電腦病毒簡介 |
初寫:2006.02.01, 更新日期:2019.12.28
|
|
作者:曾聖超老師 |
- 何謂電腦病毒
在自然界,生物病毒是一種具破壞性、大量繁殖、傳播的一種有機生物體。
1949年,約翰•范紐曼(John Von Neumann)
在「複雜自動裝置之理論與組織的進行」論文中,首度描述電腦程式複製特性的輪廓。
1959年,在AT&T貝爾實驗室裡,
工程師們為了較量實力,想出撰寫磁蕊大戰(core war)的遊戲,
因為早期的電腦記憶體是磁蕊,比賽雙方必須將程式先寫好,
載入記憶體(磁蕊)後,就不能再更改程式碼!
比賽的程式得依靠事前功能的規劃,來覆蓋對方的程式碼,
且要能夠修復自己的程式碼,直到某方的程式吃掉另一方的程式,即是獲勝。
讓真正的病毒程式誕生。
1983 科恩.湯普遜(Ken Thompson) 公開證實病毒存在。
1984 杜特尼(A. K. Dewdney)甚至公開磁蕊戰的程式,供人參考,開啟潘朵拉的盒子。
1985 義大利的羅勃吐.歇魯帝(Roberto Cerruti)和馬高.麼魯顧帝(Marco Morocutti)
發明使用程式病毒,讓電腦受感染以破壞軟體的方法。
由於早期的電腦,大多數是單機獨立運作,沒有連線,
當電腦被病毒程式感染,只需將電腦電源關閉(清除記憶體),
再用乾淨的開機程式安裝、掃毒,就可以消滅;所以造成的連鎖破壞不大。
而今日的電腦,幾乎都連接網路,
一旦上網,也代表隨時有機會,可能被駭客或病毒入侵。
1984年 Fred Cohen論文《電腦病毒實驗》,「病毒」一詞最早用來表達此意。
1985年3月 杜特尼(A. K. Dewdney)在「科學美國人」雜誌中,
第一次提到「病毒」這個名詞。
電腦病毒的特性:
- 破壞性
- 傳播性(經由執行檔, Email, MSN...)
- 複製性(感染、傳染)
簡單說,電腦病毒是一種具有破壞性、傳播性及複製能力的惡意程式。
- 電腦病毒種類
早期主要分成四種基本類型:開機型、檔案型、巨集型、以及綜合型。(From eteacher)
- 開機型(Boot Strap Sector Virus):
或稱為系統型病毒,大多在作業系統讀入記憶體前,也就是在BIOS載入後,
病毒會將自己優先載入記憶體。
早期電腦多半利用3.5吋軟碟開機,現在如USB開機等機會感染,
常見的有:(C)BRAIN、STONED3(米開朗基羅)、DISK
KILLER、HEAD ELEVEN。
- 檔案型(File Infector Virus):
主要寄生在執行檔上,如:.com、.exe的檔案,
趁使用者執行時,予以傳播、感染。
例如:13 FRIDAY、SUNDAY。
- 巨集型(Macro Virus):
早期MS DOS環境下,常見的編輯軟體如:PE2、KS2等,
讓使用者可以定義.pro檔,來設定常用的熱鍵,
這個.pro檔其實就是巨集程式檔。
最近常用的辦公室軟體,如:Word、Excel等,
也都有使用巨集程式,所以,都有被感染巨集病毒的可能。
例如:Taiwan NO.1。
- 綜合型(Multi-Partite Virus):
結合上述開機型與檔案型病毒的特點,
傳播速度和破壞威力也特別大。
例如:MacGyver 2.0。
CIH(英文又稱為 Chernobyl 或 Spacefiller)是一種電腦病毒,名稱源自其創作者,是當時就讀台灣大同工學院(現大同大學)學生陳盈豪
的名字拼音縮寫而來。曾被認為是廣泛傳播最有害的病毒之一,會破壞用戶電腦上的全部資料,在某些情況下,會重寫主機板上的BIOS。
- 惡意程式(Malicious Code)或稱(Malware)
隨著網路的連結和發達,上述電腦病毒等的單純個別破壞,已經是算小範圍的,所以有人提出更大範圍的描述,
來泛指對於惡意的蒐集、散播、破壞電腦資料、或運作的程式碼,稱為惡意程式(Malware)。
按照所影響的範圍,電腦病毒也包括其中。
甚至有人提出灰色軟體(Grayware),涵蓋更大範圍的電腦威脅(不懷善意)。
- 特洛伊木馬(Trojans)
顧名思義,跟希臘羅馬神話裡的故事一樣,跟電腦病毒不同,這種程式主要目的,不是在破壞電腦系統或資料,而是以竊取資料為目的。所以,程式主要在系統因為後門或漏洞,被侵入或植入後,將該電腦/系統內蒐集的資料傳輸給散播者,甚至該系統可能淪為散播者犯罪的工具或跳板。這類程式通常不具自我繁殖性,而是為受害者無意間去點選陷阱程式(木馬禮物),如:陷阱網頁、色情Email附加檔案、或某些黑客利用系統後門漏洞而手動植入。
- 蠕蟲(Worm)
被植入方式,和前面電腦病毒或木馬程式類似,都是由特定執行所引發,常使用垃圾郵件、系統漏洞來達到傳播目的。
不同之處在於,當該網段內,有某一台電腦被蠕蟲感染後,蠕蟲程式會自我大量複製到電子郵件,,並利用通訊錄名單大量寄送,當收件者不小心點選後,一樣的症狀將造成連鎖反應。
如此會造成該網路大量流量,而達到讓網路擁塞,而瀏覽網頁效率大幅降低,阻撓電腦正常使用
。
而當蠕蟲執行時,也會造成該電腦記憶體大量耗損,而讓電腦變慢,甚至會出現當機現象。
該網段內,被蠕蟲感染的電腦,還會測試同區段其他電腦,是否有漏洞,而這些動作都是蠕蟲自動進行。
典型的案例有Sasser 和 疾風(Blaster) 蠕蟲。
例如:被感染W32.Sasser電腦,會自動掃瞄TCP port
445,如果連接成功,會出現C:\WINDOWS\system32\lsass.exe意外終止,該電腦就會顯示關機的秒數倒數。
- 電腦病毒
如前敘述。
- 勒索病毒
自2017年爆發的一種新型態病毒,雖然跟其他電腦病毒一樣,但其目的不只是破壞電腦,而是使用者的錢。
其潛伏在電腦系統中,如同一般檔案一樣沒有特徵,但一旦被啟動後,會以一個金鑰密碼(Key)加密受害者在硬碟中所有的檔案,而一旦檔案被加密後,則無法開啟;而勒索病毒的操作者會傳遞相關畫面訊息給受害者要求「贖金」!
傳染方式有的是透過 Windows 系統漏洞入侵
,或下載來源不明的檔案、瀏覽不當網站內容、點擊網頁中的惡意廣告等,都有機會讓勒索病毒透過網路感染。
目前部分防毒軟體有開發解決方式,但不一定有效,支付贖金也可能遇到不肖的操作者,可能不見得有機會拿到金鑰解密,所以最重要的防治,還是回到資訊安全最核心的觀念「備份」!
重要的資料,一定要「備份」出來(燒成光碟、或存在另外1-2顆外接硬碟usb上都可以)
- 電腦病毒的偵測
以下是電腦可能感染惡意程式的四種情況:
1.電腦跑起來比以前慢:
中毒的電腦會暗中監視你的網路連線,尋找可竊取的資料,如:密碼、信用卡等個資。在執行這些尋找計算,會嚴重拖慢上網瀏覽速度。被感染的電腦也可能被遙控來去轉發垃圾信件或攻擊其他電腦。
2.電腦開機時程序,發現載入、執行不明軟體.
3.瀏覽器工具列出現沒看過的按鈕、或附加元件.
4.你的好友收到你寄的奇怪信件.
邱春樹(2006) 認為相關的防毒軟體評比報告,結果通常都不太一樣的原因,是因為大部分的報告發表,背後都
一定有贊助廠商,為了宣傳自己的產品,在評比公布前,難免在測試的指標、樣本及方法上去修改來造成不同的、
或對自己有利的結果。邱春樹(2006)認為一份評比,最重要的就是測試的「項目」、「樣本」和「方法」,來決定最後的結果。實施評比的機構或單位,
必須公布所測試前述此三者的內容,如此才能夠讓別人也可以依據一樣的步驟流程,對其公佈的資訊來加以檢驗。
也就是說,廠商會委託較知名的測試機構或電腦雜誌,用意是測試競爭者和自己產品的優劣,結果往往只公佈數字,鮮少公佈
測試中的詳細內容。所以,很難由其他人再去檢驗結果。之所以這樣做,一是藉由知名的測試機構或雜誌為其背書,以達廣告宣傳,另一目的是讓使用者因此信任其品質,進而購買他們的產品。
邱春樹(2006)還認為多數的測試機構都只談病毒偵測率(Virus Detection
Rate),很少去討論病毒清除率或其他項目,他認為作病毒偵測率,作法省時又簡單。若要清除電腦病毒或計算病毒清除率,
是不容易的,因為,研究者必須瞭解該病毒藏匿的位置或者破壞的方式或路徑,才能夠做出清除。
也必須有大量的清除動作數據,才能計算清除率。對於較新的的電腦病毒清除,都是針對單一病毒的清除軟體較為常見。
以下是兩個常會做測試的單位:
1. VB100:Virus
Bulletin會定期測試防毒軟體,如果通過其測試,他們會頒發一個VB100的標誌,網址
http://www.virusbtn.com/。
2. WildList:此組織定期公佈熱門的病毒名稱清單,許多測試機構都採用其提供的病毒清單作測試的標準,網址
http://www.wildlist.org/。
|
|
|
參考資料:
- 盧忠良(1989)。電腦病毒的起源。牛頓雜誌68期。Retrieved From http://www.csie.ntu.edu.tw/~wcchen/asm98/asm/proj/b85202030/a1.html
- 盧忠良。病毒的種類。Retrieved From http://www.csie.ntu.edu.tw/~wcchen/asm98/asm/proj/b85506029/type_index.htm
- http://eteacher.edu.tw/iframe/mainSafety1.htm
- http://www.ice.ntnu.edu.tw/~u85371/vir/te-vir.htm
- http://microbiology.scu.edu.tw/wong/courses/inform/web04.htm
- 國家資通安全會報。偵測複雜的病毒。2006.1.23。
- Peter Ferrie & Frederic Perriot(2004). Detecting Complex Viruses. securityfocus.com,
Retrieved From
http://www.securityfocus.com/infocus/1813
- 黃志輔(2005)。別讓你的電腦變灰:Grayware。 Retrieved From http://www.zdnet.com.tw/enterprise/column/websecurity/0,2000085714,20101430,00.htm
- 邱春樹(2006)。防毒軟體評比之奧秘。Retrieved Fromhttp://roger.blog.ithome.com.tw/post/673/6444at 2009.10.22。
- 鄭進耀(2015)。台灣首位駭客因身份敏感,多年不敢踏進中國。https://tw.nextmgz.com/realtimenews/news/31198826
- 趨勢科技TrendMicro(2019)。認識勒索病毒與現今防毒軟體必備功能。https://blog.trendmicro.com.tw/?p=58515
- 「勒索病毒」襲台 傳56醫療院所電腦中鏢。https://news.ltn.com.tw/news/society/breakingnews/2901521
|