一、计算机病毒的产生和发展 早在60年代末期出现的计算机犯罪,就已经采用了非授权入侵计算机系统,非法复制程序或数据文件等方法。但在非法复制软件方面,通常的计算机犯罪不把这个环节作为犯罪活动的重点,人们对此也就缺乏足够的认识。考察如今泛滥于电脑、威胁着信息系统的计算机病毒的构想根源,则要追溯到70年代的科学幻想小说。1972年,一位美国科普作家Thomas:J:Ryan推出了轰动一时的《Adolescence of P1》(PL的青春)。瑞安构思了一种神秘的、能够自我复制、利用信息通道传播的计算机程序,并称之为计算机病毒。1975年,美国科普作家John Bruner写了一本在信息社会中,计算机作为正义和邪恶斗争的工具的故事。人类社会有许多现行的科学技术,都是在先有幻想之后才成为现实的。因此,我们不能否认这本书的问世对计算机病毒的产生所起的作用。也许有些人通过这本书才顿开茅塞,借助于他们对计算机硬件系统及软件系统的深入了解,发现了计算机病毒实现的可能性并设计出了计算机病毒。1984年,Fred Cohen博士通过反复的实验验证了计算机病毒的传染性和真实存在性。并给出计算机病毒定义是:计算机病毒是这样的程序,它能够利用修改的手段而感染其它程序,这种修改使得被感染程序含有它的某种形式的副本。该定义突出了病毒的感染性。计算机病毒从上述的科幻小说到大规模泛滥仅用了十年时间。近年来,计算机病毒已经成为新闻报道中经常出现的内容。1988年2月10日美国《新闻周刊》以"当心病毒!请接种疫苗"为题报道了计算机病毒在几分钟内破坏计算机系统运行的消息。1988年11月2日发生在美国重要的计算机网络Internet的莫里斯蠕虫事件是一场损失巨大、影响深远的大规模"病毒"疫情了。在这次事件中,6200台联网的Unix 4BCD、VAX、Sun工作站受到感染。造成的损失约9000多万美元。这次Internet网络中发现的是一种称为"蠕虫"的病毒,它利用了Unix系统中电子邮件的缺陷侵入Internet网络,并在网络中不断地自我复制,一夜之间就给计算机用户造成了巨大的损失。1988年11月13日,星期五,一个被称为"黑色星期五"的恶性病毒在长期潜伏、广泛传播后,在全世界数10万台运行DOS的微机上发作。在这天,每运行一个文件,则被删除一个,许多微机用户被迫停机,在全世界造成的损失难以估计。国内外报刊对此作了大量报道。之后米开朗基罗病毒也登台亮相,我国的中央电视台在新闻联播中也曾多次报道,一时间病毒成了最可怕的敌人。近年来,随着国内外软件的引进和我国计算机的大量普及,计算机病毒已在我国大量出现,并以惊人的速度蔓延,威胁着信息系统,特别是计算机网络及大型信息系统的安全。《参考消息》1989年8月2日刊登的一则评论,列出了下个世纪的国际恐怖活动将采用五种新式武器和手段,计算机病毒名列第二,这给未来的信息系统投上了一层阴影。一些国家已经着手进行计算机病毒对抗(Computervirus Countermeasuer)的研究和实验工作。例如在1989年11月澳大利亚举行的军事演习中,红军在与蓝军对阵中使用了新西兰病毒来破坏对方计算机系统的正常运行,结果在演习中占据了优势。这是历史上第一次公开报道的计算机病毒被用于军事目的的事件。随着计算机技术进一步发展,计算机网络及大型信息系统也逐渐普及,以往的计算机病毒仅侵入单机系统,但病毒设计者们,已准备将病毒感染到计算机网络(LAN)的服务器上。因此,计算机网络也将面临病毒入侵的危险。我们有必要了解网络病毒及其特点。二、计算机病毒的种类计算机病毒的感染是计算机病毒的一大特点,也是衡量一种计算机程序是否是计算机病毒的一个重要标志。根据病毒的传染性,对计算机系统进行分类,可以分为以下几种:1.引导型病毒引导型病毒隐藏在DOS的分区里。当系统引导时,把病毒程序从软硬盘上装入到内存里,在系统运行过程中,使病毒不断扩散。例如大麻、小球病毒等。由于磁盘的引导区是磁盘能正常使用的先决条件,所以这种病毒可在运行的一开始就获得控制权,其传染的可能性较大。由于磁盘的引导区存储着磁盘使用的重要信息,通常对磁盘的正常引导记录不进行保护,所以在磁盘的运行过程中能导致对正常引导记录的破坏,所以受大麻病毒传染的软盘或硬盘可能出现磁盘不能正常引导的现象。引导区传染的计算机病毒目前出现得较为广泛,其诊治方法也较为简单。2.文件型病毒文件型病毒寄生在文件里。当带毒文件执行时,病毒开始发作,并感染更多的执行文件,从而达到传播的目的。受感染的文件一般都会被加长,如DIR-2,Keypress。3.网络病毒在网络系统的各个组成部分、接口和界面,以及各层次的相互转换都存在着不少的漏洞和薄弱环节,尤其在软件方面漏洞更多。网络病毒是指病毒突破网络的安全性,传播到网络服务器,进而在整个网络上感染,因而网络病毒危害更大。如IBM圣诞树病毒、Fv-shot4病毒、Unix上的Worm病毒等。这里的蠕虫(Worm)病毒便是利用了Unix的安全缺陷,在网络上传染染的。近年来,Worm与病毒的交叉以及病毒攻击网络的事件也不断出现。1990年2月Novell网受到了来自节点的病毒攻击,这是从电子邮件的局部网的病毒感染而来。三、网络病毒特点及破坏性网络病毒常使网络管理员(Supervisor) 十分头痛,其特点和危害性表现在:1.破坏性强网络病毒破坏性极强,以Novell网而言,一旦文件服务器的硬盘被病毒感染,就会破坏NetWare分区某些区域内容,使文件服务器无法启动,整个网络陷于瘫痪,造成灾难性后果。2.传播性极强具有强再生机制,一接触就传染。网络病毒一旦加到一个公用程序上,就开始寻找要进行感染的其它程序,这样就使病毒能够很快地传播到整个网络上。例如,1988年9月12日发生在日本电气"PC-VAN"网络的计算机病毒。PC-VAN病毒在网络上通过电子邮件发送一些实用程序,只要网络上的用户打开自己的个人计算机,软、硬盘上的Command.com文件便被感染上病毒。此后,感染上病毒的个人计算机再打开时,有病毒的Command.com 便被启动,当用户要接通网络,办理入网认证手续,输入密码口令时,病毒便窃取了这些关键数据,并把这些数据存放在病毒内部,然后提供给施放病毒的非法用户。在这次PC-VAN病毒事件中,有13个合法用户的密码被盗窃,虽然没有造成很大的危害,但是经过新闻界的渲染报道,在日本引起很大震动。3.可激发性在一定的环境上接受外界刺激,使病毒活跃起来,激活的实质是一种条件控制。触发的条件则是多样化的,可以是内部时钟、系统的日期和用户名,也可以是网络的一次通讯等。一个病毒程序可以按照设计者的要求,在某个工作站上激活并发出攻击。4.极快感染性据统计,在网络上病毒感染的速度是单机PC的几十倍,例如Decnet网病毒。1989年10月16日上午,有人从法国将该病毒植入到Internet网中,在以后的几个小时内,它感染了Decnet网中的60多台计算机。两个星期后,该病毒再次攻击了Span网,在数小时之内,又有300台DEC的VAX机受到感染。SPAN网是基于Decnet和Internet的混合型网络,共有1.3万台计算机,是美国国家航空航天管理局(NASA)使用的空间物理分析网络,绝大多数是运行VMS的VAX机。5.针对性强网络病毒并不能对所有的计算机都进行感染,而是有针对性的。如有的病毒只能感染上IBM-PC工作站,有的病毒只能感染Macintosh计算机,也有的病毒是专门针对Unix操作系统的。6.扩散面广由于病毒的传染特性,使得网络病毒的扩散面很大,一台PC机的病毒,可能通过网络通讯机制广为扩散。据统计,70%以上的电脑中毒发生在网络的PC用户上。而且,网络病毒感染速度快,造成的网络瘫痪损失难以估计。而且网络服务器一旦中毒,其清毒、解毒所需的时间更是单机的几十倍。四、防治网络病毒的一些基本方法为了防治网络病毒保证网络稳定运行,可采取下面一些基本方法:1.建立一个整套网络软件及硬件的维护制度,定期对各工作站进行维护。在维护前,对各工作站有用的数据采取保护措施,做好数据库转存、系统软件备分等工作。2.对操作系统和网络系统软件采取必要的安全保密措施。防止操作系统和网络软件被破坏或意外删除。对各工作站的网络软件文件属性可采取隐含、只读等加密措施,还可利用网络设置软件对各工作站分别规定应防问共享区的存取权限、口令字等安全保密措施,从而避免共享区的文件和数据等被意外删除或破坏。3.加强网络系统的统一管理,各工作站规定应防问的共享区及存取权限口令字等,不能随意更改,要修改必须经网络管理员或领导批准后才能修改。4.建立网络系统软件的安全管理制度,对网络系统软件指定专人管理,定期备份,并建立网络资源表和网络设备档案,对网上各工作站的资源分配情况、故障情况、维修记录要分别记录在网络资源表和网络设备档案上。5.制定严格的工作站安全操作规程,网上各工作站的操作人员必须严格按照网络操作手册进行操作,并认真填写每天的网络运行日志。五、网络防病毒产品介绍网络安全性已经成为网络管理者和网络厂商日益关注的问题。因此选用高效的网络防病毒产品是一件非常重要的事情。下面介绍几种网络防病毒产品。1.Intel公司的Landesk Virus Prontect该产品的原作为Trend公司,即人们熟知的LANProtect,后由Intel购得其版权,更名为现名LANdesk Virus Protect。它是一个百分之百在网络服务器上运行的防毒软硬结合体。主要功能特点是:1)采用NetWare的可装载模块(NLM)设计,完全不干扰工作站。2)实时扫描侦测所有DOS病毒。3)各工作站无须安装任何驱动程序。4)自动追踪病毒的文件来源(使用者ID、工作站名、执行时间、日期),并及时通知网络管理者。5)可自由设定随时扫描,如每天扫描或每周、每日扫描一次等。6)自动通知使用者和管理员有网络病毒的活动。7)提供自动化病毒处置选择方案,允许用户删除中毒文件,更改文件名成为不可执行或隔离到专用目录中。2.LANClear for Netware该产品是由南京威尔德电脑公司独立设计研制的Novell网络防病毒系统。LANClear除了拥有LANdesk Virus Prontect的上述基本功能外,还具有以下几点:1)在Novell 网上自动杀毒。2)实现了网络工作站的网上智能免疫,这也是网络防毒产品的发展新方向。3)反病毒产品需要不断更新和升级。由于南京威尔德公司拥有LANClear的全部源程序代码,所以对用户升级特别方便、迅速,特别是对一些国内的土特产"病毒,LANClear尤为适用。4)价格较适合于广大用户。3.Chipway防毒芯片这种技术首先是由Trend公司提出的。网卡+Chipway防毒芯片是网络工作站防病毒的一种较理想的选择。在DOS引导过程中,在ROMBIOS、Extended BIOS装入后,Partition Table装入前,Chipway获得控制权,这样可以防止引导型病毒。Chipway的特点是:1)不占主板插槽,避免了冲突。2)遵循网络上国际标准,兼容性好。4.Station LockStation Lock也是Trend公司的产品,其特点是不需要知道病毒所属的类别,而只需知道病毒做了什么事。其防毒概念基础是建立在"病毒必须执行有限数量的程序之后,才会产生感染效力"的基础之上。Station Lock能较精确的预测病毒的攻击行为,也能处理一些基本的网络安全问题,例如,存取控制和预防未授权拷贝以及在一个点对点网络环境下限制工作站资源互相存取等。六、结束语计算机病毒的流行,向人们揭示了计算机系统的脆弱性和不安全因素。计算机病毒的真正危险在于威胁网络和大型信息系统的安全。因此,防范计算机病毒的重点是大型信息系统和网络。随着人们对网络病毒的认识和研究逐步加深,各种网络防病毒技术会逐步推出,也会逐步走向完善。当然,防治网络病毒,我们必须重视自己的力量,勇于探索。中国科学院防治病毒专家刘尊全研究员,就认为高技术项目必须重视依靠本国的力量,防治网络病毒更不例外。人生中只有自身可以主宰命运时,天地才是广阔的。自80年代以来,微型计算机已在我国社会生活的各个方面获得了广泛的普及与应用。尤其在高等院校中,微机已成为教学和科研工作中不可缺少的重要工具。但是从1988年以来,计算机病毒也开始在我国出现并迅速泛滥,对数据安全形成极大威胁,妨碍了机器的正常运行。到了90年代,随着我国各类计算机网络的逐步建立与普遍应用,如何防止计算机病毒侵入计算机网络和保证网络的安全运行已成为人们面临的一个重要且紧迫的任务,计算机网络的防病毒与反病毒技术已成为计算机操作人员与网络工作人员必须了解与7掌握的-项技术。 人侵计算机网络的病毒类型是多样的,既有单用广微机上常见的某些计算机病毒·如感染磁盘系统区的引导型病毒和感染可执行文件的文件型病毒,也有专门攻击计算机网络的网络型病毒,如特洛伊木马病毒及蠕虫病毒等。 在现阶段,由于计算机网络系统的各个、组成部分、接口以及各连接层次的相互转换环节都不同程度地存任着某些漏洞或薄弱环节,在网络软件方面存在的薄弱环节更多,所以使得网络病毒有机可乘,能够突破网络的安全保护机制,通过感染网络服务器,进而在网络上快速蔓延·影响到各网络用户的数据安全和机器的正常运行。所以计算机网络一旦染上病毒,其影响要远比单机染毒更大,破坏性也更大,计算机网络必须要具备防范网络病毒破坏的功能。 一 网络病毒的特点及危害性 1·破坏性强 网络病毒破坏性极强。以Novel1网为例, 一旦文件服务器的硬盘被病毒感染, 就可能造成NetWare分区中的某些区域上内容的损坏,使网络服务器无法起动,导致整个网络瘫痪,造成不可估量的损失。 2·传播性强 网络病毒普遍具有较强的再生机制,一接触就可通过网络扩散与传染。一己某个公用程序染了毒,那么病毒将很快在整个网络上传播,感染其它的程序。根据有关资料介绍,在网络上病毒传播的速度是单机的几十倍。例如,据记载在1989年10月16日上午,有人从法国将DECnet网病毒植入到lnternet网中,几小时内,就使该网的60多台计算机受到感染。约两个星期后该病毒又攻击了 SpAN网 (SpAN网是美国国家航空航天管理局使用的空间物理分析网络),在其后的数小时内,又有300台VAX机受到感染。" 3·具有潜伏性和可激发性 网络病毒与单机病毒一样,具有潜伏性和可激发性。在一定的环境下受到外界因素刺激,便能活跃起来,这就是病毒的激活。激活的本质是一种条件控制,此条件是多样化的,可以是内部时钟、系统日期和用户名你,也可以是在网络中进行的一次通信。一个病毒程序可以按照病毒设计者的预定要求,在某个服务器或客户机上激活,并向各网络用户发起攻击。 4·针对性强 网络病毒并非一定对网络上所有的计算机都进行感染与攻击,而是具有某种针对性。例如,有的网络病毒只能感染IBM PC工作地, 有的却只能感染Macin-tosh计算机,有的病毒则专门感染使用Unix操作系统的计算机。 5·扩散面广 由于网络病毒能通过网络进行传播, 所以其扩散面限大,一台PC机的病毒可以通过网络感染与之相连的众多机器。由网络病毒造成网络瘫痪的损失是难以估计的。一旦网络服务器被感染,其解毒所需的时间将是单机的几十倍以上。 鉴于网络病毒的以上特点,采用有效的网络病毒防治方法与技术就显得尤其重要了。 目前,网络大部采用Client/Server模式,这就需要从服务器和客户机两个方面采取防治网络病毒的措施。现以在高等院校中广泛应用的Novell网为例,介绍一下网络病毒的防治措施。 二 充分利用Novell网本身的安全体系 防止网络病毒的人侵 Novell网络本身具有一套较为完善的网络安全体系,如可设定目录登录限制、目录最大权限、信任者权限、文件属性等,这在一定范围内才服务器文件与数据提供了保护。 另外, PC-DOS系统的一些中断向量也被网络操作系统的中断向量所取代,这使得不少在PC上猖撅的单机病毒不能在Novell网上传播。才消除或限制网络病毒的破坏作用,首先应防止网络服务器受病毒的感染。为此可采取如下措施, l· 将网络服务器的整个硬盘划分为 NetWare分区。用系统软盘启动网络服务器。实践证明,此方法虽然启动速度稍慢,但数据安全性好得多。 2· 多用无盘工作站。少用有盘工作站使用无盘工作站后,用户将不能从网络服务器上装入或卸出文件、而只能执行服务器上的文件,这就减少了病毒从工作站侵入网络的机会。网络中一般有两个有盘工作站即可,一个给系统管理员使用,另一个提供给用户作文件装入与拷贝用。 3· 规定用户的访问权限,尽可能少用超级用户登录。对普通用户,不应允许其具有对其他用户目录的浏览和访问极力,以防止用户通过拷贝他人可能已被病毒感染的文件,将网络病毒传至自己目录中的文件上来。而超级用户减少,具有访问整个服务器全部目录能力的使用者就减少,使系统文件感染的机会也就越少,这就能增大整个网络的工作安全性。只有在必要时才授权给某一用户,使其在某目录中有超级用户权和存取控制权。一般不应允许多个用户对同一目录具有读/写权力,以防网络病毒的交叉感染。若必须使多个用户以读/写权力存/取同一目录,则应通告用户不能在共享目录下放置可执行文件。在组目录中一般只放置数据文件,尽量不把共享可执行文件放在组目录中。 4· 加强系统管理。提高网络系统的操作安全性。对于公用目录中的系统文件和工具软件,要设置其力只读属性,对系统程序所在的目录不授予修改权和管理权。这样,病毒就无法对系统程序实施感染和寄生,其他用户也不会受到病毒感染。也可利用网络设置软件对各工作站分别规定应访问共享区的存取权限、口令字等,使共享区的文件和数据不会被意外删除或破坏。 5· 工作站是网络的八口、只要将此入口管好、就能有效地防止病毒的入侵因此, 可采用固化有防/杀病毒软件的卡或芯片,将其安装在网络工作站上,这样就可经常地保护工作站及其通往服务器的路径,从而拦截病毒对网络的入侵。也可将工作地的存/取控制与病毒防护合二为,,起到防止病毒入侵的作用。 三、采用Station Lock 网络防毒方法 通常, 防毒概念是建立在"病毒必须执行有限数量的程序之后, 才会产生感染力"的基础之上。Station Lock就是根据这一特点和病毒活动特点,辨别可能的病毒攻击意图,并在病毒末造成任何破坏之前一予以拦截。Station Lock是在系统启动之前就控制了工作站上的硬件和软件,所以病毒攻击Station Lock是很困难的。在网络环境下,目前Station Lock是防治病毒较为有效的方法。 四、重点立足于服务器的防毒,选用可靠的网络防病毒软件 网络的核心是服务器,服务器一旦被病毒感染,便无法启动,整个网络将陷于瘫痪状态,造成严重后果。因此,基于服务器的病毒防治,表现形式昆集中式扫毒,它能实现实时扫描,而且软件升级也方便。目前,市场上基于服务器的病毒防治采用NLM(NetWare Load Module) 方法,它以NLM模块方式进行程序设计,以服务器为基础,提供实时扫描病毒的能力,从而使服务器不被感染,消除病毒传播的路径,这就从根本上杜绝了病毒在网络上的蔓延。 目前基于Novel1网络的防病毒软件有Anti一VirusForNetworks、 InoculLAN、LanDesk VirusProtest等,它们都具有以服务器为基础的扫描病毒能力,其特点足不占用工作站的内存,能实现实时扫描,安装及升级都很方便。 对于工作站, 仍要立足于加强管理,采用可靠的防/杀病毒软件。 五、清除网络病毒的过程 一旦在网络上发现病毒,应尽快加以清除,以防网络病毒的扩散给系统造成更大的损失。具体过程为: ·立即用broadcast命令通知包括系统管理员在内的所有用户退网,关闭文件服务器; ·用干净的系统盘启动系统管理员工作站,并立即清除本机工作站中含有的病毒; ·用干净的系统盘启动文件服务器,系统管理员登录后,使用Disable Login禁止其他用广登录; ·用防病毒软件扫描服务器上所有卷的文件, 恢复或删除被惑染的文件,重新安装被删除的文件; ·对在已染毒网络上存取过的软盘进行消毒; ·确信网络病毒已全部彻底清除后,重新启动网络及各工作站。 随着网络技术和申机网络化的不断发展,网络反病康技术将成为计算机反病毒技术的重要方面,也是计算机应用领域中需要认真对待的问题,这将计算机成为网络管理人员及用户的长期任务只有做好这项工作,才能保证计算机网络长期安全和稳定地运行。
