恶意代码泛指所有不怀好意的程序代码,包括计算机病毒、“蠕虫”病毒、特洛伊木马和黑客后门。
1、恶意代码的演化
计算机恶意代码有一个演化过程,这一过程与全球计算机操作系统的发展有密切关系。Microsoft的操作系统一直是恶意代码发展的主要平台,这里以时间为主线对在该平台上恶意代码的演化进行分析。在过去的10多年中Microsoft主要推出了4大操作系统:MS-DOS、16位的Windows 3.1、32位的Windows 9x/NT/2000及64位的Windows XP。
1987~1993:这时,个人计算机盛行及网络处于萌芽阶段,磁盘是主要的交换媒介。计算机则是采用8086/8088CPU的XT及80286的AT机为主。处于这个信息爆炸年代,加上版权保护观念尚未普及,一套计算机软件往往一传十、十传百,这也是造成开机型及DOS文件格式病毒快速蔓延的主要原因。
1993~1995:继MS-DOS之后,16位的操作系统Windows 3.1占领了市场,由于Windows 3.1操作系统需要在MS-DOS环境下激活,所以除了原有开机型及DOS文件型病毒仍具威胁外,专门针对Windows 3.1操作系统设计的NE格式的计算机病毒也在这个时期问世。
1996~2001:随着Microsoft 32位操作系统的推出,宏病毒、PE格式的32位病毒、VBScript等恶意代码纷纷出笼,而且这些恶意代码大都具有编写容易、影响普遍的特点。计算机病毒的作者还大量使用了“变体引擎”、压缩和加密等技术,以使程序很难被破解和侦察。
2002至今:随着Microsoft 64位操作系统的推出,操作系统的网络功能大大增强,Web服务器和网络浏览器普及很快,公共网关接口(CGI,common gateway interface)脚本使用机会大大增多,而CGI脚本经常是安全漏洞的来源。因为CGI脚本的功能是很强的,能够做以下事情:在主机上进行读和写、使用用户设置的权限执行等。
从以上分析,我们可以看出恶意代码的进化过程和操作系统有着密切关系。随着操作平台的发展,恶意代码的功能及影响层面与日俱增。
2、恶意代码的传播趋势
在计算机恶意代码造成的危害中,“传播媒介”一直起着推波助澜的作用。PE_CIH的危害再大,也只能通过单部计算机进行传播,影响较小。而借助于电子邮件传播的W
3、恶意代码类型
在因特网上的计算机,除了容易遭受黑客攻击外,还存在如表1所示的4种恶意代码的入侵威胁,它们的主要特性分别叙述如下。
表1:4种恶意代码的特征
1)计算机病毒:它是一个自复制的计算机程序,能够把自身添加到可执行文件或磁盘上的系统区域中。当使用者执行已感染病毒的文件或者启动带有病毒的磁盘时,病毒就会传播出去。计算机病毒是否会在某一特定日期发作破坏系统,这要看该病毒是如何编写的。
2)“蠕虫”:它并不是另一个程序的一部分,它自身由一对独立的程序组成,分别称作主程序和矢量程序。一旦它们在因特网上的一个或更多个主机上被激活,主程序就自动收集主机、网络和用户信息,并使用这些信息和利用主机的系统软件存在的缺陷,首先通过局域网、互联网或者电子邮件派遣矢量程序进入其他机器,在矢量程序探明情况并成功完成入侵以后,再通过网络传播主程序,然后复制的新“蠕虫”(包括主程序和矢量程序)将采用同样的方法尝试感染其他机器。
3)特洛伊木马:伪装型木马是隐藏在执行合法功能的大型程序中一段恶意程序。网络传播型木马由两个程序组成,分别称作服务器端程序和客户端程序。其中服务器端程序是安装在入侵的计算机上,而客户端程序是安装在攻击者的计算机上。
4)黑客后门:是攻击者创建能迅速重新获取访问权的机制。它通常采用远程shell 访问,即攻击者在目标系统缓冲区建立执行代码,并能远程控制它并执行。
