306e5ade4cd8ba10d9f33c6609f1df05 不知道大家對於病毒的印象是什麼,是會讓電腦變慢?或者是更為慘烈造成重要資料消失,更甚者讓電腦掛掉無法開機?上述所言均為病毒程式的目的,但相較於上述惡作劇的手法,近年來的惡意程式已將矛頭指向有用的資料竊取。有攻就有守,負責防禦的一方就是防毒軟體的功能,除了禁止病毒被執行之外,還將以感染檔案復原的功用,更加強保護使用者個資。

RAM、SSD來加速

早期的防毒軟體只要裝上電腦,使用者立即感覺到電腦變得緩慢,就像是處理器從Pentium 4直接掉到Pentium III般明顯。探究其中原因,除了防毒軟體的運作機制之外,硬體規格限制也是其中之一。傳統硬碟的速度不佳、記憶體容量不足都是主因。之後記憶體顆粒的惡性競爭跌價,以及SSD價格的平民化,使得硬體的限制不再是效能瓶頸。

64位元逃過一劫

記憶體控制器從單通道更新為雙通道,帶動過一次的記憶體模組需求;記憶體價格崩盤,連帶影響每位電腦用戶的電腦記憶體容量,現在買電腦不裝4GB以上的記憶體,感覺自己真的是虧大了。

以家用版的Windows來說,必須換到64位元的版本,才能夠完整管理4GB以上的記憶體,而現今出貨的套裝電腦與筆電,大多也以64位元作業系統為主。因此,較為古老的16位元病毒,均無法在現今64位元的Windows執行,這個病毒的威脅也就自然而然地消失。

病毒目的再進化

又到了筆者緬懷過去的時間,當年在MS-DOS作業系統之下,因為系統功能簡單,網路不發達,大多數病毒都是相當單純的小東西。偶而不小心中個毒,頂多也只是電腦蜂鳴器叫一叫,螢幕上出現一些怪東西而已,並不太會對電腦的硬體或軟體進行破壞。但隨著電腦硬體規格演進,軟體複雜,網路普及之後,病毒的功能也越來越「多元化」,以往中毒還能順便聽音樂、看動畫的美好時代只能在夢中緬懷。

筆者以下將病毒的時期大約規劃為3個部分,但是請讀者注意,這只是約略的分法,各個不同的時期並不是只存在那個種類的病毒。

惡作劇時期

這個時候病毒大多是在電腦實驗室裡撰寫製造,目的只是為了模擬最基本的生物本能「存活並繁衍下一代」。一個程式努力的保護自身能夠在電腦裡不被刪除,就僅僅是這樣子而已。

第一隻被認為廣泛流傳且不在實驗室裡製造的病毒,是在Apple II電腦上執行的Elk Cloner病毒,這隻病毒其實並不具有威脅性,Apple II每當開機滿50次,就會在螢幕上顯示下列文字:

Elk Cloner: The program with a personality

It will get on all your disks

It will infiltrate your chips

Yes it's Cloner!

 

It will stick to you like glue

It will modify ram too

Send in the Cloner!

英文原意是:它將會入侵你所有的磁碟,它將會滲透你的晶片(編按:其實不會影響電腦晶片功能),是的,它就是複製者!它將會如膠似漆地黏著你,也會對記憶體作變更,就是我-複製者說的!

Elk Cloner這種開機型病毒,如果從已感染的軟碟開機,Elk Cloner便會複製一份至電腦記憶體中,之後便會感染其他插入電腦的軟碟片。由於當時的Apple II電腦常常配有2台軟碟機,因此病毒迅速地從已感染軟碟片遷移到未感染軟碟片。據稱這隻病毒在其開發者Rich Skrenta的朋友與老師之間廣泛傳遞,因此在病毒歷史上寫下一頁。不過這類惡作劇病毒的風潮很快就過去了,緊接而來的是更心狠手辣的類型。

資料破壞時期

「光是讓喇叭叫個幾聲、螢幕閃個幾下,哪能突顯我的厲害!」許多新型病毒在此時應運而生。這類病毒能夠破壞它想破壞的東西,舉凡開機磁區,檔案,甚至是BIOS都可以破壞。

曾經造成全球大災難的米開朗基羅病毒就是其中成員之一,它在每年3月6日發作,只要一開機就進行磁碟格式化的工作,接著你的作業、資料、多媒體檔案、以及其它的重要檔案全部消失。不過這個病毒有個相當容易避開的弱點,只要在3月6日不開機,或是修改系統時間跳過這個時段即可。

至於為什麼造成全球大災難呢?因為它曾經感染電腦系統廠商的電腦,所有出貨的套裝電腦都被植入該病毒。米開朗基羅這種病毒類型還有個別名,稱為邏輯炸彈,感染時並不會出現跡象,但只要滿足特定條件,像是病毒抓到系統時間為3月6號,就會立即大爆發。而Elk Cloner也是其一,滿足條件則是開機達到50次。

▲筆者印象最深刻的就是疾風蠕蟲,利用Windows XP、2000的RPC服務緩衝區溢位漏洞加以攻擊,只要電腦一連接上網路就會被入侵,名符其實的躺著也中槍,但也令筆者學到了shutdown.exe /a的語法。

▲另類的台灣之光CIH病毒(又稱車諾比病毒,因4月6號的發作日剛好與車諾比核電廠事變同一天),在某些情況下甚至能夠將BIOS的資訊抹去。由於以往病毒只針對軟體層面進行破壞,CIH則是進步到了韌體層面,因此格外受到重視。(圖片來源:F-Secure)

資料竊取時期

把使用者的電腦搞到掛掉,的確能夠證明程式開者非凡的功力,對於病毒開發者來說卻無法帶來實質利益,願意開發新型電腦病毒的人,大多以好玩、贏取名聲、或是其它個人目的為主。

但這種情形卻慢慢地開始產生變化,現今有越來越多的病毒程式不以電腦破壞為主,而是將目標轉向電腦裡的個人資料,不論是收集個人資訊之後販賣,或是直接盜刷你的信用卡,讓開發者有實際的利益進帳。

這一類軟體通常都是利用外在的糖衣包裝,譬如說效能調校、系統漏洞修補掃描、免費防毒,或者結合時事,如前陣子的李宗瑞圖片懶人包,吸引用戶下載程式並執行。

惡意程式名詞解釋

英文 中文 定義
Virus 病毒 自我複製、感染檔案、自我傳播。
Trojan 木馬 偽裝成有用程式、進入電腦中、行為多元。
Worm 蠕蟲 不斷複製自我,但不感染其他檔案。
Backdoor 後門程式 略過一般認證程序、提供未經授權的存取途徑。
Rootkit 用以隱藏資料、程式、程序等的軟體。
Adware 廣告軟體 在使用者螢幕上跳出廣告視窗,吸引用戶點選。
Malware 惡意軟體 以上所有程式行為的綜合體。

 

關鍵字:Rootkit

Rootkit源於UNIX/Linux系統,指的是一組能夠取得最高權限的軟體,由root(UNIX/Linux預設的最高權限帳號、類似於Windows的Administrator)和kit(套件組)組合而成的單字。

為了保持系統的正常運作,Rootkit會執行隱藏程式、資料、行程等動作,避免使用者不小心刪除重要資料,讓系統不穩定或當機。但Rootkit是一體的兩面,惡意程式也可以藉由Rootkit的機制散佈、執行,卻不被使用者所察覺。

Rootkit曾經被Sony植入所發行的音樂CD之中,用以隱藏安裝在使用者電腦上的數位版權管理軟體,限制使用者音軌抓出次數,同時也沒有提供Rootkit的反安裝選項。安裝此Rootkit之後,電腦內以$sys$開頭的物件均被隱藏,此一特性被Breplibot木馬的其中之一變種利用。而後Sony宣布不再發售內含DRM的音樂CD,已上市的CD立即下架。

延伸閱讀:

5大防毒防駭重要須知,新手必學靠自己、老手複習做好人

Apple 的安全性落後微軟10年,卡巴斯基如是說

(後面還有防毒新策略,再教你試作惡意小程式)

使用 Facebook 留言

發表回應

謹慎發言,尊重彼此。按此展開留言規則