当病毒披上“羊皮”
软件世界
用“谎言”伪装自己的病毒再一次地嘲弄了杀毒软件,这些花样层出不穷的,会说谎话的病毒开启了自己的“谎言创意时代”。
披着“羊皮”的病毒
如果计算机病毒界也有颁奖典礼,马来西亚的《政府告公民书》病毒应该获得本年度最佳化妆奖。这种病毒不单伪装成为“致马来西亚全体公民紧急警告”的电子邮件,而且紧扣当今的国际时事政治,借着东南亚国家正在反恐的势头,它将自己伪装成貌似政府向国民发出的恐怖袭击警告邮件,而实为传播木马病毒程序的危险邮件。
随着近年来IM即时通讯软件的火爆,病毒开始将目光转移到这些大众聊天软件上,去年12月31日,一种通过微软MSN信使客户端软件传播的新蠕虫让很多微软的用户深受其害。现在一句MSN上的疯狂乱窜的病毒式聊天语言──“今天晚上请你吃饭”,也是由一个看似普通的屏保程序引起。
在大家常用的腾讯QQ上涌现的一些伪装型病毒也很有代表性,这些病毒通过QQ的漏洞,让QQ用户在感染病毒后,将带有病毒代码的网页地址发送给自己的好友,受害用户在跟自己的好友聊天时,常常不知道自己每说的一句话后面都带上了一个附带有病毒的网页地址,而不知情的好友往往会好奇地点击一下,此时病毒就这样悄悄地感染了用户电脑。
面对这种披了“羊皮”的病毒往往令杀毒软件很被动,通常用户在感染病毒时并不容易察觉,而病毒通过这种“谎言+漏洞”的传播方式也让杀毒软件无从下手。
病毒这样保护自己
计算机病毒自我伪装的技术并不是今天才出现的,在上个世纪80年代早期,很多计算机病毒就已经通过自加密来进行自我保护,后来出现的能够完全改变自身代码的变形机技术更为清除病毒工作增加了难度。
近年来日渐深入大众生活的互联网又给初级病毒制造者提供了一种更加灵活的伪装方式──欺骗。
1999年,一种伪装成电子贺卡形式的Happy99的网络蠕虫病毒就通过电子邮件欺骗用户执行自己的附件,附件打开后用户得到的是一个礼花一样的动态图像,多数用户会将病毒信以为真地误认为是贺卡,忽略了已经感染上蠕虫病毒的情况。因此Happy99以惊人的速度传播,创下了当年蠕虫病毒传播速度的记录。而由此之后,欺骗型的病毒开始成为病毒伪装的主流手段。
最佳“化妆”技术
最近有一种DLL文件病毒却让杀毒软件很头疼,甚至让很多杀毒软件无从下手。而且用DLL技术编写病毒的话,破坏力要比其他病毒更加凶猛,求职信病毒就是一个很典型的例子。
因为在Windows系统中,每个进程都有自己的私有内存空间,病毒就是利用种种方法进入并操作进程的私有内存,这就是所谓的“动态嵌入”技术,它是将自己的代码嵌入正在运行的进程中的技术。动态嵌入的实现方法有很多种,最常见的是“钩子”、API函数以及“远程线程”技术,现在的大多数DLL病毒都采用“远程线程”技术把自己挂在一个正常系统进程中。DLL文件成了现在病毒最佳的伪装外体。
失衡的杀毒技术
病毒是人性中贪婪欲望的展现,当今的病毒不在于追求破坏性的威力,它们更希望病毒能够像“癌细胞”一样地无限扩展,吞噬掉身体的养分,迫使正常细胞枯竭。我们有理由相信,病毒的趋势再如此发展,就会演变成一场失衡的噩梦……
当然,全球的计算机反病毒技术正处在有史以来最好的一个发展阶段,反病毒技术的提高极大地抑制了病毒的多次发作与对关键数据的破坏,这一点是无庸置疑的。没有困难,就缺乏刺激,上述种种病毒并不是无法逾越的障碍。好消息是,不管病毒怎么变,杀毒软件的技术突破总比病毒制造者的多。坏消息是寻找到病毒的成本更高了,我们需要更多的时间,更多的系统资源。
病毒悲观主义认为:现在的情况已经糟透了。
而乐观主义认为:情况还会继续糟下去的……
如何面对伪装性很强的病毒
瑞星研发部反病毒分部经理 蔡骏:
像QQ尾巴、情人节这样伪装性很强的病毒,它们往往发送一些非常人性化的语句,如“这是我的照片,很好看的”之类的话来迷惑用户,使用户无法判断真假,导致感染病毒。
面对这种伪装性很强的病毒,原则上是不要轻易打开一些来历不明的邮件及附件,如果你在网上收到一些带链接的消息时,不要马上点击该链接,最好再向对方确认一下是否属实。这些必要的做法能有效地避免这些伪装性很强的病毒的“伤害”。
江民公司技术总监 严绍文:
病毒伪装得再巧妙,总有一些特征是可循的,典型的像NETSKY病毒,将自己伪装成多种格式的文件隐藏在邮件中,如图片格式、Word文档格式等等,诱使人们去点击运行。用户应该养成经常登录权威反病毒资讯网站,及时掌握一些流行病毒的特征,以增强自己对病毒的识别能力。
金山毒霸技术副总监 孙国君:
现在对一般用户来说,消息类病毒都伪装得比较好,我在工作中,发现病毒可能会向好友发送带有链接的问候语句,从而使更多的人浏览并中毒。
其次,病毒也可能伪装成为一幅图片,或者Flash动画,如果用户系统没有更新,那么就有可能有漏洞从而中毒。大家平常打补丁时常要多注意一下。