計算機病毒種類
惡性程式碼的類別中,電腦病毒和蠕蟲是較具破壞力,因為它們有複製的能力,從而能夠感染遠方的系統。
:
引導區電腦病毒
檔案型電腦病毒
複合型電腦病毒
巨集病毒
特洛伊/特洛伊木馬
蠕蟲
其他電腦病毒/惡性程式碼的種類和製作技巧
引導區電腦病毒
90年代中期,最為流行的電腦病毒是引導區病毒,主要通過軟盤在16位元磁碟作業系統***DOS***環境下傳播。引導區病毒會感染軟盤內的引導區及硬碟,而且也能夠感染使用者硬碟內的主引導區***MBR***。一但電腦中毒,每一個經受感染電腦讀取過的軟盤都會受到感染。
引導區電腦病毒是如此傳播:隱藏在磁碟內,在系統檔案啟動以前電腦病毒已駐留在記憶體內。這樣一來,電腦病毒就可完全控制DOS中斷功能,以便進行病毒傳播和破壞活動。那些設計在DOS或Windows3.1上執行的引導區病毒是不能夠在新的電腦作業系統上傳播,所以這類的電腦病毒已經比較罕見了。
典型例子:
Michelangelo是一種引導區病毒。它會感染引導區內的磁碟及硬碟內的MBR。當此電腦病毒常駐記憶體時,便會感染所有讀取中及沒有寫入保護的磁碟。除此以外,Michelangelo會於3月6日當天刪除受感染電腦內的所有檔案。
檔案型電腦病毒
檔案型電腦病毒,又稱寄生病毒,通常感染執行檔案***.EXE***,但是也有些會感染其它可執行檔案,如DLL,SCR等等...每次執行受感染的檔案時,電腦病毒便會發作:電腦病毒會將自己複製到其他可執行檔案,並且繼續執行原有的程式,以免被使用者所察覺。
典型例子:
CIH會感染Windows95/98的.EXE檔案,並在每月的26號發作日進行嚴重破壞。於每月的26號當日,此電腦病毒會試圖把一些隨機資料覆寫在系統的硬碟,令該硬碟無法讀取原有資料。此外,這病毒又會試圖破壞FlashBIOS內的資料。
複合型電腦病毒
複合型電腦病毒具有引導區病毒和檔案型病毒的雙重特點。
巨集病毒
與其他電腦病毒型別的分別是巨集病毒是攻擊資料檔案而不是程式檔案。
巨集病毒專門針對特定的應用軟體,可感染依附於某些應用軟體內的巨集指令,它可以很容易透過***附件、軟盤、檔案下載和群組軟體等多種方式進行傳播如MicrosoftWord和Excel。巨集病毒採用程式語言撰寫,例如VisualBasic或CorelDraw,而這些又是易於掌握的程式語言。巨集病毒最先在1995年被發現,在不久後已成為最普遍的電腦病毒。
典型例子:
JulyKiller這個電腦病毒通過VB巨集在MSWord97檔案中傳播。一但開啟染毒檔案,這病毒首先感染共用範本***normal.dot***,從而導致其它被開啟的檔案一一遭到感染。此電腦病毒的破壞力嚴重。如果當月份是7月時,這病毒就會刪除c:\的所有檔案。
特洛伊/特洛伊木馬
特洛伊或特洛伊木馬是一個看似正當的程式,但事實上當執行時會進行一些惡性及不正當的活動。特洛伊可用作黑客工具去竊取使用者的密碼資料或破壞硬碟內的程式或資料。與電腦病毒的分別是特洛伊不會複製自己。它的傳播技倆通常是誘騙電腦使用者把特洛伊木馬植入電腦內,例如通過***上的遊戲附件等。
典型例子:
BackOrifice特洛伊木馬於1998年發現,是一個Windows遠端管理工具,讓使用者利用簡單控制檯或視窗應用程式,透過TCP/IP去遠端遙控電腦。
蠕蟲
蠕蟲是另一種能自行復制和經由網路擴散的程式。它跟電腦病毒有些不同,電腦病毒通常會專注感染其它程式,但蠕蟲是專注於利用網路去擴散。從定義上,電腦病毒和蠕蟲是非不可並存的。隨著網際網路的普及,蠕蟲利用***系統去複製,例如把自己隱藏於附件並於短時間內***予多個使用者。有些蠕蟲***如CodeRed***,更會利用軟體上的漏洞去擴散和進行破壞。
典型例子:
於1999年6月發現的Worm.ExploreZip是一個可複製自己的蠕蟲。當執行時,它會把自己隱藏在附件,經***傳送予通訊錄內的收件人。在Windows環境下,若使用者開啟附件,就會自動執行蠕蟲。在Windows95/98環境下,此蠕蟲以Explore.exe為名,把自己複製到C:\windows\system目錄,以及更改WIN.INI檔案,以便系統每次啟動時便會自動執行蠕蟲。
管理工具,讓使用者利用簡單控制檯或視窗應用程式,透過TCP/IP去遠端遙控電腦。
其他病毒/惡性程式碼的種類和製作技巧
電腦病毒及防毒科技不斷變更。因應使用者轉移至新的平臺或新的科技,電腦病毒編寫者會試圖研製及傳播新的電腦病毒。例如,在Java及LotusNotes平臺上的電腦病毒已在近幾年出現,其中首隻Java病毒***Java.StrangeBrew***是在一九九八年九月上被發現的。所以,我們不應對於有關電腦病毒將會侵佔新的電腦平臺的報導,例如Macromedia、個人PDA、流動儀器或.NET等等而感到驚訝。
以下是現今電腦病毒普遍所採用的技巧:
ActiveContent
VBScript病毒
對於電腦病毒的發展,以下有一於趨勢預計:
與軟體上的保安漏洞更多結合
採用多種途徑去散播
可感染多種不同的電腦平臺
其實,以上所提出的預測己經發現在現今一些先進的電腦病毒中。例如在Nimda中,它會使用IIS和IE的保安漏洞去感染伺服器和工作站。Nimda這種複雜的電腦病毒還採用多種途徑去散播,其中包括***、網路上的共用資源、由CodeRedII所留下的後門、和通過瀏覽已感染了Nimda的伺服器上的網頁。此外,可以同時感染Windows和Linux的電腦病毒,已經在2001年被首次發現。
在啟動項裡咯,一些.DLL .exe 檔案
一是看啟動項和任務程序
用防毒軟體和一些流氓軟體清理工具***比方:windows清理助手等***來查殺,別一個就是看登錄檔了
計算機病毒指什麼