻擊。



瀏覽網頁亦有機會受感染



瀏覽網站與E-mail病毒有異曲同工之妙,尤其是那些免費下載程式的網站,更是病毒下手的目標,只要瀏覽某一頁就會受感染。