Monday, January 7, 2008

病毒

病毒一般都具有自我複製的功能,同時,它們還可以把自己的副本分發到其他檔、程式或電腦中去。病毒一般鑲嵌在主機的程式中,當被感染檔執行操作的時候,病毒就會自我繁殖(例如:打開一個檔,運行一個程式,點擊郵件的附件等)。由於設計者的目的不同,病毒也擁有不同的功能,一些病毒只是用於惡作劇,而另一些則是以破壞為目的,還有一些病毒表面上看是惡作劇病毒,但實際上隱含破壞功能。病毒可以分為以下四類:感染檔病毒、感染引導區病毒、巨集病毒和惡作劇電子郵件。

1. 感染檔病毒
感染檔病毒會把自己載入到可執行檔中,例如:WORD、試算表、電腦遊戲。當病毒感染了一個程式後,它就會自我複製去感染系統中的其他程式,或者是其他通過共用使用了被感染檔的系統。此外,病毒還會駐留在系統記憶體中,以至於一旦有新的程式運行就會被病毒感染。病毒的另一種感染方式是通過修改程式運行時所執行檔的順序而不是修改程式運行的檔本身。在這種情況下,被感染的程式在執行的時候將先運行病毒,而後才運行自己的檔。目前,jerusalem和cascade是這類病毒中比較著名的。

2. 感染引導區病毒
感染引導區病毒可以感染硬碟或是可移動存儲設備(例如軟碟)的主引導區。引導區是記憶體最開始的一段空間,它用來放置記憶體中資料的結構定義等資訊。此外,引導區中還包含引導程式,它在主機啟動時運行來引導作業系統啟動。主引導區是硬碟上一段獨立的空間,只有用基本輸入/輸出系統可以定位和載入它的引導程式。當帶病毒磁片的內容在系統啟動時被讀取,病毒代碼就會被執行;軟碟等可移動存儲設備即使不是啟動盤,它也可以感染系統。感染引導區病毒具有極好的隱藏能力,並且可以對電腦造成極大的破壞,甚至可以達到無法恢復的地步。電腦如果感染這種病毒,一般會出現以下症狀:電腦在啟動時顯示錯誤資訊提示,或者是無法啟動。Michelangelo和Stoned是這種病毒的典型例子。

3. 巨集病毒
巨集病毒是目前比較流行也是比較危險的一種病毒。巨集病毒把自己載入到WORD和試算表等檔中。這種病毒就像它的名字所說的,它是利用巨集語言編寫的應用程式來運行和繁殖的。目前許多受歡迎的軟體(例如:MicrosoftOffice)都會自動利用巨集語言來編譯和反復執行作業。巨集病毒就會利用這一點來傳播惡意代碼。由於用戶經常把帶有巨集程式的檔共用,所以巨集病毒的傳播速度是非常快的。當巨集病毒感染檔的時候,它也會把該檔用於創建和打開操作的暫存檔案感染。因此,被巨集病毒感染的檔創建出的暫存檔案也是被感染的文件。Marker和Melissa是這種病毒的典型例子。

4. 惡作劇電子郵件
這種病毒就像它的名字提到的一樣,是一種假冒的病毒警告。它的內容一般是恐嚇用戶,表示將要對用戶電腦造成極大的破壞;或是欺騙用戶電腦即將被病毒感染,警告他們立即採取緊急措施。儘管這種病毒發佈的資訊是非法的,但是它還是像真正的病毒一樣傳播廣泛。通常這種病毒的傳播是通過一些無辜的用戶,他們希望發送這個資訊提醒其他人防範病毒的侵襲。通常,惡作劇郵件並不會造成什麼危害,但是有的惡作劇郵件會指使用戶修改系統設置或是刪除某些檔,這將會影響系統的安全性。閱讀惡作劇郵件會浪費用戶時間,而且一些惡作劇郵件會發送到一些技術支援的部門,警告他們將會有新的病毒威脅網路安全或是尋求幫助。這種病毒傳播比較廣泛的有GoodTimes和BudFrogs。

No comments: