15、计算机病毒、特洛伊木马和蠕虫：威胁与防护全解析

雪落无声360

于 2025-12-21 11:13:11 发布

阅读量2

点赞数

CC 4.0 BY-SA版权

分类专栏：像黑客一样思考文章标签：计算机病毒特洛伊木马蠕虫

本文链接：https://blog.youkuaiyun.com/agile9scrum/article/details/156172473

像黑客一样思考专栏收录该内容

17 篇文章 ¥499.90

订阅专栏¥69.90

会员秒杀 ¥9.9 重磅福利

超级会员免费看

计算机病毒、特洛伊木马和蠕虫：威胁与防护全解析

1. 引言

在当今数字化时代，病毒、蠕虫和特洛伊木马等恶意代码的传播已成为一个严重的问题。像Melissa和“I Love You”这样的蠕虫曾多次登上新闻头条，据报道造成了数百万美元的损失，且新的变种每天都在出现。反病毒行业也因此蓬勃发展，那么他们的利润来源究竟是什么呢？答案就是恶意代码的传播。

2. 恶意代码的分类

恶意代码（有时也称为恶意软件）通常根据其传播机制进行分类，但在运行所需的特定平台和机制方面存在一些例外情况。需要注意的是，即使使用了“恶意代码”这个术语，病毒、特洛伊木马或蠕虫不一定会实际造成损害，这里的“恶意”指的是具有造成损害的潜在可能性。

病毒（Viruses） ：经典的计算机病毒是最广为人知的恶意代码类型。根据RFC 1135的定义，病毒是一段插入到宿主（包括操作系统）中进行传播的代码，它不能独立运行，需要宿主程序运行来激活它。
蠕虫（Worms） ：蠕虫与病毒非常相似，但它不会在本地复制，而是仅在系统之间传播，通常只存在于内存中。RFC 1135将蠕虫描述为一个可以独立运行的程序，它会消耗宿主的资源以维持自身，并能将自身的完整工作版本传播到其他机器上。当前的反病毒厂商倾向于将蠕虫定义为在主机之间传播的代码，而病毒则是仅在单个主机内传播的代码。
宏病毒（Macro Viruses） ：这类恶意代码通常需要宿主程序来处理和运行。经典的宏病毒是由于滥用文字处理应用程序中的宏功能而产生的。用户可以在文档中嵌入宏来帮助完成工作，但随着应用程序的发展，宏命令的功能也越来越强大，这就为宏病毒的产生提供了可能。例如，Microsoft将Visual Basic for Applications (VBA) 集成到其整个Office套件中，使得任何在这些产品中打开的文档都有可能运行脚本命令，从而增加了宏病毒的传播风险。以Melissa宏病毒为例，它通过电子邮件传播，当在Microsoft Outlook中执行时，会将自身发送到用户地址簿中的前50个电子邮件地址。
特洛伊木马（Trojan Horses） ：特洛伊木马是伪装成良性程序的代码，但行为却出乎意料，通常具有恶意性。它得名于荷马史诗《伊利亚特》中特洛伊人接受希腊人赠送的木马，结果导致城市被攻占的故事。特洛伊木马的局限性在于需要用户被说服接受并运行它们，因此它们通常会被误命名或伪装成其他东西来欺骗用户。例如，Pokemon蠕虫会在屏幕上显示皮卡丘的动画，同时将自身通过电子邮件发送给用户地址簿中的所有人，并准备删除Windows目录中的所有文件。

3. 病毒的解剖结构

病毒（以及一般的恶意代码）通常分为两个主要部分：传播机制和有效负载。
- 传播机制（Propagation） ：也称为传递机制，是病毒传播自身的方法。在过去，病毒主要通过软盘、磁带等方式在单个PC之间传播，而现在，随着互联网的发展，病毒和蠕虫的传播速度更快。主要的传播类型有：
- 寄生型（Parasitic） ：这种类型的病毒通过寄生在其他文件上来传播，例如将自身附加到文件中，同时仍使原始文件可用。经典的例子是MS - DOS的.com和.exe文件，但现在其他文件类型也可能被感染。例如，宏病毒可以将自身附加到Microsoft Word安装的“normal.dot”文件中。
- 引导扇区感染型（Boot Sector Infectors） ：这类病毒将自身复制到硬盘或软盘的可引导部分，当系统从受感染的引导扇区启动时，病毒就会获得控制权。引导扇区感染型病毒又可分为两种子类型，因为它们可以插入到主引导记录（MBR）或分区的引导扇区中。例如，MBR病毒可以拦截对MBR的读取调用，从而避免被反病毒软件检测到，这种策略被称为“隐身（Stealth）”。
- 多部分感染型（Multi - partite） ：这类病毒结合了多种感染方式，例如既感染文件又感染引导扇区，增加了其生存和传播的机会。
- 有效负载（Payload） ：指病毒执行后除传播相关操作之外所做的事情。有些病毒只进行感染和传播，没有有效负载；而其他病毒可能会执行一些无害的操作，如询问“cookie”，或者造成恶意破坏，如删除分区表。一些病毒有特定的触发条件，例如Michelangelo病毒在特定日期（米开朗基罗的生日）触发。病毒使用触发条件或没有有效负载是为了避免被用户及时发现并清除，从而增加自身的生存时间。

4. 病毒的其他技巧

病毒编写者为了逃避反病毒软件的检测，开发了许多新的技术和策略。
- 多态性（Polymorphism） ：病毒通过不断改变自身代码来逃避检测。一种复杂的方法是病毒完全重新编码自身，但这需要大量的逻辑代码，容易被检测到。更常见的方法是使用随机密钥对自身进行重新编码，例如使用DES加密算法。为了进一步逃避检测，病毒可以随机构造加密和解密算法，使得每次的解密函数都不同，从而增加检测的难度。

5. 跨平台问题

病毒面临的最大问题之一是如何在不同的平台上有效传播。以下是一些常见的跨平台传播技术：
- Java ：Java是一种跨平台的编程语言，它不仅可以用于编写在多个Web浏览器和平台上运行的横幅旋转软件，还可以作为病毒和蠕虫的跨平台载体。例如，StrangeBrew Java病毒会感染其他Java应用程序的.class文件。
- 宏病毒 ：由于宏病毒通常使用特定应用程序的编程语言编写，因此它们可以随着宿主应用程序的移植在多个平台上传播。例如，Microsoft Office套件中的一些程序已经可以在MacOS上运行，这意味着恶意的Outlook宏病毒有可能同时感染Windows和Mac系统。
- 重新编译（Recompilation） ：Morris蠕虫采用了一种巧妙的技巧，它从先前感染的主机下载自身的源代码，然后在目标系统上进行编译和运行。这种方法使得代码能够很好地适应目标系统，但需要目标系统提供编译器。

6. 历史上的病毒和蠕虫实例

Morris蠕虫 ：1988年11月2日，Morris蠕虫引发了第一次广泛的互联网蠕虫疫情。它利用了fingerd中的缓冲区溢出漏洞和sendmail中的未记录调试命令，入侵运行Berkeley UNIX的系统。该蠕虫的有效负载非常强大，它可以破解/etc/password中的密码哈希值，并扫描系统以寻找其他可攻击的系统。
ADMw0rm ：黑客组织ADM发布的一种蠕虫，通过BIND的iquery处理部分的缓冲区溢出漏洞进行传播。该蠕虫代码最初只针对Linux主机，但可以被修改以攻击其他平台。
Melissa和“I Love You” ：这两种宏病毒/蠕虫通过伪装成朋友的邮件进行传播，利用了用户的信任心理。Melissa是一个相对简单的宏病毒，它通过感染Microsoft Word文件的Document_Open()宏进行传播，并将自身发送到用户地址簿中的前50个电子邮件地址。“I Love You”病毒则更为复杂，它会随机更改用户的默认Web浏览器主页，并修改mIRC聊天客户端的配置文件，使其向加入同一频道的用户发送病毒副本。

graph TD;
    A[恶意代码] --> B[病毒];
    A --> C[蠕虫];
    A --> D[宏病毒];
    A --> E[特洛伊木马];
    B --> B1[寄生型传播];
    B --> B2[引导扇区感染型传播];
    B --> B3[多部分感染型传播];
    C --> C1[系统间传播];
    D --> D1[依赖宿主程序传播];
    E --> E1[伪装成良性程序传播];

表格：常见病毒和蠕虫实例对比

名称	类型	传播方式	主要影响
Morris蠕虫	蠕虫	利用fingerd和sendmail漏洞	破解密码、扫描系统
ADMw0rm	蠕虫	BIND的iquery缓冲区溢出	针对Linux主机
Melissa	宏病毒	电子邮件，感染Word文件	大量发送邮件，使服务器过载
“I Love You”	宏病毒/蠕虫	电子邮件，伪装成朋友邮件	更改浏览器主页，修改mIRC配置

计算机病毒、特洛伊木马和蠕虫：威胁与防护全解析

7. 自制恶意软件的思考

虽然许多蠕虫和病毒（如Morris蠕虫和Melissa）被批评为“编码不佳”，但如果它们被正确编码，可能会造成更大的危害。实际上，创建自己的恶意软件并非难事。有报道称，在大学的网络防御课程中，学生被要求编写病毒。

7.1 新的传播方法

电子邮件中的宏和附件 ：电子邮件中的宏是一种传播方式，但通常只有在有通用的电子邮件阅读器时才有效，Microsoft Outlook是一个不错的选择。也可以考虑将多个宏脚本嵌入到一封邮件中，以适应不同的电子邮件阅读器。附件也是一种选择，但受限于特定平台，如.exe文件通常只能在Windows系统上运行。可以将病毒伪装成朋友发送的“动画贺卡”，附件中包含通用的问候语，执行后通过用户的收件箱和地址簿将自身发送给朋友。
模仿在线贺卡提供商 ：恶意软件可以模仿最大的在线贺卡提供商的交付方式，包括电子邮件措辞、徽标、源地址等。例如，模仿AOL的内部贺卡功能，这可能会使AOL在阻止该软件时面临政治斗争，从而为病毒传播争取更多时间。
回复邮件策略 ：病毒/蠕虫可以查看用户的收件箱，对各种邮件进行合法回复。由于用户通常期望收到回复，如果主题行表明是回复邮件，很多人可能会打开它。如果邮件内容只是说“见附件”，人们很可能会打开附件。
Web相关途径 ：Web也是恶意软件传播的重要途径。JavaScript安全漏洞经常被发现，恶意网站可以利用这些漏洞对计算机造成损害。Java applets虽然在沙盒中运行，但也能执行代码。ActiveX控件没有沙盒限制，尽管会警告用户其来源不明，但仍有部分用户会点击“继续”按钮。此外，Macromedia Director电影也可能成为新的病毒传播载体，因为它不仅提供脚本语言，还可以执行程序。

7.2 其他创建新恶意软件的思路

Michal Zalewski（又名“lcamtuf”）在其论文中提出了一个名为“Samhain”的项目，旨在开发终极蠕虫。该项目的目标包括：
1. 可移植性（Portability） ：蠕虫必须独立于架构，能够在不同的操作系统上工作，包括UNIX、DOS和Windows。
2. 隐形性（Invisibility） ：蠕虫必须实现隐身和伪装技术，尽可能长时间地隐藏在系统中而不被检测到。
3. 独立性（Independence） ：蠕虫必须能够自主传播，无需用户交互，使用内置的漏洞数据库。
4. 学习能力（Learning） ：蠕虫应能够立即学习新的漏洞和技术，通过特殊的通信通道（wormnet），所有其他蠕虫可以下载更新版本。
5. 完整性（Integrity） ：单个蠕虫和wormnet结构应难以追踪、修改、入侵或杀死，采用加密和签名技术。
6. 多态性（Polymorphism） ：蠕虫应完全多态，没有特定的常量代码部分，以避免被检测到。
7. 可用性（Usability） ：蠕虫应能够实现选定的任务目标，例如感染选定的系统，下载指令，完成任务后从所有系统中消失。

8. 防范恶意软件的方法

8.1 用户意识和教育

防范计算机病毒的最佳方法是用户的意识和教育。新的病毒可能无法被反病毒软件检测到，而强大的病毒可能非常隐蔽，即使是最细心的用户也可能无法察觉其存在。此外，检测、分析和清除病毒的技术可能超出许多用户的能力范围。

8.2 反病毒软件

签名扫描 ：反病毒软件公司通常会定期扫描系统以查找已知的病毒签名。但这种方法只能检测到已知的病毒，对于未知病毒则无法检测，因此会形成“失效开放”模型。所以，用户必须尽可能频繁地更新反病毒软件。在大型企业环境中，网络管理员可以下载每日更新，将其放在中央文件服务器上，使用网络登录脚本让用户从中央服务器获取更新的签名，然后对用户系统进行病毒扫描。
启发式扫描 ：优秀的反病毒软件会使用启发式方法，即搜索看起来可能是恶意的代码，从而有可能检测到未知病毒。如果检测到未知病毒，用户应将其发送给反病毒研究机构进行审查和签名构建。
文件和程序完整性检查 ：这种方法可以有效应对多种类型的病毒，包括多态病毒。其原理是不直接寻找病毒，而是观察系统运行的一切，虽然会消耗系统资源，但能提高安全性。
Integrity Protection Driver（IPD） ：Pedestal Software发布的Windows NT软件包，主要用于防范特洛伊木马。它通过“挂钩”恶意代码修改系统所需的各种功能，阻止恶意软件修改Windows NT系统的核心功能和特性。但如果病毒在IPD加载之前加载，IPD将失效。该软件可以免费下载（包括源代码）。

8.3 Web浏览器安全

由于Web上纯数据和可执行内容之间的界限变得模糊，Web浏览器的安全漏洞频繁出现。为了安全上网，用户应禁用Active Scripting、JavaScript、ActiveX、Java等功能。但许多网站需要JavaScript才能正常运行，这使得用户面临两难选择：要么只访问信任的网站，要么牺牲安全性以享受Web的全部功能。Netscape和Internet Explorer都提供了禁用这些功能的选项。

8.4 反病毒研究

反病毒行业的各个厂商之间存在大量的合作和研究共享。他们意识到保护终端用户是最终目标，这比收入更重要。ICSA赞助了一个反病毒产品开发者联盟，为反病毒产品制定了标准和测试，通过测试的产品会获得“ICSA Approved”标志。REVS（Rapid Exchange of Virus Samples）由Wildlist Organization组织，用于在其成员之间提供和共享新病毒及签名。Wildlist Organization还跟踪当前在“野外”发现的病毒，并每月编制报告。此外，Usenet上的alt.comp.virus和alt.comp.virus.source.code提供了免费的讨论空间，但用户应注意仅将这些内容用于研究目的。

9. 总结

病毒、特洛伊木马和蠕虫是会进入计算机并执行通常被认为是恶意行为的程序。病毒需要宿主代码来传播，蠕虫可以独立传播但通常只存在于内存中，特洛伊木马则伪装成正常程序但具有隐藏的恶意功能。

病毒由传播机制和有效负载两部分组成。传播机制包括感染引导扇区、附加到可执行文件或具有宏功能的文档等；有效负载可能是无害的，也可能是破坏性的。

一些病毒会使用各种技巧来隐藏自己，如改变自身、加密、使用多种感染途径或试图发现并禁用反病毒软件。

蠕虫是最有效的恶意软件之一，它们能够利用互联网等大型网络快速传播。例如Morris蠕虫、ADMw0rm、Melissa和“I Love You”等。

创建自己的恶意软件相对容易，一些宏病毒/蠕虫很容易修改以创建新的变种。

为了保护自己和用户免受恶意软件的侵害，可以采取多种方法。最佳的防御是教育和意识，其次是禁用浏览器功能和使用反病毒软件，并确保用户定期更新反病毒软件。

10. 常见问题解答（FAQs）

Q：计算机病毒最初是如何得名的？
- A ：这些自我复制的程序最早在20世纪60年代开发，但“病毒”这个术语是在1984年由Fred Cohen教授首次用于描述自我复制程序的。
Q：所有病毒都是恶意的吗？
- A ：大多数情况下是这样。虽然很难想象病毒技术的合法广泛用途，但也有使用病毒策略的“良性”程序。例如，KOH病毒会在用户保存和读取数据时自动对数据进行加密和解密，提供了一层透明的数据安全保护。
Q：有可能找到编写病毒的工作吗？
- A ：答案可能会让一些人惊讶。2000年1月，Computer Sciences Corporation发布了一份招聘病毒编写者的广告，要求应聘者愿意在圣安东尼奥的凯利空军基地工作，有其他漏洞利用经验会有帮助。

graph TD;
    A[防范恶意软件] --> B[用户意识和教育];
    A --> C[反病毒软件];
    A --> D[Web浏览器安全];
    A --> E[反病毒研究];
    C --> C1[签名扫描];
    C --> C2[启发式扫描];
    C --> C3[文件和程序完整性检查];
    C --> C4[IPD];

表格：防范恶意软件方法对比

防范方法	优点	缺点
用户意识和教育	从源头提高防范意识	难以确保所有用户都具备足够知识
反病毒软件 - 签名扫描	能检测已知病毒	无法检测未知病毒
反病毒软件 - 启发式扫描	可能检测未知病毒	可能存在误判
反病毒软件 - 文件和程序完整性检查	应对多种病毒，包括多态病毒	消耗系统资源
反病毒软件 - IPD	防范特洛伊木马，阻止修改系统核心功能	病毒先加载时失效
Web浏览器安全 - 禁用功能	提高上网安全性	影响部分网站正常使用
反病毒研究	促进厂商合作，共享信息	依赖行业整体发展