Your browser does not support JavaScript!
 
 

 

分類清單

Recent

數據載入中...
惡性程式進化論

(資料來源:趨勢科技)

惡性程式進化論

『適者生存、不適者淘汰』,我們不難發現過去許多強悍的開機型及DOS 檔案型病毒似乎轉眼間完全消聲匿跡,取而代之的是另一波新型態的巨集、VBScript病毒;電腦惡性程式的進化和整個大環境的改變有著密不可分的關聯。在此以時間為主軸來探討惡性程式的進化論。 

檔案格式 

由於Microsoft 的作業系統一直是惡性程式發展的主要平台,所以在此的分析也以 Microsoft 的平台為主。縱觀過去10餘年歷史,Microsoft 共推出了三大主要作業環境─MS-DOS、16位元的Windows 3.x及32位元的 Window 9x/NT/2000。 

1987-1993:個人電腦盛行及網路萌芽階段,5.25吋磁片仍為主要的資料交換媒介,而電腦主機則以採用8086/8088 CPU的XT及80286的 AT機種為大宗。處於這個資訊爆炸年代,加上版權觀念尚未普及,一套電腦軟體往往是一傳十、十傳百,倚天中文的普及便是最好的一個例子,而這也是造成開機型及DOS檔案格式病毒如雨後春筍般快速蔓延的主要原因。 

1993-1995:繼MS-DOS之後,Microsoft的十六位元的作業系統Windows 3.1逐漸取得市場的佔有率,由於Windows 3.1 作業系統畢竟還是得從 MS-DOS 環境下啟動,除了原有開機型及DOS檔案格式病毒仍具威脅以外,專門針對 Windows 3.1 作業系統設計的NE格式電腦病毒也在這個時期問世。 

1996-目前:當Microsoft 推出32位元的作業系統,真正頭痛的問題才要開始。巨集病毒、PE格式的32位元病毒、VBScript等惡性程式紛紛出籠,而且這些惡性程式的大都具有撰寫容易、高影響力等特性。

惡性程式威脅趨勢 (以檔案格式分類)

(作業平台)

1987-1993(MS-DOS)

1993-1995Win16 (Windows 3.x)

1996-目前Win32 (Windows 9x/NT/200)

惡性程式 
檔案格式

Boot Sector 
DOS檔案格式 
(.COM/.EXE)

NE

PE 
Script 
OLE2 (MS Office 95/97/2000) 
其他 (SHS, PIF, ..等)


從上面的分析我們可以看出惡性程式的進化過程和作業系統有著特殊關係,隨著作業平台的發展惡性程式的功能及影響層面更是與日俱增。 

電腦病毒: 從1987年的DOS檔案型病毒、開機型病毒、常駐記憶體型病毒到1993年的十六位元 Windows檔案型病毒、1995年的巨集型病毒以及近三年來針對三十二位元作業系統的檔案型病毒、常駐型病毒(如 PE_CIH)以及能夠同時感染三十二位元可執行檔及Word文件的『跨應用程式應染型病毒』,電腦病毒的型態不停的在演變。不只如此,電腦病毒的作者為了讓自己的程式碼更難被破解及偵測,隨之而來的『變體引擎』(Polymorphism)、『壓縮』(Compression)、『加密』(Encryption)等各項技術都被大量運用在各種檔案型、開機型、巨集型甚至VBScript類型的病毒上。 

特洛伊木馬程式: 雖然早期有些零星的破壞案例,但其實真正的威脅性並不大,原因是特洛伊木馬程式本身既不會感染其他檔案,也不會主動傳播自己到網路上的其他電腦,所以如何將這些特洛伊程式『種』到使用者電腦中便是其成功與否的關鍵。一般而言,特洛伊程式會將自己偽裝成一些特殊工具來吸引使用者下載並執行,或是電腦駭客直接入侵電腦主機將惡性程式植入對方系統以竊取重要資料(例如 Backdoor 程式)或是進行大規模的『阻斷服務』(Denial of service)攻擊行動。 

電腦蠕蟲: 這個名詞其實在最近兩三年來才變得特別熱門,不過早在1990年時期就已經有I-Worm (Internet Worm) 的概念,但是因為缺乏大環境的配合,以致於I-Worm一直處於『概念股』的狀態。直到最近企業內部網路LAN及Intranet的成熟、網際網路Internet及E-Mail的標準化,『電腦蠕蟲』在天時、地利、人和的機會之下於是大量湧現,例如會主動在企業內部網路爬行的PE_FUNLOVE.4099、透過電子郵件散佈自己的W97M_MELISSA.A及最近的熱門話題TROJ_SIRCAM.A均是典型的『電腦蠕蟲』結合『電腦病毒』或『特洛伊木馬程式』例子。 

 

惡性程式發展趨勢

 

1987-1993

1993-1995

1995-1998

1998-目前

電腦病毒

*DOS 檔案型 
*DOS 常駐型 
*開機型

*Win16 檔案型

*針對MSOffice 系列的巨集型病毒

*Win32檔案型 
*Win32常駐型 
*跨應用程式感染型(Win32及巨集)

特洛伊木馬程式

*毀滅型 
(格式化磁碟)

無典型代表

*竊取資料的Backdoor型程式

*阻斷服務型(DDOS) 

*遠程遙控的Backdoor型程式 
Wireless 型

電腦蠕蟲

無典型代表

無典型代表

無典型代表

*Email散播型 

*網路散播型

Network worm 

*藉由安全漏洞散播型


從過去十年電腦惡性程式的發展史不難看出,『傳播媒介』佔有舉足輕重的角色。『傳播媒介』表示的另一層意義是『影響程度』的高低。當傳播愈方便、愈快速、層面愈廣,此時惡性程式所能影響的範圍也就愈大,PE_CIH再強悍也只不過能透過一部部電腦之間相互感染,同樣是惡性程式透過E-mail 傳播的W97M_MALISSA.A及TROJ_SIRCAM.A則可以在一週內造成全球數以萬計的電腦用戶受到波及。以現有的傳播媒介而言,『E-mail』快於『LAN』(區域網路),而LAN又快於傳統的『磁碟片』,在進化論的學說中『不適者淘汰』,DOS檔案型及開機型病毒幾乎已經絕跡,而單以區域網路為散播媒介的惡性程式將逐漸減少,取而代之是以 Internet為骨幹的 E-mail 型態惡性程式,然而除了E-mail以外,『點對點』(Peer-to-peer)的傳播方式也值得特別注意,由於網路的普及許多人的電腦已經處於『隨時連線』的狀態,未來惡性程式的發展可能傾向於不必藉由第三者(如檔案伺服器、郵件伺服器)而直接散播至各主機,就像廣播電台一樣,而這點也可能是惡性程式作者及電腦駭客未來可能覬覦的主要目標之一。 



Copyright (c) 1989-2005 Trend Micro Incorporated. All rights reserved.

 

瀏覽數  
將此文章推薦給親友
請輸入此驗證碼
Voice Play
更換驗證碼