電腦病毒是怎產生的呢?!
2005-05-29╭★『 綠精靈 』☆╮
電腦病毒的定義
電腦病毒是一段很小的電腦程式,它是一種會不斷「自我複製」及「感染」的程式,在傳統的DOS環境下,通常它會寄存在可執行的檔案之中,或者是軟、 硬碟的開機磁區啟動部份,隨著被感染程式由作業系統載入記憶體而同時執行,病毒因此獲得系統控制權;但在視窗系統中出現的文件巨集病毒則是附著在文件檔 中,且其感染之對象亦限於文件檔。
簡單來說,會使檔案長度增加刪減、不尋常的錯誤訊息出現,而且可以不斷的去感染其它程式的程式,我們都可以通稱它為電腦病毒。
電腦病毒在我們的電腦裏執行並且導致不同的影響。它可把電腦裏的程式或數據消失或改變。『電腦病毒』與其它威脅不同,它可以不需要人們的介入就能由程式或系統傳播出去。
『程式碼』包含一套不必要的指令,當執行時,它把自己傳播到其它的電腦系統、程式裏。首先它把自己拷貝(copy)在一個沒有被感染的程式或檔案裏,當這個程式或檔案執行任何指令時,這電腦病毒都會包括在指令裏。
根據病毒創造者的動機,這些指令可以做出任何事,其中包括顯示一段訊息、刪除檔案或精細地改變數據。有些情況下,電腦病毒並沒有破壞指令的企圖。但取而代之就是毒病佔據磁碟空間,中央處理器時間或網絡的連接。
電腦病毒的產生
電腦病毒被製造有很多不同的原因。例如:病毒是由僱員故意製造用來向公司報復,表示自己的不滿;有些就是用來慶祝某些節日;甚至有些是由宗教狂、政治狂製造的,目的就是想從這途徑發表自己的聲音。
有些程式編寫員製造電腦病毒的目的是為了表現自己的能力或挑戰自己或別人,他們只是想看看病毒會帶來甚麼後果或者看看是否有人能夠把病毒清除,其實這種做法是錯誤運用自己的能力。
其實很多〝病毒〞只不過是程式中的錯誤。當一個程式編寫員設計一個新程式時,很多時都會注要不到其中的小問題或錯誤(bugs)。就因為這些小問題 或錯誤(bug),造成一些不必要的指令及影響。所以作為一個好的程式編寫員應該在程式未公開前把程式作一次徹底的檢查及測試。其實大部的〝錯誤〞病毒都 沒有破壞性,所以正確來說這些錯誤病毒應該被定義為〝錯誤(bug)〞而不是〝病毒〞。
電腦病毒的影響
電腦病毒對電腦系統可以造成很大的影響。大部份的病毒都是把電腦程式及數據破壞。下面描述了病毒製造的不同破壞及影響。
有些電腦病毒例如FormatC(macrovirus)及StonedDaniela,當它們被觸發時,會無條件地把硬磁碟格式化及刪除磁碟上所 有系統檔案。以AOL4FreeTrojanHorse為例子,它附在電子郵件訊息上並以AOL4FREE.COM為檔案名。其實它是用DOS的公用程式 (utility)--BATEXEC1.5版本由成批文件(batchfile)轉換過來的﹝這個公用程式是用來轉換一些很大的成批文件去更快的速度 ﹞。
這個TrojanHorse首先會在DOS裏的不同目錄找尋DELTREE.EXE這個檔案,然後用這個檔案把硬磁碟裏的所有檔案刪除。當檔案被刪 除後,它會顯示一個DOS錯誤訊息:〝BadCommandorfilename〞以及一個猥褻的訊息(obscenemessage)。如果這病毒找不 到DELTREE.EXE的話,它就不能把檔案刪除,但猥褻的訊息(obscenemessage)仍會出現。
有些病毒,如Monkey(Stoned.Empire.Monkey)及AntiEXE,會感染主啟動記錄 (MasterBootRecordMBR)及DOS啟動磁區(DosBootSector),之後它會降低記憶體及硬磁碟的效能,直至當我們的用電腦時 螢光幕上顯示一些訊息或有其他損壞。
以AntiEXE為例子,在啟動過程時載入的主啟動記錄(MBR),該病毒會把這個沒有被感染的MBR貯存在硬磁碟中柱(Cylinder)O,邊 (Side)O,磁區(Sector)13的位置。然後病毒會把它的病毒編碼放在MBR裏,並且把已感染的MBR寫在硬磁碟中柱(Cylinder)O, 邊(Side)O,扇區(Sector)1的位置。當AntiEXE病毒在記憶體活躍時,它就會把由任何磁碟讀取得來的有毒MBR及\或DBS重新傳入一 個清潔相同的地區(cleancounterpart)。隨著在磁碟讀取過程時把MBR及\或DBS安放,病毒會找尋一特定的*.EXE檔案(它的身份到 現在還沒有知道),然後把檔案破壞。
另一例子,OneHalf會把大約一半的硬磁碟編加密碼,並且會顯示一段訊息:Diskisonehalf.Pressanykeytocontinue.〞如果我們用一般的方法去除MBR中的病毒,所有在密碼區的數據都會流失。
電腦病毒的類型
開機型病毒(BootStrapSectorVirus):開機型病毒是藏匿和感染磁碟片或硬碟的第一個磁區,即我們平常所說的 BootSector。開機型病毒藉由開機動作而侵入記憶體,若你用已感染的磁片開機,那麼病毒將立即感染到你的硬碟。因為DOS的架構設計,使得開機型 病毒可以於每次開機時,在作業系統還沒被載入之前就被載入到記憶體中,這個特性使得病毒可以針對DOS的各類中斷(Interrupt)得到完全的控制, 並且擁有更大的能力去進行傳染與破壞。開機型病毒是以猴子(Monkey)病毒最為經典,另外像是曾經流行一陣子的米開朗基羅病毒(又名石頭三號病毒)也 是屬於此類型的病毒。
開機型病毒又可以分為:
傳統開機型病毒:傳統開機型病毒大多經由磁碟傳染,進入電腦後再伺機傳染其他檔案,最有名的例子是米開朗基羅病毒。
隱型開機型病毒:隱型開機型病毒感染的是硬碟的開機磁區,它偽造開機磁區的資料,使防毒軟件以為系是正常的。
目錄型開機型病毒:它只感染電腦的檔案配置表(FAT),一但你的檔案配置表被破壞後,你的電腦檔案讀寫就會不正常,甚至失去檔案。
檔案型病毒(FileInfectorVirus):檔案型病毒通常寄生在可執行檔 (如*.COM,*.EXE等)中。當這些檔案被執行時,病毒的程式就跟著被執行。我們常見的檔案型病毒有Connie系到病毒與耶路撒冷 (Jerusalem)系列病毒等等。檔案型的病毒依傳染方式的不同,又分成非常駐型、常駐型和隱形三種:
非常駐型病毒(Non-memoryResidentVirus):非常駐型病毒將自己寄生在*.COM,*.EXE或是*.SYS的檔案中。當這些中毒的程式被執行時,就會嘗試地去傳染給另一個或多個檔案。
常駐型病毒(MemoryResidentVirus):常駐型病毒躲在記憶體中,其 行為就好像是寄生在各類的低階功能一般(如Interrupts),由於這個原因,常駐型病毒往往對磁碟造成更大的傷害。一旦常駐型病毒進入了記憶體中, 只要執行檔被執行,它就對其進行感染的動作,其效果非常顯著。將它趕出記憶體的唯一方式就是冷開機(完全關掉電源之後再開機)。
隱形檔案型病毒:它會把自己植入作業系統裡面,當程式向作業系統要求中斷服務時,它就會感染那個提出要的程式,而且看起來不像被感染的樣子。
複合型病毒(Multi-PartiteVirus):複合型病毒兼具開機型病毒以及 檔案型病毒的特性。它們可以傳染*.COM,*.EXE檔,也可以傳染磁碟的開機系統區(BootSector)。由於這個特性,使得這種病毒具有相當程 度的傳染力。一旦發病,其破壞的程度將會非常可觀!例如:台灣曾經流行的大榔頭(Hammer),歐洲流行的Flip翻轉病毒皆是。
千面人病毒(Polymorphic/MutationVirus):千面人病毒可怕 的地方,在於每當它們繁殖一次,就會以不同的病毒碼傳染到別的地方去。每一個中毒的檔案中,所含的病毒碼都不一樣,對於掃描固定病毒碼的防毒軟體來說,無 疑是一個嚴重的考驗!如Whale病毒依附於.COM檔時,幾乎無法找到相同的病毒碼,而Flip病毒則只有2byte的共同病毒碼(好像戴面具只剩兩個 眼睛露出來)。
巨集病毒(MacroVirus):巨集病毒是目前最熱門的話題,它主要是利用軟體本 身所提供的巨集能力來設計病毒,所以凡是具有寫巨集能力的軟體都有巨集病毒存在的可能,如Word、Excel、AmiPro都相繼傳出巨集病毒危害的事 件,在台灣最著名的例子正是TaiwanNO.1Word巨集病毒。
電腦病毒的傳播
電腦病毒一定要在電腦系統裏才能傳播。這提供了很多的途徑。例如如果你在別的電腦下載或執行一個已經被感染的程式,這樣你的電腦亦會被病毒所傳染。
病毒程式第一件要做的事通常是把自己複製﹝電腦病毒主要是傳播、隱藏及破壞電腦系統﹞。病毒會把附在一處可以有利於自己執行的系統裏。在運作電腦時,病毒可在很短的時間內把自己複製多個。
電腦病毒蔓延的主要方式是透過軟件的分享。如果軟件是透過人手散佈出去的,病毒蔓延的速度會比由BBS或國際網絡慢得多。
由於文書處理系統及國際網絡十分受歡迎,所以電腦病毒例如宏集病毒(marcovirus)很容易在很短的日子裏傳播到無數用家的電腦系統裏。現在很多人都會用到文書處理器,並且附在電子郵件中傳送給其他人。如果這文件是帶有病毒的話,收件人亦會被傳染。
現在很多電子郵件程式都會把接收到的郵件自動地放在文書處理器開啟,所以收件人是在沒有選擇的情況下被傳染病毒。
另一電腦病毒傳播的除徑就是CD。現在翻版CD的情況十分嚴重,尤其在香港。這些翻版CD很多時都會帶有病毒,但由於CD不能用來編寫,所以CD裏 的病毒亦不能被清除。另外,一些軟件製造商為了教訓這些用翻版軟件的人,他們故意設計一種病毒放在他們的軟件中。如果用家用的是正版軟件,病毒就不會發 作;相反如果用的是反翻軟件,病毒程式就會執行﹝破壞系統﹞。
電腦病毒的新趨勢
一代病毒(傳統型病毒)的共同特色,就是一定有一個「寄主」程式,所謂寄主程式就是指那些讓病毒窩藏的地方。最常見的就是一些可執行檔,像是副檔名 為.EXE及.COM的檔案。但是由於微軟的WORD愈來愈流行,且WORD所提供的巨集功能又很強,使用WORD巨集寫出來的病毒也愈來愈多,也因此副 檔名為.DOC的也會成為寄主程式。尤其是這一年來,巨集病毒可真的算是紅上半邊天,只要提到TaiwanNO.1,那可說是無人不知,無人不曉。
也許你覺得像WORD這種文件檔都可以中毒,真是一件不可思議的事,那麼,第二代病毒的特性更會讓你合不攏嘴!相對於第一代病毒,第二代病毒完全不需要寄主的程式,如果硬要說它寄生在哪裡,或許只能說它是寄生在「Internet」上吧。
說真的,如果Internet上的網頁只是單純用HTML寫成的話,那麼要傳播病毒的機會可說是非常小了。但是呢,為了讓網頁看起來更生動,更漂 亮,許多語言也紛紛出籠,其中最有名的就屬JAVA和ActiveX了,不幸的是,這兩個語言都相繼地被有心人士「點召」,成為第二代病毒的溫床。
JAVA和ActiveX的執行方式,是把程式碼寫在網頁上,當你連上這個網站時,瀏覽器就把這些程式碼抓下來然後用使用者自己系統裡的資源去執行它。可是如此一來,使用者就會在神不知鬼不覺的狀態下,執行了一些來路不明的程式。
回歸到第一代病毒來看,病毒是寄生在「可執行的」程式碼中,伺機對系統進行破壞,因為病毒本身也就是一段「可執行的」程式碼而已。也因此,在以往病 毒都是存在於「可執行檔」中,因為具有「可執行的」程式碼的檔案,就只有「可執行檔」。但是,文件病毒的流行,讓人對這個定義有了疑問,而其實並不違背。 因為所謂的文件病毒,也只是利用文件中巨集寫成的,而巨集本身也是「可執行的」程式碼,當然也能成為病毒的溫床囉!
現在再來看看所謂的第二代病毒,它就是利用網頁編寫所用的JAVA或ActiveX這些語言。由這些語言可以寫出一些「可執行的」程式碼,而在使用 者瀏覽網頁時,一併下載下來在系統裡執行。既然JAVA或ActiveX可寫成一些「可執行的」程式碼,那就沒什麼理由不能讓病毒藏身其中。
現在,ActiveX和JAVA可以讓我們欣賞動感十足的網頁,可是新的危機卻悄然而至,Internet居然成為 「SecondGenerationVirus-邪惡程式」覬覦的最佳傳媒。它們不需要像傳統病毒需要找個寄主程式感染,等待特定條件成熟後展開破壞動 作,「SecondGenerationVirus」,會在你防不甚防時侵入你的硬碟,刪除或破壞你的檔案,更有甚者會讓你的CPU完全癱瘓。
[JAVA_NoisyBear]─「鬧鬧熊」大鬧Internet
鬧鬧熊的執行畫面以及PC-cillin發現鬧鬧熊邪惡程式的畫面.白白的北極熊在北極喝可口可樂不稀奇;黑黑的鬧鬧熊悶不吭聲的看起來有夠酷,但一旦牠發起威來,可是會讓你頭痛的大喊:「Shoutup!」,牠就是「Noisybear」-鬧鬧熊。
在您進入網際網路瀏覽器時,若遇到鬧鬧熊帶著電子計時器出現在你面前,別被他一雙無辜的眼神及緊閉的雙唇給欺騙了,你得開始準備震耳欲聾的擊鼓聲。 當「咚咚」鼓聲,從音箱裡冒出來,該怎麼教他閉嘴呢?你除了把喇叭音箱插頭拔掉外,最好乖乖聽從他的指示: 「YoucanshutmeupbyquittingNetscape2.0!」趕快地離開瀏覽器的工作來停止這種轟炸。PS.鬧鬧熊使用的檔 案:sunbear.jpg。
網路偷錢,神鬼不覺
在德國漢堡一個名為ChaosComputer的俱樂部?,有一個俱樂部成員剛完成一隻新型態的病毒-----這隻病毒可以找出Internet用戶的私人銀行資料,還可以進入銀行系統?將資金轉出,不需要個人身份證明,也不需要轉帳密碼。
當使用者在瀏覽全球網站時,這個病毒會自動經由ActiveX控制載入。ActiveX控制可搜尋使用者硬碟,來尋找IntuitQuicken這 個已有全球超過九百萬使用者的知名個人理財軟體。一旦發現Quicken的檔案,這個控制程式會下轉帳指令,並將這個指令混在其它同樣在等待轉帳的使用者 中,當這筆款項支付時,仍然沒有人知道他是誰。
有一個ActiveX控制稱之為"Exploder",在安全層面中廣被討論。它會關閉微軟的Windows95,且如果你的電腦有能源保護的 BIOS時,它還會自動關掉電腦。儘管這個感染並不像一般大問題一樣嚴重,但這個控制功能卻說明了這些新病毒的控制能力有多強。任一型態的工作站,不管是 Mac、PC、Unix,或是VAX,甚至即使在工作站及Internet之間有防火牆在,仍然得冒這樣的危險。
更嚴重的,像這樣具安全破壞性的,不只是ActiveX而已,由昇陽電腦所開發的Java語言也被認為有類似的情形出現。由Java所撰寫的Applicationmacros、Navigatorplug-ins及Macintosh應用程式等都可能包含惡性程式碼。
諸如此類的病毒感染過程,比傳統的病毒感染層面來得大多了。電腦病毒過去被認定為是一段惡性程式碼,而它的擴散是透過自我複製並經由可執行檔所感染 的,更近些時候某些病毒更可經由文字檔擴散。而現在有些病毒的擴散卻通常是透過在無預警的狀況下,所做的一些動作而感染,例如從FTP下載檔案或是讀取 e-mail的附加檔案等。新的威脅一旦來臨,隱藏在ActiveX控制及Javaapplets的病毒,它的擴散方式並不需要使用者做些特別的動作。現 在,即使隨意在網站間遨遊也很危險。
電腦病毒的測驗
對曾中過電腦病毒的朋友,都知道電腦病毒是什麼樣子。例如是檔案的長度和日期忽然改變,系統執行速度下降或出現一些奇怪的訊息或者無故當機,嚴重的 是硬碟被重新格式化。電腦病毒如前文所說的那麼神通廣大,那麼我們常用的防毒軟件是如何去發現它們的呢?他們就是利用所謂的病毒碼 (VirusPattern)。
所謂的病毒碼其實可以想像成是犯人的指紋,當防毒軟體公司收集到一隻新的病毒時,他們就會從這個病毒程式中截取一小段獨一無二而且足以表示這隻病毒的二進位程式碼(BinaryCode),來當做掃毒程式辨認此病毒的依據,而這段獨一無二的二進位程式碼就是所謂的病毒碼。
在電腦中所有可以執行的程式(如*.EXE,*.COM)幾乎都是由二進位程式碼所組成,也就是電腦的最基本語言--機械碼。就連當紅的文件巨集病毒,雖然它只是包含在Word文件檔案中的巨集,可是它的巨集程式也是以二進位碼的方式存在於Word文件檔中。
防毒軟體常使用的病毒測試技術:
病毒碼掃描法
將新發現的病毒加以分析後,根據其特徵,編成病毒碼,加入資料庫中。以後每當執行掃毒程式時,便能立刻掃描程式檔案,並作病毒碼比對,即能偵測到是 否有病毒。病毒碼掃描法又快又有效率(例如趨勢科技的PC-cillin及ServerProtect,利用深層掃描技術,在即時掃瞄各個或大或小的檔案 時,平均只需1/20秒的時間),大多數防毒軟體均採用這種方式,但其缺點是無法偵測到未知的新病毒及以變種病毒。
加總比對法(Check-sum)
根據每個程式的檔案名稱、大小、時間、日期及內容,加總為一個檢查碼,再將檢查碼附於程式的後面,或是將所有檢查碼放在同一個資料庫中,再利用此 Check-sum系統,追蹤並記錄每個程式的檢查碼是否遭更改,以判斷是否中毒。這種技術可偵測到各式的病毒,但最大的缺點就是誤判斷高,且無法確認是 哪種病毒感染的。對於隱形飛機式病毒,亦無法偵測到。
人工智慧陷阱(Rule-based)
人工智慧陷阱是一種監測電腦行為的常駐式掃描技術。它將所有病毒所產生的行為歸納起來,一旦發現記憶體的程式有任何不當的行為,系統就會有所警覺, 並告知使用。這種技術的優點是執行速度快、手續簡便,且可以偵測到各式病毒;其缺點就是程式設計難,且不容易考慮週全。不過在這千變萬化的病毒世界中,人 工智慧陷阱掃描技術是一個至少具有保全功能的新觀點。目前趨勢科技的PC-Cillin,就對病毒的可疑行為設下了將近12道的陷阱,以達到預防重於治療 的目標。
軟體模擬掃描法
軟體模擬技術專門用來對付千面人病毒(Polymorphic/MutationVirus)。千面人病毒在每次傳染時,都以不同的隨機亂數加密於 每個中毒的檔案中,傳統病毒碼比對的方式根本就無法找到這種病毒。軟體模擬技術則是成功地模擬CPU執行,在其設計的DOS虛擬機器 (VirtualMachine)下假執行病毒的變體引擎解碼程式,安全並確實地將多型體病毒解開,使其顯露原本的面目,再加以掃描。
VICE(VirusInstructionCodeEmulation)-先知掃描法
VICE先知掃描技術是繼軟體模擬後的一大技術上突破。既然軟體模擬可以建立一個保護模式下的DOS虛擬機器,模擬CPU動作並假執行程式以解開變 體引擎病毒,那麼應用類似的技術也可以用來分析一般程式檢查可疑的病毒碼。因此VICE將工程師用來判斷程式是否有病毒碼存在的方法,分析歸納成專家系統 知識庫,再利用軟體工程的模擬技術(SoftwareEmulation)假執行新的病毒,則可分析出新病毒碼對付以後的病毒。
即時的I/O掃描(RealtimeI/OScan)
RealtimeI/OScan的目的在於即時地對資料的輸入/輸出動作做病毒碼比對的動作,希望能夠在病毒尚未被執行之前,就能夠防堵下來。理論 上,這樣的即時掃描程式雖然會影響到整體的資料傳輸速率,但是使用RealtimeI/Oscan,檔案傳送進來之後,就等於掃過了一次毒,整體來說,是 沒有什麼差別的。
文件巨集病毒陷阱(MacroTrapTM)
MacroTrapTM是結合了病毒碼比對與人工智慧陷阱的技術,依病毒行為模式(Rulebase)來偵測已知及未知的巨集病毒。其中,配合OLE2技術,可將巨集與文件分開,使得掃描速度變得飛快,而且更可有效地將巨集病毒徹底清除!
電腦病毒的防治
電腦病毒的防治包括了兩方面,一是預防,二是治毒。古人有云,預防勝於治療,所以預防電腦病毒對保護你的電腦系統免受病毒破壞是非常重要的。但是,亡羊補牢,為時未晚也,治毒和預防都不可忽視。
預防篇
提倡尊重知識產權的觀念,支持使用合法原版的軟件,拒絕使用翻版軟件,只有這樣才能夠確實降低使用者電腦發生中毒的機會。
平常就要將重要的資料備份起來,畢竟解毒軟體不能完全還原中毒的資料,只有靠自己的備份才是最重要的。
建立一張緊急救援磁片,而且是乾淨可開機,DOS的版本與硬碟相同,同時裡面還要有以下程式:FDISK.EXE、FORMAT.COM、 UNFORMAT.COM、SYS.COM、UNDELETE.EXE、SCANDISK.EXE、掃毒軟體所備份的啟動磁區及硬碟分割表檔案。如果你有 PCTOOLS或NortonUtility等軟體,用它們來幫助你做一張緊急救援磁片,它們甚至可以還原CMOS資料,或是災後重建資料。(別忘了貼上 防寫標籤。)
不要隨便使用來路不明的檔案或磁碟,就算要使用,先用掃毒軟體掃一掃再用。
隨時注意特殊的檔案(如COMMAND.COM、EMM386.EXE、WIN.COM、SMARTDRV.COM等)的長度與日期,以及記憶體使 用的情形。利用MEM.EXE或MEMMAKER等來檢查傳統記憶體(ConventionalMemory)有否640K(655360Bytes)? 一般來說,假如您的BIOS沒有挪做其它用途的話,那您的電腦八成是中毒了!
避免用軟碟開機,甚且是別人的磁片。
準備一些好的防毒、掃毒、解毒軟體,並且定期使用。
建立正確病毒基本觀念,瞭解病毒感染、發作的原理,可以提高自己的警覺心。
學習災後重建資料的技巧,別以為DIR看到一堆亂碼就救不回來了,其實有很多軟體修復資料的功能很強大,學會使用它們是很有幫助的。
治療篇
關(Step1;關閉電源)
開(Step2;以乾淨磁片開機)
掃(Step3;用防毒軟體掃瞄病毒)
除(Step4;若偵測到病毒,則刪除之)
救(Step5;若偵測到的是硬碟分割區或啟動區病毒時,可用"硬碟緊急救援磁片"救回資料,或用乾淨DOS磁片中的FDISK指令,執行 FDISK/MBR以救回硬碟分割區資料;另可在A槽中執行A>SYSC:(C為中毒磁碟)以救回資料;若不行就只有重新格式化硬碟了
防(Step6;好了!您的電腦安全了。不過為了預防未來不再受到病毒之侵害,建議您經常更新你的防毒軟件,以建立完善且堅固的病毒防疫系統)
如何知道電腦受到病毒感染?
若您在作業時發現電腦有以下的狀況發生時,那您必須執行電腦病毒偵測軟體,以確認是否遭受電腦病毒的感染:
電腦執行速度比平常緩慢。
不尋常的錯誤訊息出現。
程式載入時間比平常久。
可執行檔的大小改變系統。
記憶體容量忽然大量減少。
記憶體內增加來路不明的常駐程式。
磁碟壞軌突然增加。
磁碟可利用的空間突然減少。
檔案名稱、副檔名、日期、屬性被更改過。
檔案的內容多出了一些奇怪的資料。
電腦病毒的生命週期
『電腦病毒』和其他的病毒一樣,都是有其獨特的生命週期。而『電腦病毒』的生命週期就是由以下的幾個步驟組成一個生命的循環:
創造期:當電腦駭客們花了數天或數週努力的研究出一些可以廣為散佈的程式碼,電腦病毒就這樣誕了。當然,他們是不會這樣就算了的,他們通常都會設計一些破壞的行為在其中。
孕育期:這些電腦駭客們會將這些含有電腦病毒的檔案放在一些容易散播的地方。如BBS站,Internet的FTP站,甚至是公司或是學校的網路中等等。
潛伏感染期:在潛伏期中,電腦病毒會不斷地繁殖與傳染。一個完美的病毒擁有很長的潛伏期,如此一來病毒就有更多的時間去傳染到更多的地方,更多的使用者,一旦發病將會造成更大的傷害。例如世界知名的米開朗基羅病毒,在每年三月六日發作前,有整整一年的潛伏期。
發病期:當一切條件形成之後,病毒於是就開始破壞的動作。有些病毒會在某些特定的日期發病,有些則自己有個倒數計時裝置來決定發病的時間。雖然有些病毒並沒有發病時的破壞動作,但是它們仍然會佔據一些系統資源,而降低系統運作的效率。
根除期:如果有夠多的防毒軟體能夠偵測及控制這些病毒,並且有夠多的使用者購買了防毒軟體,那麼這些病毒就有機會被連根撲滅。雖然到現在為止,並沒有人敢宣稱某一隻病毒完全絕跡,但是有些病毒已經很明顯的被完全制止了–如早期的DiskKiller等。
留言列表
