什么是隐形病毒及其工作原理?
隐形病毒是一种通过多种机制规避杀毒软件检测的计算机病毒。其名称来源于"隐形"一词,意指在避免被察觉的情况下执行操作。
通常,隐形病毒可隐藏在计算设备的合法文件、分区或引导扇区中,而不会触发杀毒软件警报或通知用户其存在。一旦注入计算机,该病毒使攻击者能够操作并控制部分或整个系统。
隐形病毒的工作机制
隐形病毒泛指任何试图规避杀毒软件检测的病毒。但即使不是专门为此设计的病毒,只要能够逃避检测,也会被归类为隐形病毒。这种情况有时是因为病毒是新型的,或用户未更新杀毒软件以致无法检测感染。
隐形病毒并非新事物。首个已知针对IBM PC的病毒"Brain"就是感染软盘存储磁盘引导扇区的隐形病毒。该病毒于1986年在巴基斯坦创建,最初是作为反盗版措施。
隐形病毒具有智能架构,使其难以从计算机系统中清除。该病毒足够智能,能够自我重命名并将副本发送到不同驱动器或位置,从而逃避系统杀毒软件的检测。唯一清除方法是彻底擦除计算机并从头重建。
从可移动磁盘(如USB驱动器)启动计算机可防止隐形病毒在杀毒或反恶意软件扫描前失控。复杂且最新的杀毒软件可以降低感染风险或根除病毒。隐形病毒对企业造成严重危害,由其导致的数据泄露平均成本达440万美元。
隐形病毒类型
常见的隐形病毒类型包括:
- 引导扇区病毒:感染主引导记录,在操作系统加载前激活,绕过许多数字防御
- 多态病毒:每次感染时修改自身代码,逃避基于签名的病毒检测
- 基于Rootkit的病毒:深嵌于系统文件中以获得长期访问权限
- 加密病毒:使用加密技术掩盖存在,仅在执行时自行解密
- 变形病毒:完全重写代码以改变其结构
隐形病毒感染计算机的方式
隐形病毒通常通过受感染的网页链接、恶意电子邮件附件和第三方应用程序下载进入系统。病毒使用两种主要方法欺骗系统以绕过杀毒程序:
- 代码修改:为避免检测,病毒修改每个受感染文件的代码和病毒签名
- 数据加密:病毒通过加密文件并对不同文件使用不同加密密钥,使用户无法访问或读取受影响文件
通常,当杀毒程序运行时,隐形病毒会隐藏在内存中,并使用各种技巧隐藏其对文件或引导记录所做的更改。它可以保留原始未感染数据的副本并监控系统活动。当程序尝试访问已更改数据时,病毒会将其重定向到存储原始数据的区域。
杀毒程序应扫描计算机内存和其他常见目标区域以查找隐形病毒。但这并不总是成功,因为病毒可能被设计为隐藏于杀毒软件之外。它们通过隐藏受感染文件的大小、远离受感染文件、将自身复制到不同驱动器并用干净文件替换自身来实现此目的。
常见隐形病毒攻击问题
当隐形病毒感染计算机系统时,它允许攻击者控制各种系统任务。以下是与隐形病毒攻击相关的一些问题:
- 系统突然崩溃
- 重启时间延长
- 系统性能缓慢
- 计算机屏幕上出现未识别图标
- 系统在无用户干预情况下开启或关闭
- 安全程序停止工作
- 打印设备问题
隐形病毒如何避免检测
隐形病毒可使用多种不同技术逃避检测,最常见包括:
- 更改系统文件,使杀毒程序无法区分受感染代码和合法代码
- 通过禁用或操纵来干扰安全和检测软件
- 加密或修改代码以避免被传统杀毒方法识别
- 隐藏在系统内存中,无需写入磁盘即可运行
- 拦截和更改安全工具发出的系统请求
- 复制和传播,使病毒感染多个系统
保护设备免受隐形病毒侵害的策略
以下是防范隐形病毒的策略:
强大的杀毒软件:全面且最新的杀毒程序可识别并保护系统免受隐形病毒和其他恶意软件(如木马、蠕虫、勒索软件、间谍软件和广告软件)的侵害。现代杀毒程序使用病毒签名策略检测和消除隐形病毒威胁。这些签名必须定期更新,以确保杀毒软件能够检测和消除新型隐形病毒。
电子邮件安全实践:隐形病毒可通过电子邮件和电子邮件附件进入系统。用户不应打开来自未知来源或看起来可疑的电子邮件或点击其中的链接。
计算和搜索卫生:避免访问不熟悉的网站和已知安全风险的网站很重要。网站广告是病毒的常见来源;广告拦截器可消除网页上出现的广告。
隐形病毒真实案例
隐形病毒已活跃数十年,以下是最著名的几个:
- Brain:首个记录的隐形病毒,感染软盘的引导扇区。出现于1986年,现已不再构成活跃威胁
- Chernobyl:出现于1998年,不再构成重大威胁。它覆盖系统固件并导致大规模数据丢失
- FunLove:首次出现于1999年,至今仍造成问题。这是一种感染Windows系统的隐形病毒,可绕过标准安全措施并通过网络联系人传播
- Sality:出现于2003年,至今仍是威胁。这是一种多态病毒,可在更改代码的同时禁用杀毒软件
- ZeroAccess:于2011年出现,原始病毒的变种继续造成问题。这是一种基于rootkit的病毒,深藏于操作系统中以创建僵尸网络