在Windows的早期年代,病毒游走于系統之間,偶爾刪除文件(但被刪除的文件幾乎都是可恢復的),并彈出一些顯示費解內容的對話框。現今,Windows惡意軟件鎖住你的數據,劫持它索要贖金。它控制你的PC發動攻擊,尋找保護信用卡號碼和口令的文件,更可怕的是,這些病毒還能夠讓核濃縮離心機瘋狂地旋轉—這真是令人討厭的東西。
20年間,Windows惡意軟件造就了許多價值數幾十億美元的殺毒公司,賦予足以裝滿亞歷山大大圖書館的文章以靈感,為成千上萬的安全專業人士創造了職位,并給人們帶來無窮無盡的煩惱。
這些討厭的程序不是一夜之間從初學走路的孩子變成打遍天下無敵手的惡棍的。惡意軟件的成長有著清晰的繼承性,其手段、方法和目標隨著時間的發展而不斷變化。如同任何技術一樣,創新的思想指引著惡意軟件的前進道路。讓我們看一看為達到邪惡目的的創造力是如何將Windows黑客技術變成價值數十億美元的產業的,以及Windows惡意軟件的成長足跡指向了未來的何處。
早期病毒展示
一些最具創新性的并且(仍)廣泛使用的惡意軟件技術在Windows誕生之際就出現了,經過Windows 3.0面市之前幾年時間的發展,為未來針對Windows的惡意軟件打下了牢固的基礎。
以第一個感染可執行文件的病毒VirDem為例。Ralf Burger于1986年在德國發明了這種病毒,他將一個自復制程序粘在COM文件的前面,把文件原始的指令移動至文件尾部。隨后不久出現了Cascade惡意軟件。這種出現在1987年的惡意軟件是第一種采用加密技術來偽裝自己的病毒。不幸的是,加密程序在所有被感染的文件中都是相同的,因此掃描程序很容易發現它。該病毒并不成功。
GhostBalls集兩種感染技術于一體,創造出第一種多技術或混合型威脅病毒。GhostBalls把自己附著在COM文件上,通過將自己復制到其它COM文件上來進行傳播,但它還尋找“A:”驅動器中的軟盤,如果找到,就將修改后的啟動磁盤病毒復制到軟盤上。為克服Cascade病毒先天的不足,1990年Mark Washburn推出了1260病毒,第一種多形態病毒。多形態病毒每一次被加密時就會變身—常常改變加密程序本身—從而大大增加了檢測病毒的困難。在雷達盲區飛行是1990年出籠的另兩種病毒—Frodo和Whale--的犯罪手法。這兩種病毒因千方百計隱藏自己而被稱為“stealth”病毒。Frodo讓Windows在被感染的COM文件的大小上說謊,使這些文件看起來像沒有被感染一樣。Whale—長度9KB,是當時長度最大的病毒—利用Frodo技術隱藏自己的長度,并利用1260的獨門絕技來變身。這兩種程序都沒有感染太多的東西,但它們在隱身方面技壓“群毒”。二十年后,Windows惡意軟件的萬神殿塞滿了被感染的可執行程序、多技術、變形和stealth技術。
Microsoft宏病毒的興起
Windows 3.0于1990年5月22日上市,這種平臺很快就火了起來。除了Michelangelo(一種摧毀Windows機器、將“計算機病毒”一詞注入到地球上幾乎所有語言中、幫助維持利潤豐厚的殺毒產業的普通引導區病毒)之外,病毒創新停滯不前了。一直到1995年夏天,新的魔鬼出現了:有人——我們現在仍不知道是誰——利用WordBasic(MicrosoftWord背后的宏語言)編寫了一種非常簡單的宏病毒。
當使用Word 6打開文檔時,被這種病毒感染的文檔就向Word缺省模板NORMAL.DOT添加4個宏。隨后,NORMAL.DOT會感染你隨后保存的任何Word文檔。這個宏攜帶無害的有效載荷,只是顯示一個古怪的對話框。宏代碼中包含“That's enough to prove my point”的正文--因此這種病毒被取名為Concept。
水閘打開了。1995年8月,多位Microsoft雇員告訴我,Microsoft的Redmond園區中所有PC中的80%以上都被Concept感染了。Concept在幾周內傳遍全世界。殺毒公司忙作一團,試圖防止這種全新的攻擊向量,而病毒編寫者在1996年廣為傳播的宏病毒構建工具的幫助下大顯身手。Word遭受到了最初的打擊,但以后Excel電子報表也受到攻擊,第一次是Laroux,隨后是1,000多種宏病毒的攻擊。Microsoft在Office 97中加強了安全性,但是病毒編寫者迅速找到了如何繞過安全控制機制的辦法,許多老病毒利用Microsoft的自動升級工具,自動變身轉移到新系統。直到殺毒廠商開始占據上風,但主要是靠蠻力。最終,Microsoft在Office 2000中讓感染變得更加困難后,這股病毒浪潮的勢頭才緩下來。即使這樣,Word和Excel宏攻擊仍是惡意軟件世界中的主力軍,直到Microsoft在Office 2007改變了缺省文件格式之后才有所緩解。
世紀末:通信攻擊
當一位臺灣程序員,Chen Ing Hau,創造了CIH(也叫切爾諾貝利)時,針對Windows的惡意軟件進入了全盛期,把stealth感染提升到一個新高度。
利用可移植的可執行文件格式,CIH縮身變為EXE文件的一部分,在不改變可執行文件大小的情況下感染它們。那些運氣不佳的在1999年4月26日喚醒Windows 95、98或ME系統上的這些間隙病毒的人,面對的是紋絲不動的PC。CIH是一種破壞性的病毒,但它并不會自己傳播。
電子郵件成為這種病毒強有力的提交機制——壞人們沒有放過這點,他們的“Good Times”惡作劇(“如果你閱讀主題為‘Good Times’的郵件,你的硬盤將被摧毀”)讓幾百萬人感到恐懼。
惡意軟件技術的下一個大飛躍伴隨著在寫著“Happy New Year 1999!”標題窗口中的焰火到來了。Happy99(也叫SKA)通過劫持一個Windows程序進行感染,它接管通信程序Wsock32.dll。如果你從被感染的機器發送郵件,假冒的Wsock32.dll提交這個郵件,但隨后向同一個收信人發出第二封帶有附件(通常叫Happy.exe)的空白信件。如果收件人雙擊這個文件,他們看到屏幕上顯示焰火—以及可惡的感染—的問候。
在Happy99之前,另一些惡意軟件利用同樣的技術掛在Windows上,但Happy99具有接管通信程序的遠見;因此,它大量傳播。讓這種病毒如虎添翼的是:Microsoft自Windows 95起停止顯示文件擴展名,因此多數收到Happy99.exe的用戶只看到“Happy99”文件名,并且常常會點擊它。
隨后,新澤西的David L. Smith編寫了Melissa。這種宏病毒掃描被感染PC的Outlook地址簿,把自己的副本發給地址簿的前50個地址。這是許多Windows垃圾郵件制造病毒中的第一個成功者。
Melissa繁殖力非常強,它在1999年3月26日造成世界各地的Exchange服務器癱瘓。CERT說,一臺服務器在45分鐘內收到了32,000個Melissa副本。Smith先生因自己的行為在聯邦監獄中坐了20個月的牢。幾個月后,另一種破壞性病毒,ExploreZip,也利用Outlook地址簿傳播,這種病毒有著通過重寫Office文檔來刪除文檔的惡習。
20世紀末,惡意軟件編寫者利用了運行Windows Script Host的Visual Basic腳本:一種將在隨后幾年里大獲成功的組合。
BubbleBoy病毒帶來第一個大獲成功的drive-by攻擊。如果有人發給你一封受感染的信件——不一定附著文件——你在Outlook打開這封件或在Outlook Express中預覽它,就會中招。BubbleBoy利用了HTML和Outlook在不發出警告的情況下運行嵌入式Visual Basic腳本的嗜好。
根源問題?在那些日子里,Outlook利用Internet Explorer顯示基于HTML的電子郵件。即使你從沒有看到運行著的IE,它仍在運行,隱藏在后臺,不經允許運行VBS程序。幾年后,Klez蠕蟲利用了同樣的辦法,但卻是利用了一個不同的安全漏洞。
2000年5月5 日,ILOVEYOU蠕蟲發動了襲擊,而PC過去的日子將一去不復返。這是一次推動今天惡意軟件的社會工程學技術的令人難忘的展示,被感染的文件附在信件上傳播。信件的主題是:ILOVEYOU,附件的文件名是LOVE-LETTER-FOR-YOU.TXT.vbs。由于Windows隱藏.vbs文件擴展名,許多人(有傳言說,包括一位非常高級的Microsoft經理)雙擊這個表面上看起來像是TXT文件的附件,結果卻是自投羅網—造成了與Happy99蠕蟲襲擊許多人同樣的致命缺陷。
ILOVEYOU蠕蟲重寫許多不同類型的文件,然后劫持Outlook地址簿,向地址簿中的每個地址發送副本,這點與Melissa很像。它于2000年5月4 日開始傳播。到5月13日,5五千萬臺PC被感染。
隨后,幾種取得巨大成功的惡意軟件攻擊沿著ILOVEYOU的技術足跡繼續前進。2001年,Anna Kournikova出現在名為AnnaKournikova.jpg.vbs的電子郵件附件中。Sircam劫持被感染PC上的一個Word或Excel文件,并利用同樣的技術發送被劫持文件的被感染的版本。許多機密文件被發送給無關的收件人。Sircam還通過把自己復制到網絡共享中傳播。 上一頁1 2 下一頁
推薦閱讀
富士康成都發生爆炸的具體地點是成都郫縣紅光鎮的富士康北區,爆炸原因不詳。 華西都市報首席記者席秦嶺向記者確認,富士康成都的一個操作間發生爆炸,目前很多救護車已經趕到現場,傷亡人員暫時無法統計。 席秦嶺一>>>詳細閱讀
本文標題:指引Windows惡意軟件20年前進道路的“創新”史
地址:http://m.sdlzkt.com/a/xie/20111230/178845.html
網友點評
精彩導讀
科技快報
品牌展示