与通常需要依附在某个程序上不同,蠕虫是一段独立的代码,它像寄生虫一样生存在宿主计算机内部。它的“头部”是一段用以取得系统许可的密码或ID,可以利用宿主计算机的资源对自身进行改写,把其数据加到自己身上,让自己变得越来越大,并控制计算机上可以传输文件或信息的功能,而后继续沿着网络传播。蠕虫病毒一旦进入计算机网络中,就可能造成系统瘫痪、网络中断。
“木马病毒”是一些表面上看似有用的电脑软件,实际上却是危害计算机安全并导致严重破坏的程序。它可以成为别人控制这台计算机的“后门”,从而窃取用户的信息。
进化之路
目前已成长为电脑大国的中国,也成为电脑病毒的“主战场”之一。
根据国家计算机病毒应急处理中心的统计,截至2006年5月,感染病毒的电脑比例约为74%,比高峰时下降了14个百分点。但分析人士指出,随着电脑总量的迅速增加,以及互联网在中国社会、经济生活中的普及,电脑病毒尤其是通过网络传播的新型病毒的危害却更加严峻。
中国互联网络信息中心公布的最新数据显示,截至2006年上半年,中国的互联网用户已经接近1.4亿,上网电脑总量也接近了6000万台。与上一年同期相比,这两个数字都保持了两成以上的增速。这无疑为网络传播病毒的滋生和迅速蔓延提供了难得的温床。
国家计算机网络应急技术处理协调中心(CNCERT/CC)抽样监测结果显示,2006年,中国大陆地区约4.5万个IP 地址的主机被植入“木马”,与2005年同期相比增长一倍。
单纯从技术而言,自电脑病毒上世纪80年代被创造出来后,其本身并没有太多实质性的进步。科恩对《财经》记者指出,“在最近这15年里,病毒制造者从他们的知识上和技术上都没有明显的进步。”
但他也承认,从传播方式和手段上说,电脑病毒实现了一个质的飞跃。
以“熊猫烧香”病毒为例,北京盼达信息安全技术有限公司总经理金楷在接受《财经》记者采访时表示,“熊猫烧香”确实没有太多技术创意,之所以能够造成如此大的破坏,很大程度上是因为它感染了多个访问量高的大型门户网站和论坛,并通过这些网站大面积传播,造成了此次大规模的爆发。
“它主要是利用了这个特殊的位置,而没有革命性的技术。”金楷强调。
显然,虽然技术上没有革命性的突破,但电脑病毒本身也在不断进化,以便更好地适应新的传播途径,以及生存环境。
金山软件股份有限公司反病毒实验室主管戴光剑告诉《财经》记者,“熊猫烧香”病毒在很短的时间内就出现了120多个变种。这种“自我更新机制”使得不少反病毒软件都难以一一应对。
除了自我更新,病毒还通过欺骗、伪装等手段来增加其生存能力。一些论坛上的帖子,会要求打算浏览特定图片的用户点击下载一个压缩包;但这些貌似图片的东西,其实是“灰鸽子病毒”,用户一旦中毒,释放“灰鸽子”的人就可以远程控制这台计算机。这种社会工程学类型的攻击方式,也会出现在游戏外挂、QQ等即时通信工具上。
在戴光剑看来,目前很多病毒都已经发展到了“混合型”的阶段,无论是在传播渠道还是制作水平上。
“熊猫烧香”就集合了多种不同的传播方式,包括U盘传染、文件感染、局域网感染等。它不仅可以实现多重目的,而且可以不断自我更新,这让反病毒软件难以锁定它的特征。
更重要的是,病毒制造和传播现在越来越容易,它已经不再是只有技术高手才能涉足的“禁地”了。
目前在黑客中间颇为流行的Rootkit,为网络攻击者提供了从获得网络上传输的用户名和密码,到安装“木马”程序、为攻击者提供后门,以至隐藏攻击者目录和进程的程序,甚至日志清理程序等一整套技术。
这些未知的病毒,很难通过以病毒特征为主要手段的常规方式加以预防。虽然众多厂商已经推出了实时扫描用户电脑等服务,但由于会对电脑本身的运行速度造成影响,所以,还无法取代传统的杀毒手段。
黑色产业
在科恩看来,对于电脑病毒,也许最严峻的挑战还不是因传播方式变化而带来的质变,而是传播目的所发生的变化。
他对《财经》记者指出,当病毒从破坏文件系统演化到窃取商业信息以后,实质上“就已经从一个技术游戏变成了一个犯罪工具”。
如今,越来越多的新病毒被设计用来传播间谍软件、制造垃圾邮件、实施“钓鱼”欺诈等。现在病毒制造者是出于个人的私利,而不是技术探索目的,来编写病毒。
“现在病毒爆发同以往最大的变化,是病毒制造者从单纯的炫耀技术,转变成以获利为目的;前者希望病毒尽量被更多的人知道,但后者希望最大程度地隐蔽病毒,以更多地获利。”金楷说。
金山反病毒实验室主管戴光剑则对《财经》记者透露,在业界,一个可以被控制的电脑被叫做“肉鸡”。在国内可以卖到0.5元到1元人民币一只,这样的“肉鸡”可以使用几天;如果可以使用半个月以上,则可以卖到几十元一只。对于病毒制造者和“经纪人”而言,如果控制了几十万甚至上百万台这样的“肉鸡”,盈利空间是可以想象的。