道高一尺,魔高一丈 Debug 2001年 5期 随着互联网的飞速发展,病毒也顺应互联网时代的特点,有了一些新的变化。为了逃避诸多杀毒软件的围剿,新病毒在其隐蔽,传播,破坏等方面改进了许多,出现了许多新特性:   1.邮件系统传播病毒 这已是病毒传播的首选途径,据统计,通过邮件系统附件传播的病毒超过病毒传播总途径的60%。“罗密欧与朱丽叶”是又一个具“划时代”意义的病毒(上一个是CIH)。已往病毒都是隐藏在附件中,为此,许多人都对附件如临大敌,对于没有什么重要作用和没得到完全确信是正常的邮件,很多人都是见附件就删,从而使病毒的破坏不能得逞。“罗密欧与朱丽叶”病毒针对这种情况,把病毒直接夹杂在邮件正文中,只要选中了带毒邮件,那么就意味着你已经中毒了,虽然它并没有多大的破坏性,但照此发展下去,后果不堪设想!   2.更加隐蔽 新病毒隐藏在各种各样的程序中,如MP3文件,甚至存在于聊天程序中!利用Active X和Java等技术,病毒还可隐藏在网页文件中,当你不幸点击了带毒(严格地说有的是恶意程序)的HTML文件时,那么你就中招了。现在甚至有人煞费苦心地把新病毒伪装成免费杀毒程序以供人下载,其后果是不言而喻的。同时,网上还出现了一种“智能病毒”,病毒中带有搜索和判断语句,首先,病毒搜索计算机中有无诸如ScanVirus、AntiVirus、KV、Panda、AVP等程序,一发现有反毒程序在运行,便隐藏自身或用自身的病毒副本去试探感染,当没有发现上述条件时则实施感染或破坏。   3.加强反杀除能力,现在的病毒不再是感染一个或几个单一的文件,一旦进入了计算机并触发了感染机制,病毒便搜索一切可感染的文件和程序实施大面积感染(如时下流行的“圣诞节”病毒和已往的“DIR2”等病毒)。并且,现今的病毒还考虑到众多杀毒软件存在的现实,使用病毒覆盖技术,把正常程序的一小部分用病毒覆盖掉,这种情况下有杀毒软件也不能使用杀毒:不杀病毒,文件还可以勉强使用,一杀病毒文件也跟着死掉,成了与病毒共存亡,杀毒软件也只能干瞪眼。   4.超级病毒大面积出现 已往,病毒大多都是调用一些计算机内的命令来实施破坏,为此,很多朋友都采取相应措施,如把Format、Deltree等有破坏力的命令改名或用DOSKEY禁用,以此来防止病毒的破坏。病毒就从这方面入手,使病毒代码自带Format等具有破坏性的命令,一经触发后果不堪设想。有趋势表明超级病毒将是今后病毒的主流!   病毒有了飞速的发展,各种反病毒技术也层出不穷,传统的基于病毒特征值对比的反毒技术已显得有些单薄,为此各大反病毒厂商也适应病毒的发展,纷纷采用了一些新技术:   1.采用虚拟机和启发代码扫描技术   面对每星期出现的近200多种新病毒,传统的病毒特征码收集已显得力不从心了!为此,各大反毒厂商纷纷在其软件中加入虚拟机查杀毒和启发代码扫描技术,从判断代码的运行行为入手,来判别未知新病毒。虽然还存着“速度慢、易误报”等缺陷,不过对于病毒特征值检测技术来说,却不失为一种有益的补充,成为今后发展的方向。   2.注重杀毒软件自身的安全,杀毒软件担负着防范病毒,为计算机保驾护航的重要使命,鉴于它有对所有文件访问(查毒、杀毒)的特点,如果杀毒软件自身带毒,或被黑客从远程注入最新病毒,那么后果将是带毁灭性的。为此许多杀毒软件加强对这方面的防护,有的采用新技术,使自己拥有“带毒杀毒”能力,或者加强自身的扫描保护能力。   3.加强对未知宏病毒的杀除和预防功能 这是新一代杀毒软件所必须具备的。由于编写容易,再加上微软Office系列使用广泛,宏病毒已成为现今流行病毒的主流,为此各反毒厂商都加强了对宏病毒的查杀。   4.反病毒与反黑客攻击相结合:在杀毒软件中融入网络防火墙功能,这是互联网时代全面的安全要求。单纯的查杀黑客程序功能已不能对计算机进行全面保护了,为此,一些杀毒软件真正做到了反毒与防黑的结合,使杀毒软件的反黑功能得到了一个质的飞跃。   编后:病毒是厉害的,厉害就厉害在编病毒的人,高层次的病毒编制者,总是参考众多的杀毒软件的特点,找出杀毒软件的漏洞,“趋害避利”编制出新的病毒(如CIH就是陈盈豪专门针对已往PC-Cillin的漏洞编写的)来逃避杀毒软件的检测,从而达到广泛传播与破坏的目的。新时代有新时代的病毒,也需要有新技术的杀毒软件,病毒与反病毒的斗争是从未停止过的,反病毒厂商需要在改进技术中求得发展。