虽然许多组织已经部署了防病毒软件,但是新的病毒、蠕虫和其他形式的恶意软件仍在继续快速地感染大量的计算机系统。关于这个显而易见的矛盾产生的根源,不是几句话就可以解释清楚的;但是根据 Microsoft 从系统已被感染的公司内的 IT 专业人员和安全人员的反馈来看,基本趋势非常明显,这些反馈信息中包括如下评论:
"用户执行其电子邮件的附件,尽管我们一再告诉他们不应该……"
"防病毒软件本应可以捕获此病毒,但是此病毒的签名尚未安装。"
"本来根本不会攻破防火墙,我们甚至都没有意识到这些端口会被攻击。"
"我们不知道我们的服务器需要安装修补程序。"
最近攻击的成功表明,在组织的每台计算机上部署防病毒软件的标准方法可能不足以应对恶意软件。最近病毒爆发的传播速度令人担忧,软件行业检测、识别和传送可保护系统免受攻击的防病毒工具的速度无法跟上病毒的传播速度。最新形式的恶意软件所表现的技术也更加先进,使得最近的病毒爆发可以躲避检测而进行传播。这些技术包括:
社会工程。许多攻击试图看上去好像来自系统管理员或官方服务,这样就增加了最终用户执行它们从而感染系统的可能性。
后门创建。最近大部分的病毒爆发都试图对已感染系统打开某种形式的未经授权访问,这样黑客可以反复访问这些系统。反复访问用于在协调的拒绝服务攻击中将系统用作"僵尸进程",然后使用新的恶意软件感染这些系统,或者用于运行黑客希望运行的任何代码。
电子邮件窃取。恶意软件程序使用从受感染系统中获取的电子邮件地址,将其自身转发到其他受害者,并且恶意软件编写者也可能会收集这些地址。然后,恶意软件编写者可以使用这些地址发送新的恶意软件变形体,通过它们与其他恶意软件编写者交换工具或病毒源代码,或者将它们发送给希望使用这些地址制造垃圾邮件的其他人。
嵌入的电子邮件引擎。电子邮件是恶意软件传播的主要方式。现在,许多形式的恶意软件都嵌入电子邮件引擎,以使恶意代码能更快地传播,并减少创建容易被检测出的异常活动的可能性。非法的大量邮件程序现在利用感染系统的后门,以便利用这些机会来使用此类电子邮件引擎。由此可以相信,去年制造的大部分垃圾邮件都是通过这种受感染系统发送的。
利用产品漏洞。恶意软件更经常利用产品漏洞进行传播,这可使恶意代码传播得更快。
利用新的 Internet 技术。当新的 Internet 工具面世之后,恶意软件编写者会快速检查这些工具,以确定如何利用它们。目前,即时消息传递和对等 (P2P) 网络在这种作用力下已经成为攻击媒介。
计算机病毒的演变
20 世纪 80 年代早期出现了第一批计算机病毒。这些早期的尝试大部分是试验性的,并且是相对简单的自行复制的文件,它们仅在执行时显示简单的恶作剧而已。
注意: 值得注意的是,提供病毒演变的明确历史几乎是不可能的。恶意软件的非法本质意味着,作恶者关注的是如何隐藏恶意代码的来源。本指南介绍病毒研究人员和防病毒行业普遍认可的恶意软件历史。
1986 年,报道了攻击 Microsoft? MS-DOS? 个人计算机的第一批病毒;人们普遍认为 Brain 病毒是这些计算机病毒中的第一种病毒。然而,1986 年出现的其他首批病毒还包括 Virdem(第一个文件病毒)和 PC-Write(第一个特洛伊木马病毒,此程序看上去有用或无害,但却包含了旨在利用或损坏运行该程序的系统的隐藏代码。)在 PC-Write 中,特洛伊木马程序伪装成一个同名的流行共享软件:字处理器应用程序。
随着更多的人开始研究病毒技术,病毒的数量、被攻击的平台数以及病毒的复杂性和多样性都开始显著提高。病毒在某一时期曾经着眼于感染启动扇区,然后又开始感染可执行文件。1988 年出现了第一个 Internet 蠕虫病毒(一种使用自行传播恶意代码的恶意软件,它可以通过网络连接,自动将其自身从一台计算机分发到另一台计算机)。Morris Worm 导致 Internet 的通信速度大大地降低。为了应对这种情况以及病毒爆发次数的不断增长,出现了 CERT Coordination Center(网址:http://www.cert.org/),通过协调对病毒爆发和事件的响应来确保 Internet 的稳定性。
1990 年,网上出现了病毒交流布告栏,成为病毒编写者合作和共享知识的平台。此外,还出版了第一本关于病毒编写的书籍,并且开发出了第一个多态病毒(通常称为 Chameleon 或 Casper)。多态病毒是一种恶意软件,它使用不限数量的加密例程以防止被检测出来。多态病毒具有在每次复制时都可以更改其自身的能力,这使得用于"识别"病毒的基于签名的防病毒软件程序很难检测出这种病毒。此后不久,即出现了 Tequila 病毒,这是出现的第一个比较严重的多态病毒攻击。接着在 1992 年,出现了第一个多态病毒引擎和病毒编写工具包。
自那时起,病毒就变得越来越复杂:病毒开始访问电子邮件通讯簿,并将 其自身发送到联系人;宏病毒将其自身附加到各种办公类型的应用程序文件并攻击这些文件;此外还出现了专门利用操作系统和应用程序漏洞的病毒。电子邮件、对等 (P2P) 文件共享网络、网站、共享驱动器和产品漏洞都为病毒复制和攻击提供了平台。在已感染系统上创建的后门(由恶意软件引入的秘密或隐藏的网络入口点)使得病毒编写者(或黑客)可以返回和运行他们所选择的任何软件。本指南上下文中的黑客是试图非法访问计算机系统或网络的程序员和计算机用户。本章的下一部分将详细讨论恶意软件。
有些病毒附带其自身的嵌入式电子邮件引擎,可以使已感染的系统直接通过电子邮件传播病毒,而绕过此用户的电子邮件客户端或服务器中的任何设置。病毒编写者还开始认真地设计病毒攻击的结构并使用社会工程,来开发具有可信外观的电子邮件。这种方法旨在获取用户的信任,使其打开附加的病毒文件,来显著地增加大规模感染的可能性。
恶意软件演变的同时,防病毒软件也处在不断的发展之中。但是,当前大多数防病毒软件几乎完全依赖于病毒签名或恶意软件的识别特性来识别潜在有害的代码。从一个病毒的初始版本到此病毒的签名文件被防病毒供应商广泛分发之间,仍然存在存活机会。因此,现在发布的许多病毒在最初的数天内感染速度极快,之后一旦分发了应对病毒的签名文件,感染速度则迅速降低。