認識電腦病毒及加強對病毒之防範
因應病毒種類的不斷翻新,要時常更換新的病毒碼與掃瞄引擎。
電腦使用者常會在渾然不知的情況下引進病毒,計有直接從網際網路下載檔案、或是開啟 e-mail 中帶有病毒的附加檔案(Attachment),造成電腦癱瘓、資料逸失等極大的困擾。國際極為知名的微軟公司,為防制電腦駭客(Hacker)以微軟之windowsupdate.com為瞄定目標、利用網路散播電腦病毒或其它的惡意程式,如SoBig.F電子郵件病毒(Virus)、疾風電腦蠕蟲(Worm)…等,遂於2003年11月宣布設立數筆高額懸賞獎金,用以獎勵提供線索、追緝駭客有功的人士,並另編列鉅額經費用以防制利用微軟的網路軟體進行犯罪之惡行,此乃邇來在資訊業界頗受矚目之訊息。
電腦病毒係屬惡性程式(Malicious Code)之一種,會將本身複製至開機區、各檔案或未加保護之資源分享資料夾,當使用者甫開機或執行已遭受病毒入侵的檔案時,該惡性程式即同時展開其破壞力並散播至其它的檔案,目前最普遍的方式乃是病毒會藉由蒐尋使用者通訊錄內之資料,再透過網路以電子郵件之附件傳布出去。有些電腦病毒會設定於某特定日期,如每個月適逢星期五的十三日發作而破壞、癱瘓電腦或毀損資料,有些則無日期之限制,一旦感染就立即發作,此純取決於病毒原始設計者之意圖。並非所有的病毒皆以破壞電腦系統為首要目的,像是已問世多年的惡性程式?特洛伊木馬(TROJ)即是以行竊資料為主,乃在進入使用者的電腦系統後伺機竊取資料,而經進一步改造之變種特洛伊程式則會執行刪除檔案和格式化磁碟…等惡意行為。一般的掃毒程式對於特洛伊木馬病毒,只能掃瞄病毒檔並予刪除,卻無法還原系統中已遭病毒纂改的部分,所幸已有新的掃毒工具可對於特洛伊木馬病毒自動偵測、移除,並完全還原中毒的檔案,讓電腦回復正常運作。
電腦蠕蟲,它不若特洛伊木馬程式,一般的是以散播至同一電腦的其它檔案為足,而係像蠕蟲似的可透過區域網路(LAN)、網際網路(Internet)或傳寄 E-mail 之方式來散布,宛若是在網路之間爬行不歇,近幾年內最著名的電腦病蟲則是「愛之門」病蟲(Lovegate Worm),其變種病毒更兼具有蠕蟲與後門程式的特性,主要是藉由Outlook Express電子郵件或網路芳鄰侵襲用戶系統,用戶系統一旦遭到該病毒之感染,便會透過e-mail大量散發病毒郵件,超逾了伺服器的負荷能力。早期之電腦病毒或電腦蠕蟲等惡性電腦程式,俱是各自獨立運作,但毒手現則將之結合以造成更大的破壞力,例如紅色警戒病毒(CodeRed)即然,係利用微軟公司IIS網頁伺服器的作業系統漏洞,以遂行其破壞之目的。而結合電腦病毒及電腦蠕蟲特性的「梅莉莎」(Melissa) 病毒不僅會摧毀 Word程式 的 Normal.dot檔案,尚會透過 Outlook E-mail 大量散播出去;另一亦曾肇致產業界重大創傷的「探險蟲」(Explore Zip)病毒則是會刪除電腦中的檔案,並會經由區域網路散播至該網路的遠端電腦之上。
隨著無線上網的推出,無線電腦病毒也不落傳統有線病毒之後,陸續被毒手設計出現以危害人間,首隻名為Timofonica 之無線病毒便是在千禧年(西元2000年)6月從西班牙傳出者,該無線病毒會透過某SMS 伺服器自動散播簡訊,不少西班牙民眾的手機即會收到整群的垃圾簡訊,既癱瘓了正常的使用,還得支付簡訊費用,所幸未久即被電信公司發現並立刻關閉 SMS 伺服器,中止此無線病毒的持續釀禍,後來據研判可能是該電信公司員工之惡性作為。同年六月在日本亦曾發生過類似的毒害,出現一種內含HTML編碼且會透過 iMode 電子郵件大量散播的病毒,只要使用者按下相關的連結即會撥動手機電話予當地的110 緊急救難專線,造成嚴重的社會混亂。而且竟然連個人數位輔助理器(PDA , Personal Digital Assist)也未能倖免於害,2000年8月即發現到全球第一隻的Palm特洛伊木馬程式型態病毒 (PALM-LIBERTY.A),未久旋又有同為特洛伊木馬程式型態的兩隻Palm變種病毒:ALM-VAPOR.A?PALM-PHAGE.A?陸續被發現到。
磁片、檔案伺服器是毒手們散播電腦病毒常用的感染媒介物,其它的常見感染途徑計為下述數種:
◆經由從事分享存取之路徑散播
病毒以既已遭受到感染的電腦為導源,藉由網路系統四處擴散,進入原可共享資料夾的其它電腦,再逐一發作肆虐,上述的探險蟲病毒便是此一模式的始作俑者。
◆藉由E-MAIL主動散播
經由網路將病毒主動傳寄予 Outlook 收件匣內的寄件者或儲存於通訊錄內的電子郵箱,且郵件伺服器 (E-MAIL Server) 也會在短期間內因須傳送大批、超過己身負荷的郵件量而紛告盪機,梅莉莎病毒正是首見的該型巨集病毒。由VBScript(一種指令檔)語言所寫成的病毒,即使僅開啟電子郵件而未開啟附件也有可能會遭到病毒的侵襲,「泡泡男孩」(VBS BUBBLEBOY)病毒乃是這類病毒的代表,不論您是逕行開啟這封郵件或祇是在預覽窗格觀瞧這封郵件,病毒即會入侵,接著又會自動尋找通訊錄內的資料,將同樣的郵件寄至通訊錄內的地址,持續不停的散發病毒。
回顧過往十餘年之歷史,電腦病毒已從上(廿)世紀八○年代的DOS檔案型病毒、開機型病毒與常駐記憶體型病毒,演進到九○年代十六位元的Windows檔案型病毒、巨集型病毒,以及近年間針對卅二位元作業系統所設計的檔案型病毒。此外,創發電腦病毒的毒手尚會應用變體引擎、壓縮和加密等各類技術於諸多類型的電腦病毒上,以讓病毒程式更難被偵測或破解。例如若干變種的特洛伊病毒程式,即會偽裝類似特殊工具之型貌,俾吸引使用者下載執行,而電腦駭客則會直接侵入電腦主機逕將惡性程式、如 Backdoor 程式植入其系統以竊取重要資料,抑或進行阻斷服務般的破壞性行為。
通常,倘欲防杜電腦駭客之入侵,常係裝置防火牆(Firewall)放於網際網路的門徑(Gateway)以從事辨認,使得企業內部的區域網路可與業外的網際網路適當隔離,舉凡任一既受質疑者即無法通過防火牆而進入內部網路,但有些駭客卻會竊取使用者的帳號、密碼或鑽取系統的漏洞而潛進企業內的電腦系統。而防毒軟體之所以能防備電腦病毒,主要乃是藉著編定病毒碼與掃瞄引擎兩項利器來行事,防毒軟體業者發現到新的電腦病毒時,馬上會從該病毒程式中截取一小段足可反映該病毒特徵的二進位程式碼(Binary Code),作為偵測病毒之依據,此即病毒碼,加入資料庫中,嗣後在執行掃毒程式、即於掃瞄程式檔案之際,同時作病毒碼之比對,以偵測是否有病毒入侵,此即電腦使用者最熟悉的「病毒碼掃瞄法」,既有相當的功效且速度又快,平均掃瞄一個檔案只消1/20秒的時間,泰半的防毒軟體係採用這種方式,其缺失乃是難以偵測到尚未被發現的新病毒和變種病毒;掃瞄引擎則為防毒軟體另一重要的單元,從事掃瞄乃是將磁碟機或其目錄下的檔案逐一送往掃瞄引擎施行之,並由掃瞄引擎掌握掃瞄之速度,由於掃瞄引擎是被安置在防毒軟體的目錄之下,因而吾人所見之畫面實則為使用者介面。另因病毒的種類不斷的在翻新,遂須時常更換新的病毒碼與掃瞄引擎,俾在彼此的鬥法之中使得「道勝於魔」。而各類型的防毒技術方法,除了病毒碼掃瞄法以外,其它較為常用者尚有以下數種:
軟體模擬掃瞄法
對於每次傳染時係以隨機亂數加密於遭受中毒檔案的千面人病毒(Polymorphic Mutation Virus,Mutation原為生物學上的「突變」之意),因為無法藉著比對病毒碼的方式而發現到這種病毒,故防毒業者特別開發了一套軟體模擬技術,俾可偵測到千面人病毒。此一技術係模擬CPU之執行,在DOS的虛擬機制下「假執行」而誘使病毒顯露出來,再將病毒解碼,據以掃瞄其它檔案。
先知掃瞄法
乃將原本用以判定程式是否存有病毒碼之方法,歸納為系統資料庫,再應用模擬軟體之技術假執行該病毒,以便分析新病毒碼再對抗日後出現於電腦的病毒,常簡稱為VICE (Virus Instruction Code Emulation,Emulation之本意即為對抗),是繼軟體模擬掃瞄法之後的一大技術性突破。
總合比對法
依據每一程式的檔案名稱、日期時間及內容,總合為一個檢查碼附於程式之後方,置於資料庫中,再利用資料庫之既存檢查碼,於日後去追蹤比對每個程式的檢查碼是否已遭纂改俾判定有無中毒。斯項方法可偵測各種類的病毒,唯誤判率稍高且未能確定究係何種病毒所為者。
即時的 輸入/輸出 掃瞄
即時輸入/輸出掃瞄之功能,乃在於立即對資料的輸入/輸出進行比對病毒碼,冀望遭病毒入侵的檔案在猶未被執行之前,即可予以攔截並隔離,固然不免會對整體資料之傳輸速度稍有遲滯,但是應用斯法卻可在檔案傳入之際,即從事一次徹底的掃毒,可有「制敵機先」之效。
歸納病毒行為暨偵測巨集病毒
係將各種病毒所導致的行為加以整合,倘發現記憶體之程式有異常現象時,系統便會警覺並即顯示,可簡便、快速的執行且可偵測到各種病毒,更可進一步的將其與比對病毒碼方式相結合,按照病毒行為模式逐一偵測巨集病毒,極有效的將潛藏於文件巨集內之病毒澈底清除或隔離,且對於藏匿在壓縮檔附件中的病毒亦能有效的防範。
