Virus 版 (精华区)

发信人: mylife (小鬼), 信区: Virus
标  题: 类病毒
发信站: 哈工大紫丁香 (2001年06月01日10:35:05 星期五), 站内信件


类病毒
----------------------------------------------------------------------------
----
　　好象国人还没怎么听说"类病毒"这个名词，事实上，我们的计算机染上这类"类似病
毒而又不是病毒的'病毒'"的
机率是很大的。比如一个特洛伊木马(经常在BBS和InterNet上晃悠的朋友可要注意了)。

　　类病毒(Quasi-Virus)，是一种具有病征或病毒其它部分特征的程序。病毒有一些极
明显的特征，如寄生性、繁衍
性、感染性和破坏性等。由此，分化出四类类病毒，即：
　　1. 非寄生性类病毒
　　2. 非繁衍性类病毒
　　3. 非感染性类病毒
　　4. 无病发性类病毒
　　上一期谈到的特洛伊木马程序、蠕虫和逻辑炸弹就分属于非繁衍性类病毒和非寄生
性类病毒两类。
　　洛伊木马的一个著名实例是"AIDS信息特洛伊木马"(AIDS Information Trojan)。 
它是一个公开发布的特洛伊木
马程序，其全部字节长度为1.2万字节(这与一个8064字节的AIDS II特洛伊木马不同)。
该程序于1989年12月，一个称
为Cyborg的无名公司投资1.5万美元发放了一万多个含有这种特洛伊木马程序的拷贝， 
拷贝盘由巴拿马途经伦敦向欧
洲(大部分到了欧洲)、北美、远东、东南非各大公司和银行寄出。在运行其Install安装
AIDS文件后， 将建立一个新
的AUTOEXEC.BAT文件。AIDS Information Trojan侵占系统的DOS引导区。当系统染有此
种特洛伊木马程序后，启动90
次，磁盘将被格式化。AIDS.EXE文件运行时，系统有时显示："凡使用本磁盘者，必须先
向CyBorg公司偿会387美元。
如有违约，公司将使用本程序之机抽中断此程序的运行。在此过程中违约者计算机系统
中的其它程序也将被破坏。"这
种破坏性代码在世界上许多国家(如英国、南非、津巴布韦、肯尼亚)引起一些人对计算
机的恐慌。
　　特洛伊木马是一种计算机犯罪行为中的一个常例。许多InterNet发布的程序会加入
一些不在说明书中声明、对系
统有破坏性的程序，其目的可能是功能禁用或强行收取使用费等。这些要求的幕后(如果
这些要求看来是正常合理的)，
程序将实施破坏活动。
　　蠕虫的一个特点是自身繁衍，它会复制自身，"生育"出另一个蠕虫(活体)来。蠕虫
程序一般出现在网络上。在国
际知名网络，如IBM的内部数据网、InterNet网、Novell网上都相应地出现了蠕虫程序，
如Christmas Tree、Morris
WORM、GP1等。
　　1989年10月，美国国家航天管理局(NASA)使用的空间物理分析网络SPAN，先后两次
受到WORM程序的攻击。SPAN基
于DECNET和InterNet的混合型网络，其上共有13000台计算机系统。1989年10月16日，有
人从法国将WORM程序植入
InterNet网络，几小时后即传染了DECNET中的60多部计算机。这种WORM程序虽然没有破
坏数据，但它改变了某些文件
的名字和系统的标识，并使用户在较长的一段时间内不能注册。WORM传染的计算机系统
在屏幕上显示如下信息：
　　"Worms Against Nuclear Killers"
　　（蠕虫反对用核武器杀人者）
　　并在WANK的提示下警告用户：
　　"Your system has been regularly WANKed"
　　（你的系统已被正式地WANKed）
　　NASA的官员们称之为：No Nukes Worm，意即反核蠕虫。稍作修改的蠕虫程序引发了
一引起副作用，例如：数以百
计的登录失败，并浪费了大量的磁盘空间。"蠕虫"会改变口令字，查找系统上其他活动
用户的名字， 向他们发送各种
各样的消息。
　　蠕虫与网络系统休戚相关，而另一类类病毒：逻辑炸弹，却完全脱离开这些。逻辑
炸弹与系统无关，它是非繁衍
性类病毒。逻辑炸弹被有意用于破坏一些非常重要的商业数据。国内的逻辑炸弹的著名
实例是KV300  L++的逻辑炸弹
事件，该事件的新闻报道和综述很多，请读者参阅之。但需声明一点，介于国内的计算
机信息安全规定，在有关部门
对该事件作出处理时，仅视为有害数据。
后记：
　　"类病毒"是否归为病毒，专家们说法不一。但有一点可肯定，类病毒是病毒衍生出
的一个分支，广义角度上的类
病毒是有理由归入病毒一类的。某些具破坏性的"类病毒"类尤其如此。事实上，国外许
多著名反病毒软件是将其作为
病毒一并处理的。如CPAV、Norton AV、Scan/Clean等，而国内仅有极个别的反病毒软件
(如AV95)， 可一定范围地清
除"类病毒"。

--
※ 来源:·哈工大紫丁香 bbs.hit.edu.cn·[FROM: 202.118.230.238]