赛博喷嚏:病毒 即使没有新的病毒产生,但随着其不断复制,病毒的散布也足以引起问题。一 场大灾难看来是不可避免了。 ——约翰·麦卡菲 (John McAfee) 计算机病毒工业协会 (Computer Virus Industry Association) 计算机病毒最初并不是黑客编写的恶意程序, 而是麻省理工学院、AT&T贝 尔 实验室、施乐(Xerox) 公司的帕洛阿尔托(Palo Alto)研究中心的研究人员的 智力 游戏。在工作之余,程序员们和研究员们以潜入公司机器的核心存储器为乐。通过 改变存储器中的代码,他们发现,用来处理数据的程序也能消耗数据。由此引发了 声名狼藉的“ 核心战争”(Core Wars)游戏。他们在游戏中相互斗智,设计能自我 复制并能消灭对手程序的程序。 在核心战争中制造出的病毒被限制在研究机器的范围内,因此它们没有真正的 危害,至少对外界来说是如此。当然,程序员会保留病毒的所有细节,以防这些病 毒被用作险恶的用途。 1983年,UNIX操作系统的创始人肯·汤普逊(Ken Thompson) 对计算机 器协会 (Associati on for Computing Machines) 作了一次关于核心战争的演讲。这是一 个失误 。第二年,《科 学美国人》(Scientific American) 杂志发表了一篇 有关计算机 病毒的文章,其中 提供了如何编写此类自我复制程序的详细信息。不 久,病毒逃离实验室,开始繁殖起来。 起初它们都是无害的程序,只是每天的某个时候可能会在屏幕上显示一条消息 或播放一首曲子。这不会造成破坏,但却很烦人。但正如黑客开始并无恶意但很快 转向破坏活动一样,病毒编写者认识到他们拥有的力量,于是开始制造一些不仅是 滋扰,而完全是破坏性的病毒。 最有名的与病毒有关的程序可能是1988年由康奈尔大学(Cornell University) 的研究生 罗伯特·T·莫里斯(Robert T.Morris)编写并散布的。因为莫里斯使 其 赛博喷嚏在世界上 第一个主要的计算机网络——因特网(Internet) 上传播开来, 它被称为因特网蠕虫(Internet Worm)。他的蠕虫利用了Sendmail[ZW(]UNIX系统中 用来发送电子邮件的程序。——译者注[ZW)]程序中的一个 漏洞,并通过无限自我 复制,使整个网络陷入了瘫痪。这种复制占用计算机大量处理能力和存储空间,使 计算机不堪重负而不得不关机。 它是一种令人吃惊的新型黑客工具,悄无声息 但 破坏力极强,而且还能不断繁殖。 Symantec公司安全产品处主任彼得·S·蒂皮特 (Peter S.Tippett) 博 士向 1993年国会小组委员会介绍了一份来自IBM和DataQuest公司[ZW(] 一家成立于1971 年的美国公司,它收集并发 布有关信息技术(IT)产业的市场数据。——译者注[ZW)] 的报告。在这份据称是非常保守的报告中指出:“一家只有1000台计算机的公司 每季度就会发生一次病毒事故, 一家《财富》杂志500强企业每月都要对付病毒; 拥有1000台计算机的公司目前一年损失170,000美元,明年将为250,000美元。如 果我们将损失累加起来,那么从1990年以来,美国人由于计算机病毒造成的损失超 过10亿 美元。”通感冒:病毒的类型 病毒是一种通过复制来感染其他程序的计算机程序。由于能够自我复制,因此 它能在计算机系统间传播,执行其制造者设定的指令:破坏系统,删除文件,清除 硬盘。“病毒编写者不认为他们做了什么错事,不认为病毒是有害的,也不认为他 们的所作所为是危险的。 但事实 上,所有病毒都是有害的,”Symantec公司的彼 得·蒂皮特说。 大多数病毒的攻击对象是软件,并通常以计算机操作系统为目标。在黑客的操 纵下,一种病毒往往有多种变体,因此,要描述已知的所有病毒几乎是不可能的。 《计算机病毒》( Computer Viruses)一书的作者,计算机病毒工业协会(CVIA) 的约翰·麦卡菲说,病毒可按其感染的结构、造成的破坏程度以及病毒寄宿于系统 的区域来分类。CVIA根据报告和记录的感染案例估计,70%的病毒能感染IBM PC机 及其兼容机,而24%的病 毒能感染个人使用的苹果(Apple) 机和Amiga系统一种由 Commodo re International公司开发的PC机系列,它基于Motorola 68000微处理器, 以处理图形和声音而著称。 ——译者注。IBM计算机感染率相对较高仅仅只是因为 该类型的计算机更为普及。大多数病毒是针对某种特定的计算机系统而编写的,通 常不会感染其他系统。 但是,罗伯特·莫里斯的因特网蠕虫却感染了DEC Vax机和 太阳微系统公司(Sun Microsystems)的计算机。这表明,随着黑客越来越擅长编写 病毒,将来病毒可能会造成更广泛的破坏。 病毒常常可以按照它们对计算机系统的破坏程度来区分。良性病毒基本是无害 的,不会带给系统明显的问题。它们潜藏在系统中,悄悄地感染计算机的软盘和程 序,丝毫不破坏主机系统。玩笑病毒或幽默病毒仅仅是为了娱乐而设计、编写和散 布,不会对被感染的主机造成任何破坏。它们所做的只是在屏幕上显示一条消息或 一幅图形,随之便消失了。这种让人感到心烦,但不会有特别的破坏,除非你把系 统用来查找和清理病毒的停机时间(downtim e) 和有时会发生的处理能力的丧失计 算在内。 不过,更改型(altering) 病毒则是怀恶意。它们搜索系统数据,一旦 找到目 标,这些病毒就会改动操作代码,改换大量代码,转移数字并引起难以发现的变化。 灾祸型(catas tr ophic) 或毁灭型(destructive)病毒是最危险的,因 为 它们能 造成全面破坏。它们清除硬盘、程序或数据,弄乱操作系统,并常常使系统崩溃。 正如感染人类的病毒常常寄居在人的扁桃腺、肺等器官一样,计算机病毒也有 其喜欢的栖身 之所。引导扇区(boot sector)是每次计算机开机时都要访问的地方 , 因而也是病毒最常 栖居之地。引导扇区可比作系统的守门人,引导计算机在接 通电源后、出现提示符前进行检查和初期准备工作。引导扇区病毒是一些最难清除 的病毒。 第二类最易感染的区域是操作系统。这是计算机系统的核心,可以这认为是安 装在计算机里的所有软件中最重要的部分。日常计算机用户中很少有人熟悉操作系 统的程序码。由于这种无知,如果病毒编写者在操作系统程序中加进一小段代码, 那么,除了有经验的程序员,谁 也不会被发现。 应用程序是第三类容易感染的区域。应用程序是安装在计算机中来实现一定功 能的软件,比如字处理、表格制作、游戏、图像处理、通讯等。以应用程序为携带 者的病毒大多潜伏在可 执行代码中。 程序一旦运行,病毒也就被激活。阿嚏:感 染了病毒 谈到传染方式,感染人类的生物病毒和计算机病毒是不同的。生物病毒能够通 过各种各样的途径在不同人之间传播:门把手上残留的细菌,同被感染者握手,或 者仅仅穿过是带有喷嚏 及 咳嗽时产生的微小液滴的空气。而计算机病毒则需要通过直接接触传染。 计算机病毒肯定是被引入系统的,而不会是通过生物病毒传播的普通方式。计 算机病毒主要通过两种方式进行传染:一是在系统中使用不知不觉中已染上病毒的 软盘,将病毒从磁盘的“牢笼”中释放出来,从而在计算机中更大的区域里捣乱; 二是病毒寄栖在 一台计算机的程序或文件中, 通过通讯线路, 例如电子公告板 (BBS, Bulletin Board System)或其他网络,传送到另一台计算机中。不管是何种 方式,病毒都可以扩散开来。一旦病毒发现通向新家的道路,它就开始舒展四肢, 四处游逛,探寻能被感染的主机。病毒制造者给它指定了特定的目标:应用程序或 诸如MSDOS之类的操作系统。 一旦发现目标,它 就自我复制并进行感染。只要这些新宿主同其他程序接触, 病毒就会察探是否能传染得更远。如果有机会,它就再次复制来感染其他宿主。这 种传染能无限继续下去,其传染能力取决于病毒编写者的意图。不幸的是,许多病 毒的任务不只是不断传染,它们的目标是对系统进 行改变和破坏。 病毒通常在感染了一定数目后,或者经过了一定时间后,或者满足一定条件时 发作。臭名昭 著的“13号星期五”(Friday the 13th)病毒最早在1989年被发现, 它悄无声息地潜匿着 , 直至日历时间触发了病毒的内部程序,才在这一特定日子 发作。于1992年3月惊动了计算机界的“米开朗琪罗”(Michelangelo) 病毒也是同 样的发作方式。 病 毒在完成一次新感染后立即发作还是继续等待,同样也取决于 病毒制造者的意图。通常,病毒会被设计成先潜伏一阵子,在这段时期尽可能多地 繁殖,从而广泛地传播开来。病毒编写者的目的是制造尽可 能多的感染。 一旦传染期结束,病毒就开始发作。不论该病毒的设计目的是什么,它现在都 会开始工作。一些病毒的发作是相当令人震惊的,例如突然删除所有数据,导致系 统崩溃;或者系统突然中断,屏幕上显示一条消息,接着你就发现所有系统文件都 被删除了。 还有一些更加隐蔽的 病毒,它们侵蚀数据,到处改变数字,逐渐侵害 系统。损失估计:病毒能做什么? 病毒的首要目的就是不顾一切地繁殖再生。当它发现硬盘上有20个能被感染的 程序时,它就会自我复制20次来渗入这些程序。这种繁殖会不可避免地带来副作用, 即复制出的病毒会占据计算机的硬盘空间,耗用宝贵的内存,使其无法用作它途。 病毒喜欢破坏文件,重新安排引导扇区,改变或删除程序中的数据,并弄乱文件分 区表(FAT,File Allocation Table)——即描述硬盘上所有数据位置的路线图 。 除了修改数据,病毒发作时还可能重新格式化硬盘,或者格式化磁盘驱动器中 的磁盘。每当你想开启电源时,它们会令计算机重新启动;或者锁定键盘使计算机 无法回应操作者的命令 。病毒还会改写键盘识别表(keyboard recognition table), 使得正 常的键盘操作引起奇 怪的反应。另外一些病毒会显示无害消息,占用计算 机时间,或引起程序运行速度减慢。 标准病毒的一个变种就是前面提到的逻辑炸弹。逻辑炸弹平时潜伏着,当符合 一定条件时即被触发激活。它们删除文件,重新格式化硬盘或造成其他破坏。“特 洛伊木马”与逻辑炸弹 相似 ,其名称来自特洛伊战争(Trojan War)中,希腊人用 来进入特洛伊城 并占领该城的木马 。计算机版的特洛伊木马起初看起来毫无异样, 甚至十分吸引人, 诱使人们运行它;而它却 在暗中进行大破坏。一种流行的特洛 伊木马病毒在屏幕上显示逗人发笑的图案,却在同时清除 硬盘。令人厌恶的臭虫 你怎么得知计算机是何时感染上病毒的呢?你要怎样除去系统中的病毒呢?在 后面的章节中,我们将看到检测和对付病毒的办法,以及如何防止病毒侵害。不过, 认识到黑客制造的危险——这危险包括黑客凭着机智侵入计算机,以及编写和散布 破坏性程序——是确实存在的 , 就现在来说已经足够了。不过,更实在的和更让 人恐惧的,是使用计算机直接对个人安全构成 威胁的罪犯。