Windows恶意软件史(上)
在Windows的早期年代,病毒游走于系统之间,偶尔删除文件(但被删除的文件几乎都是可恢复的),并弹出一些显示费解内容的对话框。现今,Windows恶意软件锁住你的数据,劫持它索要赎金。它控制你的PC发动攻击,寻找保护信用卡号码和口令的文件,更可怕的是,这些病毒还能够让核浓缩离心机疯狂地旋转—这真是令人讨厌的东西。
20年间,Windows恶意软件造就了许多价值数几十亿美元的杀毒公司,赋予足以装满亚历山大大图书馆的文章以灵感,为成千上万的安全专业人士创造了职位,并给人们带来无穷无尽的烦恼。
这些讨厌的程序不是一夜之间从初学走路的孩子变成打遍天下无敌手的恶棍的。恶意软件的成长有着清晰的继承性,其手段、方法和目标随着时间的发展而不断变化。如同任何技术一样,创新的思想指引着恶意软件的前进道路。让我们看一看为达到邪恶目的的创造力是如何将Windows黑客技术变成价值数十亿美元的产业的,以及Windows恶意软件的成长足迹指向了未来的何处。
早期病毒展示
一些最具创新性的并且(仍)广泛使用的恶意软件技术在Windows诞生之际就出现了,经过Windows 3.0面市之前几年时间的发展,为未来针对Windows的恶意软件打下了牢固的基础。
以第一个感染可执行文件的病毒VirDem为例。Ralf Burger于1986年在德国发明了这种病毒,他将一个自复制程序粘在COM文件的前面,把文件原始的指令移动至文件尾部。随后不久出现了Cascade恶意软件。这种出现在1987年的恶意软件是第一种采用加密技术来伪装自己的病毒。不幸的是,加密程序在所有被感染的文件中都是相同的,因此扫描程序很容易发现它。该病毒并不成功。
GhostBalls集两种感染技术于一体,创造出第一种多技术或混合型威胁病毒。GhostBalls把自己附着在COM文件上,通过将自己复制到其它COM文件上来进行传播,但它还寻找“A:”驱动器中的软盘,如果找到,就将修改后的启动磁盘病毒复制到软盘上。
为克服Cascade病毒先天的不足,1990年Mark Washburn推出了1260病毒,第一种多形态病毒。多形态病毒每一次被加密时就会变身—常常改变加密程序本身—从而大大增加了检测病毒的困难。
在雷达盲区飞行是1990年出笼的另两种病毒—Frodo和Whale--的犯罪手法。这两种病毒因千方百计隐藏自己而被称为“stealth”病毒。Frodo让Windows在被感染的COM文件的大小上说谎,使这些文件看起来像没有被感染一样。Whale—长度9KB,是当时长度最大的病毒—利用Frodo技术隐藏自己的长度,并利用1260的独门绝技来变身。这两种程序都没有感染太多的东西,但它们在隐身方面技压“群毒”。
二十年后,Windows恶意软件的万神殿塞满了被感染的可执行程序、多技术、变形和stealth技术。
Microsoft宏病毒的兴起
Windows 3.0于1990年5月22日上市,这种平台很快就火了起来。除了Michelangelo(一种摧毁Windows机器、将“计算机病毒”一词注入到地球上几乎所有语言中、帮助维持利润丰厚的杀毒产业的普通引导区病毒)之外,病毒创新停滞不前了。一直到1995年夏天,新的魔鬼出现了:有人——我们现在仍不知道是谁——利用WordBasic(MicrosoftWord背后的宏语言)编写了一种非常简单的宏病毒。
当使用Word 6打开文档时,被这种病毒感染的文档就向Word缺省模板NORMAL.DOT添加4个宏。随后,NORMAL.DOT会感染你随后保存的任何Word文档。这个宏携带无害的有效载荷,只是显示一个古怪的对话框。宏代码中包含“That's enough to prove my point”的正文--因此这种病毒被取名为Concept。
水闸打开了。1995年8月,多位Microsoft雇员告诉我,Microsoft的Redmond园区中所有PC中的80%以上都被Concept感染了。Concept在几周内传遍全世界。杀毒公司忙作一团,试图防止这种全新的攻击向量,而病毒编写者在1996年广为传播的宏病毒构建工具的帮助下大显身手。Word遭受到了最初的打击,但以后Excel电子报表也受到攻击,第一次是Laroux,随后是1,000多种宏病毒的攻击。
Microsoft在Office 97中加强了安全性,但是病毒编写者迅速找到了如何绕过安全控制机制的办法,许多老病毒利用Microsoft的自动升级工具,自动变身转移到新系统。直到杀毒厂商开始占据上风,但主要是靠蛮力。最终,Microsoft在Office 2000中让感染变得更加困难后,这股病毒浪潮的势头才缓下来。即使这样,Word和Excel宏攻击仍是恶意软件世界中的主力军,直到Microsoft在Office 2007改变了缺省文件格式之后才有所缓解。
世纪末:通信攻击
当一位台湾程序员,Chen Ing Hau,创造了CIH(也叫切尔诺贝利)时,针对Windows的恶意软件进入了全盛期,把stealth感染提升到一个新高度。
利用可移植的可执行文件格式,CIH缩身变为EXE文件的一部分,在不改变可执行文件大小的情况下感染它们。那些运气不佳的在1999年4月26日唤醒Windows 95、98或ME系统上的这些间隙病毒的人,面对的是纹丝不动的PC。CIH是一种破坏性的病毒,但它并不会自己传播。
电子邮件成为这种病毒强有力的提交机制——坏人们没有放过这点,他们的“Good Times”恶作剧(“如果你阅读主题为‘Good Times’的邮件,你的硬盘将被摧毁”)让几百万人感到恐惧。
恶意软件技术的下一个大飞跃伴随着在写着“Happy New Year 1999!”标题窗口中的焰火到来了。Happy99(也叫SKA)通过劫持一个Windows程序进行感染,它接管通信程序Wsock32.dll。如果你从被感染的机器发送邮件,假冒的Wsock32.dll提交这个邮件,但随后向同一个收信人发出第二封带有附件(通常叫Happy.exe)的空白信件。如果收件人双击这个文件,他们看到屏幕上显示焰火—以及可恶的感染—的问候。
在Happy99之前,另一些恶意软件利用同样的技术挂在Windows上,但Happy99具有接管通信程序的远见;因此,它大量传播。让这种病毒如虎添翼的是:Microsoft自Windows 95起停止显示文件扩展名,因此多数收到Happy99.exe的用户只看到“Happy99”文件名,并且常常会点击它。
随后,新泽西的David L. Smith编写了Melissa。这种宏病毒扫描被感染PC的Outlook地址簿,把自己的副本发给地址簿的前50个地址。这是许多Windows垃圾邮件制造病毒中的第一个成功者。
Melissa繁殖力非常强,它在1999年3月26日造成世界各地的Exchange服务器瘫痪。CERT说,一台服务器在45分钟内收到了32,000个Melissa副本。Smith先生因自己的行为在联邦监狱中坐了20个月的牢。几个月后,另一种破坏性病毒,ExploreZip,也利用Outlook地址簿传播,这种病毒有着通过重写Office文档来删除文档的恶习。
20世纪末,恶意软件编写者利用了运行Windows Script Host的Visual Basic脚本:一种将在随后几年里大获成功的组合。
BubbleBoy病毒带来第一个大获成功的drive-by攻击。如果有人发给你一封受感染的信件——不一定附着文件——你在Outlook打开这封件或在Outlook Express中预览它,就会中招。BubbleBoy利用了HTML和Outlook在不发出警告的情况下运行嵌入式Visual Basic脚本的嗜好。
根源问题?在那些日子里,Outlook利用Internet Explorer显示基于HTML的电子邮件。即使你从没有看到运行着的IE,它仍在运行,隐藏在后台,不经允许运行VBS程序。几年后,Klez蠕虫利用了同样的办法,但却是利用了一个不同的安全漏洞。
2000年5月5 日,ILOVEYOU蠕虫发动了袭击,而PC过去的日子将一去不复返。这是一次推动今天恶意软件的社会工程学技术的令人难忘的展示,被感染的文件附在信件上传播。信件的主题是:ILOVEYOU,附件的文件名是LOVE-LETTER-FOR-YOU.TXT.vbs。由于Windows隐藏.vbs文件扩展名,许多人(有传言说,包括一位非常高级的Microsoft经理)双击这个表面上看起来像是TXT文件的附件,结果却是自投罗网—造成了与Happy99蠕虫袭击许多人同样的致命缺陷。
ILOVEYOU蠕虫重写许多不同类型的文件,然后劫持Outlook地址簿,向地址簿中的每个地址发送副本,这点与Melissa很像。它于2000年5月4 日开始传播。到5月13日,5五千万台PC被感染。
随后,几种取得巨大成功的恶意软件攻击沿着ILOVEYOU的技术足迹继续前进。2001年,Anna Kournikova出现在名为AnnaKournikova.jpg.vbs的电子邮件附件中。Sircam劫持被感染PC上的一个Word或Excel文件,并利用同样的技术发送被劫持文件的被感染的版本。许多机密文件被发送给无关的收件人。Sircam还通过把自己复制到网络共享中传播。
网友评论