病毒、蠕蟲和特洛伊木馬程式
病毒、蠕蟲和特洛伊木馬程式是惡意的程式,它可能對您的電腦和電腦上的資訊造成損害、
減緩網際網路速度,並利用您的電腦自行傳播給您的朋友、家人、同事和其他網路。
幸運的是使用一些預防措施和一些常見的良好習慣,就比較不可能淪落成為這些威脅的受害者。
將它想像成是鎖上正門來保護您所有家人。
請閱讀相關的定義和方法,以尋找您是否已受害,以及能讓您的電腦更安全的解決方案。
什麼是病毒?
Virus
病毒是一段電腦程式碼,它會將自身附加到程式或檔案(例如:.exe、.com、.dll)身上,在電腦之間傳佈,並在旅行途中感染電腦。
病毒可能會損壞您的軟體、硬體和檔案。
每當被寄生的程式執行時,它也能跟著執行。
除了簡單的複製外,病毒幾乎都會設法遂行另一目的:進行破壞。
所謂「發病條件」,是指病毒可造成的毀壞,其範圍可從覆寫您硬碟分割表中所保留的重要資訊,
到損毀您試算表中的數字等,並以聲音、圖片或令人憎惡的效果來嘲弄您。
不過,值得注意的是,即使未達「發病條件」,
這時所殘留且威力未損的病毒將繼續繁衍--消耗系統記憶體、磁碟空間、降低網路的通訊流量,
並且通常會減低效能。此外,病毒程式碼通常錯誤百出,很可能是難以理解的系統問題的來源。
所以,不論病毒是否有害,只要有它存在,系統運作就可能變得不穩定,絕對不能掉以輕心。
某些病毒可能與「邏輯炸彈」結合,會讓您歷經數月都難以發現。這些病毒不會立即造成傷害,
而只是不斷進行複製-- 直到預定的發作日期或事件時,它們才會傷害被寄生的電腦,或透過網路散播發病條件。
什麼是蠕蟲?
Worm
蠕蟲(Worm) 就像病毒,它的設計目的是在電腦之間複製它本身,
但它會透過掌控電腦上可傳輸檔案或資訊的功能自動進行複製。
一旦系統有蠕蟲時,它便會獨自行進。蠕蟲極具危險的一點是,它會大量複製。
例如,蠕蟲可將它本身的複本傳給您電子郵件通訊錄所列出的每個人,該人員的電腦接著會執行相同的動作,
從而發生大量網路流量的連鎖效應,並進一步降低整個企業網路和網際網路的速度。
當新的蠕蟲散播時,它們會以極快的速度散佈開來,塞滿網路並可能讓您(及每個人) 必須等待兩倍的時間才能檢視網際網路上的網頁。
蠕蟲(n.)病毒的子類別。蠕蟲通常不需要使用者的動作即可散佈,而且它會將它本身的完整複本(可能已修改) 透過網路發佈。
蠕蟲可耗用記憶體或網路頻寬,使得電腦停止回應。
由於蠕蟲不需要透過「主機」程式或檔案即可傳播,所以它們也能入侵您的系統,並讓他人從遠端控制您的電腦。
最近流行的有:Sasser 和Blaster 蠕蟲。
什麼是特洛伊木馬程式?
Trojan Horse
特洛伊木馬程式就像神話中所述的一樣,看起來像是一件禮物,但結果卻是一些突擊特洛伊城的希臘士兵,
今日的特洛伊木馬程式看起來像是有用軟體的電腦程式,但它們卻會危害您的安全性並造成許多的損害。
最近的特洛伊木馬程式的形式為一封電子郵件,其包含宣稱為Microsoft 安全性更新的附件檔,
之後即化身為病毒並嘗試停用防毒軟體和防火牆軟體。
特洛伊木馬程式(n.)看似有用,但實際上卻會造成損害的電腦程式。
當人們被引誘開啟程式(因為他們認為該程式來自合法來源)時,
特洛伊木馬程式即會散佈開來。為了更完善地保護使用者,Microsoft 通常是透過電子郵件寄出安全性公告,
但絕不會包含附件檔。在我們將所有安全性警訊以電子郵件傳送給客戶前,會先在我們的安全性公告網頁上進行公佈。
您下載的免費軟體也可能包含特洛伊木馬程式。
絕不要從不信任的來源下載軟體。請務必從Microsoft Windows Update 或Microsoft Office Update 下載Microsoft 更新和修補程式。
蠕蟲和其他病毒如何散佈?
事實上,除非您開啟或執行受到感染的程式,否則所有病毒和許多蠕蟲都無法散佈。
許多最危險的病毒主要是透過電子郵件附件檔散佈—與電子郵件訊息一起傳送的檔案。
您通常可判斷電子郵件是否包含附件檔,因為您會看到代表附件檔及其表示名稱的迴紋針圖示。
相片、以Microsoft Word 撰寫的信件,甚至Excel 試算表,都只是您每日透過電子郵件所可能接收的部份檔案類型。
當您開啟附件檔 ( 通常是按兩下附件檔圖示) 時就會啟動病毒。
Tip
秘訣: 絕不要開啟電子郵件所附加的任何內容,除非這是您預期的附件檔,而且您知道該檔案的實際內容。
如果您收到不認識的人所傳來的電子郵件和附件檔,應該立即加以刪除。不幸的是,您現在已不能再放心地開啟您認識的人所傳來的附件檔。
病毒和蠕蟲有能力偷竊電子郵件程式的資訊,並將它們自身傳給您通訊錄所列出的每個人。
因此,如果您收到某入的電子郵件中包含您不瞭解的訊息或不預期的檔案,請務必連絡該人,並先確認附件檔的內容再開啟。
其他病毒可透過您從網際網路下載的程式散佈,或從潛藏病毒的電腦磁片(您向朋友借的,甚至在商店中購買) 散佈。
這些感染病毒的途徑較不常見。大多數人都是開啟和執行不明的電子郵件附件檔而感染病毒的。
我如何判斷是否已感染蠕蟲或其他病毒?
當您開啟和執行受到感染的程式時,您可能不知道您已感染病毒。
您電腦的速度可能會變慢、停止回應,或者當機,並每隔幾分鐘重新啟動。
病毒有時會攻擊啟動電腦時所需使用的檔案。在這種情況下,您可能會按下電源按鈕,並發現整個螢幕都是空白的。
這些徵兆都是電腦中毒時通常會出現的現象—雖然也可能是與病毒完全無關的軟硬體問題所造成的。
請注意您可能傳送含有病毒之電子郵件的警告訊息。
這可能表示病毒已將您的電子郵件地址列為感染之電子郵件的寄件者。
但這不一定表示您已感染病毒。部份病毒有偽造電子郵件地址的能力。您可能聽到有人將它稱為「詐騙(Spoofing)」。
除非您的電腦已安裝最新的防毒軟體,否則沒有任何方法能確定您是否感染病毒。
如果沒有最新的防毒軟體,或想安裝不同品牌的防毒軟體,請閱讀降低您的病毒危險中的秘訣。
如果您認為電腦已遭感染時該怎麼辦如果您的電腦突然自行關機該怎麼辦?
還是您發現某些檔案不見或是無法開啟?或者是您的程式運作速度變慢。
這些異常情形可能是電腦發生常見的硬體或軟體問題的徵兆,或者也可能表示您的電腦受到電腦病毒的感染。
怎麼分辨您的電腦是屬於哪一種狀況呢?
如果您公司有位IT 專家,您最好向他描述一下您電腦可疑活動的情形,並遵照他的建議行事。
不過,如果您只能靠自己(許多小型企業經營者都是如此),那麼這裡有一些方法,
可以讓您用來判斷您電腦的問題是否為病毒所造成的。
執行惡意軟體移除工具
「惡意軟體」一詞,指的是病毒、蠕蟲、特洛伊木馬程式,
這些都是會中斷您電腦運作、破壞檔案的小程式。
Microsoft 提供了Windows 惡意軟體移除工具。如果您的電腦被安裝了這種病毒,
您可以用此工具來終止病毒。這套免費的工具,讓您可以迅速檢查執行Windows XP、Windows 2000 及Windows Server 2003 作業系統的電腦是否受到感染。
然而,此工具只限於偵測目前流通的惡意軟體中最常見的類型。
您可以也應該定期執行惡意軟體移除工具,即使沒有受感染的疑慮時也該這麼做。
當您開啟這項工具時,它會掃描您電腦的記憶體,找尋已知的惡意軟體,並且終止此工具發現的任何惡意程序。
此工具也會刪除跟惡意程序相關的檔案,並恢復由惡意軟體所造成的系統變更。
此工具可能會需要您重新開機,或是手動執行某些步驟。當病毒偵測及移除程序完成後,此工具會顯示出結果報告。
您有幾種執行Windows 惡意軟體移除工具的方法。您可以在線上使用,或是下載到您的電腦上使用。
您也可以跟其他Microsoft Update 的更新程式一起安裝,然後再執行此工具。
新版本的工具會於每個月的第二個星期二發行,以便補捉最新的病毒。
更新您的防毒軟體並掃描您的系統
惡意軟體移除工具只會尋找某些已知的病毒,也就是最厲害、最新的病毒。
此工具也會偵測當時正在執行的惡意軟體。這就表示此工具可能會忽略未啟動或未知的病毒。
要彌補這些限制,您應該使用防毒軟體掃描您的系統,以便尋找別種類型的病毒。(如果您沒有安裝防毒軟體,請儘速購買並安裝!)
如果病毒躲過了防毒軟體,可能的原因就是您最近沒有使用最新的病毒定義檔來更新防毒軟體。
在您掃描您的系統前,到該防毒軟體廠商的網站,下載並安裝所有找得到的更新。
如果您無法連線到網際網路下載更新的話,可以用同事或朋友的電腦下載,複製到磁片上,然後再安裝到您的電腦上。
此外,在您開始掃描前,請先關閉Window XP 的「系統還原」功能。
這個可以幫您把電腦還原到先前狀態的公用程式,會自動備份您選擇的檔案至C:\_Restore 資料夾中。
這就意味著受感染的檔案會被儲存為備份檔,而因此您的病毒掃描無法刪除此感染的備份檔。
您必須停用系統還原公用程式,以便把受感染的檔案從C:\_Restore 資料夾中移除。
若要停用系統還原功能,請在桌面上的[我的電腦] 圖示上按一下滑鼠右鍵,再按一下[內容]。
按一下[系統還原] 索引標籤,然後在[關閉所有磁碟上的還原系統] 旁的方塊打勾。
現在繼續執行病毒掃描,並依照指示處理任何遭到感染的檔案。
如果防毒程式無法自動移除病毒,則會隔離受感染的檔案,然後提供指示,教您如何手動修復損害。
要知道有些病毒無法從受感染的物件中移除。
如果病毒無法從檔案中移除,該檔案應該要被刪除。
此外,要記得掃描所有可能受到病毒感染的磁碟和卸除式儲存媒體。
嘗試其他策略
如果這些掃描結果無法發現病毒的存在,那麼這裡有些額外的點子,供您診斷您的電腦是否受到病毒感染。
‧使用另一種防毒產品來掃描。並非所有防毒軟體都一樣。
要知道病毒是否躲過您所使用的防毒程式,您可以嘗試用另一種防毒程式來掃描您的電腦。
而且您可以在某些主要資訊安全公司的網站免費使用,他們的線上掃描服務是免費提供的。
‧監控您的網路。如果您沒有使用網路,而您電腦的動作像在線上的話,這有可能是病毒在作怪。
有個能更密切監控網路活動的方法,就是在您的系統匣上放置網路狀態指示燈,它會在進行網路活動時閃爍。
在Windows XP 中,依序選擇[開始]、[控制台]、[網路連線],在您想監控的網路連線上按一下滑鼠右鍵。
然後選擇[內容],勾選[連線後,在通知區域內顯示圖示],然後按[確定]。
如果您發現有病毒或懷疑有病毒,您應該立刻切斷電腦的網際網路連線或區域網路連線,避免病毒擴散。
而且,如果您的電腦持續出現異常狀況,但是卻沒有發現任何病毒的話,
您可以考慮使用Windows XP 中的「系統還原」功能,把您的系統還原到之前運作良好時的狀態。
下方來示範刪除病毒的簡易方法
病毒檔案名稱:PE_LOOKED.GEN
這種是傳統執行檔病毒
This procedure terminates the running malware process.
‧Windows 系統
按下
CTRL+SHIFT+ESC, 開啟工作管理員
檢視正在執行的程序, 關閉
LOGO1_.EXE這個程序
移除惡意程式對機碼設定值的更動
開啟Registry Editor.按開始>執行, 輸入REGEDIT, 並按確定.
進入到以下目錄:
HKEY_LOCAL_MACHINE>SOFTWARE>Soft>DownloadWWW
找尋右欄並刪除以下項目:
Auto = "1"
關閉Registry Editor.
執行Trend Micro Antivirus
在安全模式下執行pc-cilin並作全系統掃毒
然後刪除所有毒檔
較可能藏有病毒的附加檔案類型
*.exe :(應用程式) 許多小遊戲動畫都是此類檔案不過也極可能藏有病毒請先確定來源在開啟
*.com : (命令檔) 通常都是給系統用的小程式極有可能是病毒
*.scr : (螢幕保護程式檔) 可能內藏病毒
*.doc : (Word文件檔) 可能藏有巨集病毒
*.htm or *.chm : (網頁檔案) 大多數此類檔案都沒問題就像你再上網一樣不過也有可能含有惡意的程式碼在其中
*.vbs or *.vbe : (VB script 描述語言檔) 十之八九都是病毒直接刪了吧除了在windows資料夾裡的檔案
*.pif : (DOS 程式捷徑) 刪吧刪吧差不多十個裡有十個都是病毒
*.zip or *.rar : (壓縮檔) 雖然本身沒有病毒但其中包含各類檔案所以也有可能藏有病毒在裡面
檔案傳播程式(也稱為寄生型病毒)會在記憶體中運作,
並且通常會感染具有下列副檔名的可執行檔:*.COM、*.EXE、*.DRV、*.DLL、*.BIN、*.OVL、*.SYS。
每當執行中毒的檔案時,它們就會自行複製到其他的可執行檔內,並且在病毒啟動後長期留在記憶體中。
電腦病毒種類有上千種,但是大部份的病毒與開機型病毒類似,都是在DOS 的16 位元環境中運作。
然而,有些病毒已成功感染Microsoft Windows、IBM OS/2 及Apple Computer Macintosh 環境。
常見的病毒種類:
檔案型病毒(File-type virus)
從字義上來看,就是純粹感染檔案的病毒,所感染的檔案類型大
部份是可執行檔,如.COM、.EXE、SYS、BAT、OVL等。當使用者中毒
之後,只要再執行其他的程式,病毒就會把自己複製到程式之中,
如此不斷的複製與感染,病毒便可以永久生存下去。別以為一個檔
案只會中一種病毒,其實一個檔案有可能會中很多個病毒。檔案型
的病毒較難加以清除,因為檔案型病毒的感染方式有千百種,而且
很可能一次就有好幾百個檔案中毒(那也是萬中選一的,希望您不會
如此幸運)。
開機與檔案複合型病毒(multip-partitevirus)
就是綜合開機型以及檔案型特性的病毒,此種病毒透過這兩種方
式來感染,更加速了病毒的傳染性以及存活率。不管是被那一種方
式傳染到,只要中毒就會經由開機或是執行程式而感染其他的磁片
或檔案,此種病毒也是最難殺掉的。
而隨著感染方式的不同又可細分為下列數種類型:
傳統開機型病毒
純粹的開機型病毒多利用軟碟開機時侵入電腦系統,然後再伺機感染其他的軟碟或硬碟,
例如:DISK KILLER、STONED 3(米開朗基羅)、HARD ELEVEN。
隱形開機型病毒
所謂隱形開機型病毒即是當病毒感染的系統,當您檢查Partition
Table及BOOTSector時,病毒會將正常的磁區資料還原,就好像沒有
中毒一般,此型病毒較不易為一般掃毒軟體所查覺,而防毒軟體對於未知的此型病毒,
必須具有辨認磁區資料真偽的能力。
較有名的有有FISH、NOVEMBER 4、MONKEY、GOLDEN CICADA等等。
檔案感染型兼開機型病毒
檔案感染型兼開機型病毒顧名思意是利用檔案感染時伺機感染開
機區,因而具有雙重的行動能力。
較有名的病毒有NATAS、MACGYVER2.0、CANCER等,DIR 2即為其代表。
修改目錄型病毒
本型病毒之感染方式非常獨特,DIR 2即其代表,此類病毒僅修改目錄區(ROOT),便可達到感染的目的。
由於其修改目錄區混淆DOS的檔案作業,並不須去感染真正的檔案,可想而知病毒作者的功力相當高。
而市面上之防毒軟體皆能防止此病毒,但面對此型之新病毒,則仍有待考驗。傳統檔案型病毒檔案
感染型病毒最大的特徵,便是將病毒本身植入檔案,使檔案膨脹,以達到散播傳染的目的。
藉以干擾DOS的檔案作業,並不會真正的感染檔案,卻能造成檔案系統大亂!!
此型病毒的代表有FRIDAY、SUNDAY。
傳統檔案型病毒檔案
感染型病毒最大的特徵,便是將病毒程式本身植入檔案,使檔案
膨脹,以達到散播傳染的目的。
較為熟知的有十三號星期五(13FRIDAY)、SUNDAY。
千面人病毒
千面人病毒乃指具有"自我編碼"能力的病毒,
此種病毒編碼的目的,在使其感染的每一個檔案,看起來皆不一樣,干擾掃毒軟體的偵測。
不過千面人病毒再怎麼會編碼,仍會留下一段完全相同的程式開頭,所以各類偵防病毒之軟體,均能利用其留下的這個小辮
子,將其繩之以法。
下雨病毒、FLIP、為代表。
變體引擎
有鑑於千面人病毒一個接一個被逮著,便有人寫出一種變體引擎,使原本千面人病毒無法解決的程式開頭相同的問題,
加以克服,並寫成.OBJ副程式,供人製造此型病毒,此即McTation Engine、Polymorphic Engine,但是儘管如此,
這型病毒僅干擾了掃毒式軟體,對其它方式之防毒軟體並沒有太大的影響。
此類引擎代表的有PME、TPE與FOR Windows的PME/W。
隱形檔案型病毒
有越來越多的跡象顯示,隱形感染可避開許多防毒軟體的偵測,因為隱形病毒能直接植入DOS的作業環境中,取得DOS的原始中斷
當外部程式呼叫DOS的中斷服務時,便同時執行到病毒本身,使得病毒能從容地將被感染的檔案,粉飾成正常無毒的樣子。
此型病毒有4096、及最近流行的DREAMING KING、NATAS,
特洛伊木馬型病毒
這個病毒是仿效木馬屠城記的故事所研製的,並不以感染檔案為
傳播途徑,而改以比較吸引人的程式功能來引人拷貝使用(願者上
鉤?),平常在使用上均很正常,也沒有破壞行為,但一到此病毒
發作日(符合發作條件如:日期等...)便原形畢露,破壞硬碟
資料。中毒之後的狀況會很多種,有的比較嚴重的,甚至於會自動幫你重新開機
終結型病毒
雖然隱形式病毒是一種難纏的病毒,但是與終結型病毒相比,卻又厚道許多,
因為病毒不論感染、常駐、延遲、佔滿磁碟空間,都不若破壞磁碟資料來的可怕。
代表有Hammer 6、NATAS、MACGYVER(馬蓋先)、SKID ROW-C等。
多形病毒
會自我編碼,而且有很多不同的編碼方式,很難找到連續二個bytes是一樣的,令一般的解毒軟體無從偵測。
此類型病毒的代表有CONNIE系列、NATAS、CVEX 6.X~.X。
感染型病毒
多形病毒更名感染型病毒此類型病毒之感染方式頗為特殊,它會將欲感染之執行檔(如.EXE)先RENAME成資料檔或另開一資料檔,
然後再去感染此資料檔,感染完後再RENAME回來或刪除原執行檔,再將資料檔RENAME成原來的執行檔名,
此法造成偵測病毒上的盲點。
因為對任何一個資料檔而言,要分辨是遭受到病毒感染抑或是正常修改,
是一個不易界定的行為;但若要對「修改檔名的動作」作攔截,以達到防止該類型病毒的目的,
卻又有因噎廢食的困擾。
此CVEX、BAD HEAD(頭殼歹\fs24 去)系列為代表。
磁區填碼型病毒
一般病毒都是透過DOS進行感染,但此型病毒「感染」方式大不相同,
它不透過DOS而直接呼叫INT 13藉以監視磁區間的讀寫動作,並在某一磁區內的檔案符合其感染的要求時,
便直接把病毒填入該磁區內
(如SKID-ROW若發現磁區內\fs24的前兩碼為EXE檔頭的標記"5A 4D"或"4D 5A",且磁區內之第H至FFHByte皆為零時,
便進行感染,直接將病毒填入該空白區段),
由於病毒利用此法將病毒直接寫入受感染之檔案內的空白區段,故被感染之檔案長度不會增加
。以SKID-ROW(貧民街)系列為其代表。
檔案壓縮型病毒
通常執行檔受病毒感染時,檔案長度都會變大,但受此病毒感染之檔案長度不增加反而變小,
所以對一些偵測檔案長度變大即警告之防毒軟體,就無法攔截到此類型病毒了。
檔案壓縮型病毒這幾年台灣才開始流行,
以外國傳進來的CRUNCHER和國內的SATAN 4.03為代表。
Windows & Windows 95下的電腦視窗病毒
DOS下的病毒與Windows下的病毒感染的檔案類型並不相同,
DOS病毒會感染DOS規格的檔案(*.COM,*.EXE...),而Windows病毒就會感染Windows的NE(註)
規格檔案(*.EXE,*.DLL,*.VXD...),截至目前還沒發現有DOS與Windows共存的複合型病毒。
巨集病毒
此型病毒是最新型的病毒種類,而且是文件檔病毒,可以跨平台感染,
與一般的執行檔病毒不同。利用Word 所提供的巨集功能來感染文件,在INTERNET與BBS網路上已發現不少的文件巨集病毒,
流傳速度很快,而且是用類似Basic程式所寫出來,很容易學習,因此以後的發展量將會持續增加。
文件巨集病毒的代表有DMV MACRO、AAAZAO MACRO、台灣NO.1巨集病毒目前又已陸續發現有Excel巨集病毒,
代表有\fs24 LAROUX巨集病毒。Ami-Pro巨集病毒,代表有Green Stripe巨集病毒。
留言列表