資訊安全

資訊安全 9816 24

電腦病毒的基本種類 • 開機型病毒顧名思義就是透過開機而傳染的病毒，它會感染磁碟的啟動磁區或是硬碟分割表。當使用者用有毒的磁片或是硬碟開機，那麼整個作業系統將會處於病毒控制之下，一般來說，開機型病毒的種類不及檔案型病毒來得多，如果不幸中開機型病毒的話，也較容易殺掉，不過它所造成的災害卻比檔案型來得嚴重，一次很可能就毀掉整個硬碟。

電腦病毒的基本種類 • 檔案型病毒從字義上來看，就是純粹感染檔案的病毒，所感染的檔案類型大部份是可執行檔，如.COM、.EXE、SYS、BAT、OVL等。當使用者中毒之後，只要再執行其他的程式，病毒就會把自己複製到程式之中，如此不斷的複製與感染，病毒便可以永久生存下去。別以為一個檔案只會中一種病毒，其實一個檔案有可能會中很多個病毒。檔案型的病毒較難加以清除，因為檔案型病毒的感染方式有千百種，而且很可能一次就有好幾百個檔案中毒。

電腦病毒的基本種類 • 開機與檔案複合型病毒就是綜合開機型以及檔案型特性的病毒，此種病毒透過這兩種方式來感染，更加速了病毒的傳染性以及存活率。不管是被那一種方式傳染到，只要中毒就會經由開機或是執行程式而感染其他的磁片或檔案，此種病毒也是最難殺掉的。

電腦病毒的細部種類 • 傳統開機型病毒傳統的開機型病毒多利用軟碟開機時侵入電腦系統，然後再伺機感染其他的軟碟或硬碟，例如：DISK KILLER、STONED 3（米開朗基羅）。

電腦病毒的細部種類 • CIH病毒八十七年四、五月底，電腦網路上出現了一破壞力強大的綜合型電腦病毒ＣＩＨ，造成各行業不小的損失。目前該病毒延伸出的版本中，其發作日期分別為每年的四月二十六日、六月二十六日及每個月的二十六日；由於四月二十六日為前蘇聯「車諾比爾」核電廠輻射外洩意外的同一天，該病毒又有「車諾比爾」病毒之稱。該病毒的傳染途徑，是病毒之作者先將病毒碼植入熱門的應用程式內，上傳至資訊網站之軟體下載區供人免費下載，不知情的使用者將其下載至個人電腦後，再將被感染的軟體經由轉載至其它網站或是透過電子郵件、電子佈告欄、通訊軟體等方式而傳染給他人；鑑於網際網路無遠弗屆的傳播能力與威力，該病毒透過傳輸通路漸次散佈至全世界。

電腦病毒的細部種類 • 隱形開機型病毒所謂隱形開機型病毒即是當病毒感染的系統，當您檢查Partition Table及BOOTSector時，病毒會將正常的磁區資料還原，就好像沒有中毒一般，此型病毒較不易為一般掃毒軟體所查覺，較有名的有 MONKEY、FISH等等。

電腦病毒的細部種類 • 檔案感染型兼開機型病毒檔案感染型兼開機型病毒顧名思意是利用檔案感染時伺機感染開機區，因而具有雙重的行動能力。較有名的病毒有NATAS、MACGYVER 2.0、CANCER等，DIR 2即為其代表。

電腦病毒的細部種類 • 修改目錄型病毒本型病毒之感染方式非常獨特，此類病毒僅修改目錄區(ROOT)，藉以干擾DOS的檔案作業，並不會真正的感染檔案，卻能造成檔案系統大亂!!

電腦病毒的細部種類 • 傳統檔案型病毒檔案感染型病毒最大的特徵，便是將病毒程式本身植入檔案，使檔案膨脹，以達到散播傳染的目的。較為熟知的有十三號星期五(13 FRIDAY)、SUNDAY。

電腦病毒的細部種類 • 千面人病毒千面人病毒乃指具有"自我編碼"能力的病毒，其目的，在使其感染的每一個檔案，看起來皆不一樣，干擾掃毒軟體的偵測。1701下雨病毒、FLIP、4096為代表。

電腦病毒的細部種類 • 變體引擎有鑑於千面人病毒無法解決的程式開頭相同的問題，便又出現了一種變體引擎，克服了千面人病毒的問題，並寫成.OBJ副程式，供人製造此型病毒，此即McTation Engine、Polymorphic Engine，此類引擎代表的有PME、TPE與FOR Windows的PME/W。

電腦病毒的細部種類 • 隱形檔案型病毒隱形病毒能直接植入DOS的作業環境中，取得DOS的原始中斷，當外部程式呼叫DOS的中斷服務時，便同時執行到病毒本身，使得病毒能從容地將被感染的檔案，粉飾成正常無毒的樣子。此型病毒有 4096、512及最近流行的DREAMING KING、NATAS。

電腦病毒的細部種類 • 特洛伊木馬型病毒這個病毒是仿效木馬屠城記的故事所研製的，並不以感染檔案為傳播途徑，而改以比較吸引人的程式功能來引人拷貝使用（願者上鉤？），平常在使用上均很正常，也沒有破壞行為，但一到此病毒發作日（符合發作條件如：日期等．．．）便原形畢露，破壞硬碟資料。

電腦病毒的細部種類 • 終結型病毒病毒不論感染、常駐、延遲、佔滿磁碟空間，都不若破壞磁碟資料來的可怕，此種毒能追蹤DISK I/O磁碟中斷之原始進入點，而不依正常管道呼叫BIOS的磁碟中斷服務。當病毒取得磁碟原始中斷時，病毒便可任意在磁碟上修改資料或破壞資料，而不會「驚動」防毒程式，換句話說；有裝防毒程式和沒裝防毒程式，一樣危險。這類病毒有的採用INT1單步執行的方式，逐步追蹤磁碟中斷的過程，找出BIOS之磁碟中斷的位址，供病毒內部使用；有的採用死記的方式，記錄幾個BIOS版本之磁碟中斷原始進入點，當病毒遇到熟悉的 BIOS版本，便可直接驅動磁碟中斷，而不必向BIOS打招呼，就可以對磁碟予取予求；有的則是透過分析磁碟中斷的程式片段，找出 BIOS中的相似部份，便可直接呼叫磁碟中斷，終結型病毒的代表作有Hammer 6、NATAS、MACGYVER(馬蓋先)、等。

電腦病毒的細部種類 • 多形病毒所謂「多形病毒」就是病毒在感染檔案時，會自我編碼，而且有很多不同的編碼方式，很難找到連續二個bytes是一樣的，令一般的解毒軟體無從偵測。此類型病毒的代表有CONNIE系列、NATAS、CVEX 6.X～7.X。

電腦病毒的細部種類 • 更名感染型病毒此類型病毒之感染方式頗為特殊，它會將欲感染之執行檔（如 .EXE）先RENAME成資料檔或另開一資料檔，然後再去感染此資料檔，感染完後再RENAME回來或刪除原執行檔，再將資料檔RENAME成原來的執行檔名，此法造成偵測病毒上的盲點。因為對任何一個資料檔而言，要分辨是遭受到病毒感染抑或是正常修改，是一個不易界定的行為；但若要對「修改檔名的動作」攔截，以達到防止該類型病毒的目的，卻又有因噎廢食的困擾，因為不少軟體於安裝時，多少都會將原檔案做更名儲存的動作。此型病毒目前以最近流行的 CVEX、BAD HEAD系列為代表。

電腦病毒的細部種類 • 磁區填碼型病毒一般病毒都是透過DOS進行感染，但此型病毒「感染」方式大不相同，它不透過DOS而直接呼叫INT 13藉以監視磁區間的讀寫動作，並在某一磁區內的檔案符合其感染的要求時，便直接把病毒填入該磁區內（如SKID-ROW若發現磁區內\fs24的前兩碼為EXE檔頭的標記"5A 4D"或"4D 5A"，且磁區內之第61H至1FFH Byte皆為零時，便進行感染，直接將病毒填入該空白區段），由於病毒利用此法將病毒直接寫入受感染之檔案內的空白區段，故被感染之檔案長度不會增加。此型病毒最近才出現，以SKID-ROW（貧民街）系列為其代表。

電腦病毒的細部種類 • 檔案壓縮型病毒通常執行檔受病毒感染時，檔案長度都會變大，但受此病毒感染之檔案長度不增加反而變小，所以對一些偵測檔案長度變大即警告之防毒軟體，就無法攔截到此類型病毒了。檔案壓縮型病毒以外國傳進來的CRUNCHER和國內的SATAN 4.03為代表。

電腦病毒的細部種類 • Windows &Windows98下的電腦視窗病毒DOS下的病毒與Windows下的病毒感染的檔案類型並不相同，DOS病毒會感染DOS規格的檔案(*.COM，*.EXE...)，而Windows病毒就會感染Windows的NE(註)規格檔案(*.EXE，*.DLL，*.VXD...)，截至目前還沒發現有DOS與Windows共通的病毒，視窗病毒的代表有Wintiny、 Winlamer、Winvir、Winsurfer等複合型病毒。世界第一隻32位元的 Windows 95病毒為Bizatch(BOZA)病毒。

電腦病毒的細部種類 • 巨集病毒此型病毒是最新型的病毒種類，而且是文件檔病毒，可以跨平台感染，與一般的執行檔病毒不同。利用Word 所提供的巨集功能來感染文件，在INTERNET與BBS網路上已發現不少的文件巨集病毒，流傳速度很快，而且是用類似Basic程式所寫出來，很容易學習，因此以後的發展量將會持續增加。文件巨集病毒的代表有DMV MACRO、 AAAZAO MACRO、台灣NO.1巨集病毒目前又已陸續發現有Excel巨集病毒，代表有LAROUX巨集病毒。Ami-Pro巨集病毒，代表有Green Stripe巨集病毒。

電腦病毒的傳染途徑 一般來說病毒傳染的途徑可分為兩條管道，一條是經由磁片，另一條則是經由網路： • 經由磁片傳染：經由磁片傳染大都是拜拷貝所賜，另外使用者在備份自己硬碟中的資料時，往往不會去檢查硬碟是否已中毒了。 • 經由網路傳染：從網路途徑來看，可細分為電子佈告欄（BBS，BULLERIN BOARD SYSTEM）傳染途徑與電子郵件（E-MAIL）傳染途徑。

預防電腦病毒 ◎ 使用合法的軟體程式，不要隨意下載或拷貝非法軟體 ◎ 避免到多人共用的電腦存取資料 ◎ 從網路或別處取得的資料，先用掃描軟體偵測，確定無病毒後再使用 ◎ 不開啟來路不明的電子郵件及附件 ◎ 使用最新版本的電腦防毒軟體，並定期更新病毒碼 ◎ 經常做好資料備份，以預防病毒入侵破壞 ◎ 準備一份開機磁片，若不慎被病毒感染，則可拿來作為開機之用

THE END

資訊安全

資訊安全

Presentation Transcript