電腦病毒的種類
惡性程序碼的類別中,電腦病毒和蠕蟲是較具破壞力,因爲它們有複製的能力,從而能夠感染遠方的系統。電腦病毒一般可以分成下列各類:
引導區電腦病毒
文件型電腦病毒
複合型電腦病毒
宏病毒
特洛伊/特洛伊木馬
蠕蟲
其他電腦病毒/惡性程序碼的種類和製作技巧
--------------------------------------------------------------------------------
引導區電腦病毒
90年代中期,最爲流行的電腦病毒是引導區病毒,主要通過軟盤在16位元磁盤操作系統(DOS)環境下傳播。引導區病毒會感染軟盤內的引導區及硬盤,而且也能夠感染用戶硬盤內的主引導區(MBR)。一但電腦中毒,每一個經受感染電腦讀取過的軟盤都會受到感染。
引導區電腦病毒是如此傳播:隱藏在磁盤內,在系統文件啓動以前電腦病毒已駐留在內存內。這樣一來,電腦病毒就可完全控制DOS中斷功能,以便進行病毒傳播和破壞活動。那些設計在DOS或Windows3.1上執行的引導區病毒是不能夠在新的電腦操作系統上傳播,所以這類的電腦病毒已經比較罕見了。
典型例子:
Michelangelo是一種引導區病毒。它會感染引導區內的磁盤及硬盤內的MBR。當此電腦病毒常駐內存時,便會感染所有讀取中及沒有寫入保護的磁盤。除此以外,Michelangelo會於3月6日當天刪除受感染電腦內的所有文件。
文件型電腦病毒
文件型電腦病毒,又稱寄生病毒,通常感染執行文件(.EXE),但是也有些會感染其它可執行文件,如DLL,SCR等等...每次執行受感染的文件時,電腦病毒便會發作:電腦病毒會將自己複製到其他可執行文件,並且繼續執行原有的程序,以免被用戶所察覺。
典型例子:
CIH會感染Windows95/98的.EXE文件,並在每月的26號發作日進行嚴重破壞。於每月的26號當日,此電腦病毒會試圖把一些隨機資料覆寫在系統的硬盤,令該硬盤無法讀取原有資料。此外,這病毒又會試圖破壞FlashBIOS內的資料。
複合型電腦病毒
複合型電腦病毒具有引導區病毒和文件型病毒的雙重特點。
宏病毒
與其他電腦病毒類型的分別是宏病毒是攻擊數據文件而不是程序文件。
宏病毒專門針對特定的應用軟件,可感染依附於某些應用軟件內的宏指令,它可以很容易透過電子郵件附件、軟盤、文件下載和羣組軟件等多種方式進行傳播如MicrosoftWord和Excel。宏病毒採用程序語言撰寫,例如VisualBasic或CorelDraw,而這些又是易於掌握的程序語言。宏病毒最先在1995年被發現,在不久後已成爲最普遍的電腦病毒。
典型例子:
JulyKiller這個電腦病毒通過VB宏在MSWord97文件中傳播。一但打開染毒文件,這病毒首先感染共用範本(normal.dot),從而導致其它被打開的文件一一遭到感染。此電腦病毒的破壞力嚴重。如果當月份是7月時,這病毒就會刪除c:/的所有文件。
特洛伊/特洛伊木馬
特洛伊或特洛伊木馬是一個看似正當的程序,但事實上當執行時會進行一些惡性及不正當的活動。特洛伊可用作黑客工具去竊取用戶的密碼資料或破壞硬盤內的程序或數據。與電腦病毒的分別是特洛伊不會複製自己。它的傳播技倆通常是誘騙電腦用戶把特洛伊木馬植入電腦內,例如通過電子郵件上的遊戲附件等。
典型例子:
BackOrifice特洛伊木馬於1998年發現,是一個Windows遠程管理工具,讓用戶利用簡單控制檯或視窗應用程序,透過TCP/IP去遠程遙控電腦。
蠕蟲
蠕蟲是另一種能自行復制和經由網絡擴散的程序。它跟電腦病毒有些不同,電腦病毒通常會專注感染其它程序,但蠕蟲是專注於利用網絡去擴散。從定義上,電腦病毒和蠕蟲是非不可並存的。隨着互聯網的普及,蠕蟲利用電子郵件系統去複製,例如把自己隱藏於附件並於短時間內電子郵件予多個用戶。有些蠕蟲(如CodeRed),更會利用軟件上的漏洞去擴散和進行破壞。
典型例子:
於1999年6月發現的Worm.ExploreZip是一個可複製自己的蠕蟲。當執行時,它會把自己隱藏在附件,經電子郵件傳送予通訊錄內的收件人。在Windows環境下,若用戶開啓附件,就會自動執行蠕蟲。在Windows95/98環境下,此蠕蟲以Explore.exe爲名,把自己複製到C:/windows/system目錄,以及更改WIN.INI文件,以便系統每次啓動時便會自動執行蠕蟲。
管理工具,讓用戶利用簡單控制檯或視窗應用程序,透過TCP/IP去遠程遙控電腦。
其他病毒/惡性程序碼的種類和製作技巧
電腦病毒及防毒科技不斷變更。因應用戶轉移至新的平臺或新的科技,電腦病毒編寫者會試圖研製及傳播新的電腦病毒。例如,在Java及LotusNotes平臺上的電腦病毒已在近幾年出現,其中首隻Java病毒(Java.StrangeBrew)是在一九九八年九月上被發現的。所以,我們不應對於有關電腦病毒將會侵佔新的電腦平臺的報導,例如Macromedia、個人PDA、流動儀器或.NET等等而感到驚訝。
以下是現今電腦病毒普遍所採用的技巧:
ActiveContent
VBScript病毒
對於電腦病毒的發展,以下有一於趨勢預計:
與軟件上的保安漏洞更多結合
採用多種途徑去散播
可感染多種不同的電腦平臺
其實,以上所提出的預測己經發現在現今一些先進的電腦病毒中。例如在Nimda中,它會使用IIS和IE的保安漏洞去感染服務器和工作站。Nimda這種複雜的電腦病毒還採用多種途徑去散播,其中包括電子郵件、網絡上的共用資源、由CodeRedII所留下的後門、和通過瀏覽已感染了Nimda的服務器上的網頁。此外,可以同時感染Windows和Linux的電腦病毒,已經在2001年被首次發現。
回答者:wahhltt - 同進士出身 七級 2-23 16:08
電腦病毒的種類
電腦病毒一般分類如下:
開機磁區病毒
檔案型病毒
巨集病毒
其他新種類的病毒
資料由香港特別行政區政府資訊科技署提供
開機磁區病毒
在九十年代中期以前,開機磁區病毒是最常見的病毒種類。這種病毒藏於已受感染的硬磁碟機的主開機磁區,或磁碟操作系統開機磁區內。當軟磁碟插入已受感染的個人電腦時,病毒便會把軟磁碟開機磁區感染,藉此把病毒擴散。
使用受感染的軟磁碟進行啓動程序時,電腦便會受到感染。在啓動電腦的過程中,基本輸入輸出系統會執行駐於軟磁碟開機磁區的病毒編碼,因此係統便改爲受病毒控制。病毒控制了電腦系統後,便會把病毒編碼寫入硬磁碟的主開機磁區。之後,便會恢復正常的啓動程序。從用戶的角度來看,一切情況似乎與正常無異。
日後啓動電腦時,駐於受感染的主開機磁區的病毒便會啓動執行。因此,病毒會進入記憶體,並可隨時感染其他經使用的軟磁碟。
[主開機磁區是硬磁碟的第一個磁區,這個磁區載有執行操作系統的分割控制表及編碼。主開機磁區後的16個或以上的磁區通常是空置不用的。
硬磁碟機最多可分割爲4個儲存分區,而磁碟操作系統的擴展分區可細分爲多個邏輯驅動器。
每個分區的第一個磁區便是開機磁區,這個磁區包含載入分區的操作系統的資料及編碼。
軟磁碟沒有主開機磁區。以標準磁碟操作系統格式進行格式化後的軟磁碟,在結構上與硬磁碟的磁碟操作系統分區相同。]
檔案型病毒
檔案型病毒是一種依附在檔案內,經由程式檔而非資料檔擴散的病毒。電腦在執行受感染的程式時,便會受到感染。這些受感染的程式可能經由軟磁碟、唯讀光碟、網絡及互聯網等途徑傳播。在執行受感染的程式後,隨附的病毒便會立即感染其他程式,或可能成爲一個常駐程式,以便在日後感染其他程式。在完成這些步驟後,病毒便會恢復執行原本的正常程式。因此,用戶在執行受感染的程式時,不易發覺有任何異常的情況。
檔案型病毒一般會感染有特定副檔名的檔案。副檔名爲COM、EXE及SYS的檔案,均是常見的病毒感染對象。
巨集病毒
一九九五年七月,一種新的電腦病毒被人發現,立即使電腦界大感震驚。這種新的病毒稱爲巨集病毒,它與一直以來出現的病毒不同,可感染資料檔而非執行檔。其實,這並非一種新的概念,因爲有關以巨集語言編寫病毒的可行性的研究,始於八十年代後期。在Word程式出現的巨集病毒可以在多個不同的操作平臺活動,而且,只要電腦的Word程式是支援Word 檔案格式的話,便有機會受到感染。換言之,無論使用的是OS/2或Windows版本的Word程式,或是個人電腦或麥金塔(Macintosh)電腦,也可能受到巨集病毒的感染
