病毒的起源和分类

    自从个人计算机问世以来，随着计算机改变人们的作息之后，人们对计算机的依赖与日俱增。原本比个人计算机年岁还长、只能在大型主机及实验室被当作游戏及实验对象的计算机病毒，也找到了尽情肆虐的舞台。于是人类与个人计算机病毒之间长达二十多年的攻防战于此开展。

病毒起源

    如果说个人计算机是促进病毒蓬勃发展的第一道促因，那么因特网的兴起，无疑是促其百家争鸣、再造颠峰的第二道助力。如今的因特网上，不但充斥着病毒及蠕虫等老前辈，同时还有特洛伊木马、后门程序、BOT程序、恶作剧程序等后进到底攻城略地。更可怕的是，这些病毒还”相互结盟”组成连合攻击阵线－混合式威胁，这使得原本没有感染能力或散播能力的特洛伊木马或BOT程序，兼具了惊人的影响力、传染速度及破坏能力。 
    不仅如此，病毒的平台及载体也不断地在扩大，一方面由原先的大型主机系统、UNIX、Windows、Linux等作业平台，逐渐扩及到PDA、手机等行动装置上；另一方面，由原先只限于单机上的磁盘、光盘，转而寄生到无边无际的网页、电子邮件上，其影响力、速度及破坏力的增长可以等比级速来形容。 
    总而言之，身处信息化社会的我们，是无法逃避病毒或其它恶意攻击所可能带来的损失及威胁，所谓”知己知彼，百战百胜”，面对病毒的第一课当然必须先对它做一番基本的了解，以建立基本的防毒及安全意识，如此才有”长期抗战”的动力。 
    对于史上第一只病毒的描述及记载，不论书籍、网络，乃至于厂商似乎都有不同的说法。有的说是1961年贝尔实验室三位工程师撰写的Core War，也有说是1983年南加大学生（也有说是教授）Fred Cohen在UNIX系统下撰写而出的，另外，最耳熟能详的说法就是巴基斯坦一对兄弟Basit和Amjad所撰写的Pakistan 病毒（又称C-Brain）。 
    不论如何，或许你不相信，病毒最早竟发自于游戏。早在1961年之际，贝尔实验室的Victor VysottskyH、Douglas McIlroy及Robert T. Morris三位程序设计师，为了研究人工智能生命等理论，而撰写出可以互夺地盘的Darwin（达尔文）游戏，该游戏具备将攻击能力传给后代的特性。而网络上有些文章记述他们所撰写的游戏是Core Ware，其实是错误的，实际上，Core War是1983年的A.K. Dewdney所撰写的。 
    所以Core War及更早的Animal等大受欢迎的游戏，都是受到达尔文游戏的启发而被撰写出来的。接着，UNIVAC系统程序设计师John Walker因改写Animal而大受欢迎，随后因不堪网友频频索取之扰，而于1975年撰写了可让Animal自我复制的Pervade程序，之后一段时间内，不同公司的UNIVAC系统中开始不断出现自我复制的Pervade程序，虽然当时信息界并无”病毒（Virus）”正式名称的出现，但将Pervade程序视为史上第一只病毒并不为过。 
    至于病毒一词的出现，则全拜Fred Cohen及其指导教授Len Adleman所赐，1983年，身为南加大研究生的Fred Cohen为了研究而撰写出可自我复制及感染能力的程序，同时他也是第一位经过观察、研究而发表有正式病毒定义论文的人。至于「Virus」计算机病毒的正式名称则是其指导教授Len Adleman所命名的。 
    如果你对密码学或公开金钥基础建设（PKI；Public Key Infrastructure）稍有涉猎，应该听过Len Adleman教授的大名，因为他就是RSA非对称算法的三位发明者之一，RSA中的「A」就是Len Adleman的缩写。 
    除了获得”正名”之外，80年代可说是病毒初鸣啼声的一年，早在Fred Cohen撰写病毒及论文之前的1982年，史上第一只PC病毒Elk Cloner就已在Apple II计算机上被发现。接着，1986年，IBM个人计算机上首度出现源自巴基斯坦Lahore地区的C-Brain病毒。1988年，在因特网的前身ARPANET上，前述达尔文游戏的撰写者之一Robert T Morris的儿子Robert Morris Jr撰写了史上第一只蠕虫I-Worm。 
    总而言之，随着计算机及网络技术的日新月异，以及既有元老级病毒的开辟基础上，病毒技术及发展也随之一日千里。

病毒分类

    一般而言，目前防毒厂商多半将网络及系统安全之威胁程序分成三大类：病毒（Virus）、蠕虫（Worm）及特洛伊木马（Trojan Horse），除此之外，则尚有恶作剧程序（Hoaxes），以及整合病毒、蠕虫及特洛伊木马特性的混合型威胁程序。不论如何，上述所有威胁程序全都统称为恶性程序（Malicious Softeware；Malware）。
    当然每一大类的恶性程序下仍可细分成许多小类别，以下就为读者们做一番详细的介绍。 　

规模庞大的病毒家族

    前文曾提到，Fred Cohen在论文中曾为病毒下了清楚的定义：”会感染其它软件的程序”，所以病毒最大的特性就是自我复制并感染其它程序的能力，而这也是它与蠕虫、特洛伊木马之间的最大差别。
    也因为病毒会自行复制，所以它就能像生物界的病毒一样不断繁殖、四处传播。大体上，病毒会有固定的发病时间，所以跟真的疾病病毒一样，也有所谓的潜伏期，在病毒发病启动前，中毒者通常不会有任何察觉，一旦发病，则会导致档案数据损坏、系统变慢或当机等情形出现。
    病毒大致随着操作系统、应用程序的更迭，以及因特网的出现而有不同的发展，例如DOS操作系统时代，多半属于档案型病毒及开机型病毒，尔后，随着Word等Office软件的出现，而有所谓的宏型病毒的问世。到了因特网时代，网上多半充斥着Script病毒。 
    由于病毒的历史悠久，所以支脉繁盛，以下就让我们一同看看庞大的病毒家族。 
    ■开机型病毒
    所谓开机型病毒就是会常驻感染于硬盘或软盘片开机扇区的病毒，可说是90年代中期以前最常见的病毒型态，而软盘片则是让它得以四处散播的最爱。使用者若将中毒的开机片置入计算机开机，就会感染硬盘的主开机扇区；反之，使用者若将软盘片插入受感染的计算机中，计算机内存中的开机型病毒也会导致软盘片中毒，并成为进一步散播病毒的媒介。
    随着因特网的盛行，一片片进行病毒散播的方式，比起以Internet及Email为媒介而言实在慢得太多了，所以开机型病毒也渐渐地不再受到病毒制造者的青睐。同时，目前桌上型计算机或笔记型计算机多半支持光驱开机，并且渐渐不再内建软盘机，这也可能是开机型病毒消失的原因之一吧！过去开机型病毒中著名的典型代表有猴子（Monkey）及米开朗基罗（Michelangelo）病毒。 
    ■档案型病毒
    档案型病毒是指专门感染程序执行文件的一种病毒。使用者只要执行来自软盘片、光盘片及网络上受感染的程序时，就会中毒。同时，该病毒还会进一步感染计算机中其它像是.COM、.EXE或.SYS等扩展名的执行档。
    典型的档案型病毒，可以每逢13号星期五发病的黑色星期五病毒（又叫Jerusalem耶路撒冷），以及每月26日发病的计算机肠病毒（CIH）为代表。
    ■宏病毒（Macro Virus）
    宏病毒，又称之为”宏”病毒，是一种专门感染内建宏功能的Office应用软件的病毒。史上第一只宏病毒Word Concept（又称Prank），出现于1995年，它的出现震惊了当时的计算机界，因为在此之前，人们一直认为只有执行文件才会遭受到病毒的感染，但宏病毒的出现却打破了这种认知。
    一开始的宏病毒是以Word文件为目标，之后才慢慢扩及到其它的Office成员（Excel、Power Point、Access及Visio），再来又出现了所谓的交错式宏病毒，它可以同时感染Office内的所有成员。除此之外，宏病毒还具备了跨平台的特性，也就是Windows之外的Linux、Mac OS、OS/2 Warp等平台上的Office文件也会遭受攻击。
    ■爪哇病毒（Java Applet）
    Java applet 是一种可以协助网管人员开发出功能更丰富、画面更炫丽交互式网页的程序对象，当计算机使用者浏览网页时，内建在网页中的Java applet就会被执行。也因为如此，它便成为有心人用做撰写病毒的工具。不过使用者可以透过浏览器内建的设定来关闭Java Applet的执行。 
    1998年出现的Java.StrangeBrew是全球第一只JAVA病毒，它打破了Java绝对安全的神话，也开启了所谓第二代网络型病毒的新纪元。
    ■ActiveX Control
    就网页开发而言，ActiveX控件与Java Applet一样，可供网管人员开发出更有看头的交互式网页。所以ActiveX控件当然会被病毒撰写者相中，同时许多骇客也会透过含有恶意ActiveX程序代码的连结，来攻击不小心浏览者的计算机或植入后门程序。
    ■描述语言病毒（Script）
    Script 病毒，又翻成「脚本」病毒，亦即所谓的HTML病毒，它与Java Applet及ActiveX病毒是不一样的，首先，HTML病毒是以VBScript或JavaScript来撰写的，这类恶意程序会透过Windows Scripting Host（WSH）来入侵受害者的系统并感染档案。原则上，只有Windows 98以上操作系统中的IE浏览器才会预设内建WSH，所以会遭受到Script 病毒的攻击，但如果Window NT或95系统中也手动安装含有WSH的IE 4，一样会有被感染的危险。 
    所以如果符合以上条件的系统，如果浏览有毒的HTML网页时，内建其中的Script 病毒码就会被启动，而系统也会遭受到感染或破坏。此外，即使在离线的状态下，使用者若打开内建有毒htm或html附?的Email时，依然会中毒，而且该病毒会扫描并覆盖系统下所有的htm或html。
    除了透过防毒软件外，使用者可以透过关闭IE中WSH的方式，或直接杀掉中毒邮件的方式来防止病毒感染。过去较知名的Script 病毒则有快乐时光（VBS_HAPTIME）、东方美女（JS_EXCEPTION）及OFFILNE等。
乘因特网翅膀而大放光芒的蠕虫（Worm）
    蠕虫的历史可以和PC病毒相比肩，早自1988年，Robert Morris Jr即在ARPANET上撰写了全球第一只”因特网蠕虫”（I-Worm）。但之后，蠕虫一直被病毒的光芒所掩盖，直到因特网大行其道之后，蠕虫的重要性及影响力才远远超过病毒。
    基本上，蠕虫与病毒的最大差别在于，前着会自行复制及主动散播，但不会感染及更改其它档案，所以就像一只蠕虫经过无性生殖、自体分裂出许多四处爬行的分身小虫一样；而后者也会自行复制，但却会感染、变更、覆盖掉其它档案，但却不会主动散播，也就是必须透过被感染媒介（磁盘、光盘、Email）的传递来被动散播。
    ■远程遥控程序（BOT）
    看过黑客任务3吗？在锡安城保卫战中，锡安机器人部队炮轰入侵的机器乌贼，其中机器人是需要人来操控的。而在此要介绍的BOT，就是源自于机器人（ROBOT）的简称，不过目前业界对此名词的翻译不一，有遥控程序或傀儡程序等各种翻译名称。不论如何，BOT已成目前计算机黑客的最爱，透过该程序对受害机的植入，黑客就可以远程操控该部计算机，进行入侵其它计算机、发送垃圾邮件、散播恶意程序等作业，就如同远程遥控一台机器人到处作恶一样。
    比起单机型的特洛伊木马来说，BOT所造成的伤害更加可怕而全面。毕竟特洛伊木马并无法主动散播，其一次所能”屠城”的对象只限于一台计算机而已。但整合蠕虫主动散播特性的BOT远程遥控程序，则不再只限于单机攻击而已，而能组成数量庞大的机器人部队，到处攻城略地，或对某个特定目标展开惊天动地的分布式阻断攻击（DDoS），所以其所造成的破坏性更加巨大，而影响性也更无远弗届。
    一般来说，被BOT感染的计算机就有如同机器人、傀儡、?尸一般，会不由自主地完全听命做出黑客每个口令下的每一个动作，所以这些被感染的计算机又被称为?尸（Zombie）。而骇客可以集结众多?尸计算机形成所谓的?尸网络（Zombie Networks）或远程遥控网络（Bot Networks，”机器人网络”）。换句话说，过去孤军奋战的黑客，不再只是只身一人的怪客而已，而是手握重兵的枭雄。
    事实上，BOT源自于IRC BOT这样的小程序，原先只是使用者针对网络实时通讯软件IRC（Internet Relay Chat；IRC）的远程监控小程序，用来监控个人专属通道上的状况、人数等信息。如今的BOT程序不但既由IRC信道远程遥控受害的?尸计算机，还会由这些?尸计算机不断地在网上搜寻、入侵、感染其它有系统漏洞的计算机。
    换句话说，利用BOT，不法者可轻易地滥发垃圾邮件、扫描漏洞、散播恶意程序或远程窃取密码、个人讯息、档案等各类资料。夸张的是，其还可相互接手其它骇客种下的BOT或后门程序，对此，实在可以用”后患无穷”形容。当然更可怕的就是，黑客可运用一传十、十传百所形成的?尸大军，对其他有弱点的企业网络展开分布式阻断服务攻击，或是继续扫描感染，不断地加入更多的”生力军”，进而滚雪球式地形成更庞大的?尸军团。
    对于BOT的性质归类各家不一，有的视之为蠕虫，有的则归属于后门程序或特洛伊木马，虽然它的特性的确像是后门程序，但由于目前网络上绝大多数的BOT都伴随着蠕虫散播，所以在此将BOT归属于蠕虫一类。由于蠕虫具备强力散播的特性，所以对骇客而言，BOT与蠕虫的结合，才是最佳的组合、最有效率的攻击工具。
    由于BOT是藉由扫描漏洞的方式来扩散、繁衍，所以一般网安软件及设备商，多半建议以防火墙的方式来防堵并关闭其入侵的通讯端口。而赛门铁克更提出双向防火墙的防堵措施，以防堵内部感染的BOT，所做的连外举动。
愿者上钩的特洛伊木马（Trojan Horse）
    什么是特洛伊木马程序呢？如果最近读者看了特洛伊电影的话，或许能够立即明了该软件的可怕性。它与特洛伊战争中，斯巴达英雄阿基里斯（Achillie）故意留下的木马外表一样无害、可爱甚至非常实用，目前网络上深受网友喜爱下载的共享软件、MP3及游戏，通常是特洛伊木马最喜欢伪装附着的对象。
    如果使用者不小心下载了这些内含木马的软件，那么显然就上了现代阿基里斯（黑客）的当了，使用者一下子就变成了待宰的特洛伊国王，使用者计算机中的软件档案、身份帐密等重要数据也成了黑客一心想掠夺的美女海伦（Helen）。特洛伊城的下场读者应该知道吧！那就是国破家亡的屠城，换句话说，读者最后可能面临数据被破坏、硬盘被格式化的悲惨结局。历史上称之为木马屠城记，而防毒业界则称其为「木马攻击」，而业界通常也把特洛伊木马称之为”攻击程序”（Exploit）。
    特洛伊木马与前述的病毒及蠕虫都不同，基本上它既不会自我复制、感染，也不会主动散播，只会自我装扮成令人垂涎欲滴的软件，等待愿者上钩的人。
    除此之外，在特洛伊木马家族中尚有后门程序（Backdoor）、间谍软件（Spyware）、广告软件（Adware）、拨号程序（Dialers）等，兹将一一介绍于后。
    ■后门程序（Backdoor）
    所谓后门程序，可以视为特洛伊木马的一种，一般来说，多半将具有远程访问能力的特洛伊木马称之为后门程序，而这类程序多半会扫描计算机中未曾修补的漏洞，以打开一道可远程操控的通讯端口，同时它还会更改计算机系统登录文件。 
    其实，最常见的状况是，骇客侵入系统后所植下（Drop）的特洛伊木马，才叫做后门程序，接下来黑客就会透过后门程序，远程操控被被予取予求的受害计算机。
    此外，也有厂商将后门程序，称之为主动式特洛伊木马，原则上，后门程序一样不会自我复制，也不会主动散播，只不过，目前的威胁及攻击多半采用混合式技术，也就是后门程序也会结合具有主动散播能力的蠕虫，或是具备感染力的病毒，所以具备了主动及繁殖的能力。不论如何，后门与木马，甚至与蠕虫、病毒的界线，已不像一开始时那么截然分明。
    1998年出现的Back Orifice，即为后门程序的显例，它只是Windows下的远程管理软件。 　
    ■间谍软件（Spyware）
    既然是木马，当然最后是要屠城、要破坏的，但如今，业界大致对于不具破坏力的间谍软件，也归类到特洛伊木马的类别中。
    原则上，Spyware并不会破坏使用者计算机中的数据或硬盘，而像是间谍一样地潜入使用者的计算机中，默默地监控记录并上传使用者的操作习性、网页浏览状况，甚或其它个人数据或档案。
    Spyware要如何潜入到使用者的计算机中呢？当然与木马一样，伪装潜藏在使用者最喜欢P2P下载的共享软件、MP3或游戏之中。所以Spyware并不会主动散播，也不会感染程序。此外，所谓击键记录器（Keylogger）指的就是Spyware。
    ■广告软件（Adware ）
    纯粹的Adware只会跳出广告看板，但为了让广告主能够长期追综、收集在线广告的点阅状况，甚至点阅者的操作习性及浏览兴趣等信息，多半会在Adware中加入Spyware。所以目前Adware与Spyware已是一体两面，难以严格区别了。
    ■拨号程序（Dialer）
    拨号程序属于特洛伊木马的一种，如果使用者喜欢上网逛色情网站那么就得小心了，因为会色情相关或其它好康软件的服务网站中，可能潜藏有这类的拨号程序。一旦使用者中了Dialer木马，该程序会自动连结到付费电话系统网上，如此一来，使用者的网络费可能会不知不觉地提高。
    ■恶作剧程序（Hoaxes） 
    基本上恶作剧程序会伴随垃圾邮件到处乱发，所以可分做两类，一种纯档、不含执行副档的垃圾邮件；另一种是是包含玩笑程序（Joke Program）在内的垃圾邮件。不论哪一种，基本上邮件内都不会包含任何的病毒码或恶意程序。即使是玩笑程序，也不会造成任何破坏，但可能会将使用者的桌面改成色情图片而造成困窘。 
    至于纯文件的恶作剧程序，可说极尽无聊、胡闹、夸张之能事，藉由一些怂人听闻的语句（例如”很不幸，因为你点阅了本邮件，所以恭喜你中毒了！”），或加上一些子虚乌有的网页连结，来达到吓人及恶作剧的目的。
    总而言之，纯粹的恶作剧程序不属于病毒、蠕虫或木马，所以不会感染，也不会主动传播。但网络上仍有结合木马、蠕虫的恶作剧邮件，所以基本的防护还是要建立。过去Y2K、Let””s Watch TV、Be My Valentine等垃圾邮件即为典型的恶作剧程序。
其它新兴威胁
    ■垃圾邮件（Spam）
    广义而言，只要是你不想看到的电子邮件，却一而再、再而三地寄来的皆可视之为垃圾邮件。相信目前大部分的人，每天打开信箱所收的信件中，可能有超过一半都是垃圾邮件，使用者还需要麻烦地进行”善后”，实在是件令人困扰不已的事情。
    由于电子邮件的便利性，除了一般通信、贺卡或商务用途之外，广告商、病毒撰写者及骇客都不约而同的看上这个极佳的传播媒介。「水能载舟，亦能覆舟」，虽然Email相当方便，但用来害人、图利也是极其方便。
    也因为如此，垃圾邮件遂成为了有害的病毒、蠕虫、木马的温床，也成为了扰人的恶作剧程序、广告软件、间谍软件的载具。
    ■网络钓鱼（Phishing）
    网络钓鱼可说是目前网络上最新的诈骗手法，Phising一词，结合了飞客（Phreak）及钓鱼（Fishing）两个字。所谓飞客，是与黑客（Hacker）有所不同的，一般黑客主要目标是个人计算机中的数据或企业组织内部的机密，但飞客的主要目的则是极尽所能地免费打长途电话或行动电话。不论如何，两者都是透过电话网络从中图利。
    所以Phising就是透过电话网络，等待被钓到的人，然后从中图利的意思，不过，同样是基于”愿者上钩”原理，网络钓鱼的名称比起特洛伊木马似乎更来得直接、贴切。在此另外要强调的是，虽然Phising的字源之一来自飞客，但它并非是飞客的专属工具，不论黑客或有心人士都有可能利用它来作案。
    通常Phising是以垃圾邮件做为诈骗的媒介，并会伪装成政府、金融单位或拍卖网站的来信，要求依照邮件上的网页连结来更新客户数据，并从中窃取客户的机密数据，例如金融卡密码或信用卡账号等，进而导致使用者的银行存款被盗领，信用卡被盗刷。
    最可怕的是，Phising邮件及连结的网页，与真实被模仿的金融组织、政府机构或拍卖网站的邮件格式、商标、网页连结，乃至网页层次结构都一模一样，所以受害者可能无法警觉到有何异状。
    由这点来看，笔者非常怀疑Phising的手法是仿自于蜜罐诱饵技术（Honey Pot）。Honey Pot原为政府机构、研究组织或网安厂商为了追综骇客犯案手法的一项技术，该技术是建立一个与真实网站相似的假网站，用以引诱黑客「入侵」，并从中观察黑客的技术、手法及破坏等模式。令人哭笑不得的是，过去原本要”引狼入瓮”的假网站技术，如今却被用来诈骗一般人的机密数据。
    一个有心害人图利的黑客，当然是极尽所能、毫不客气，所以Phising通常会结合其它的技术来达到多重的目的，例如在网页上内嵌恶意Script程序，让使用者不经意点阅时中毒，并在使用者计算机系统植入后门程序或BOT程序。
    总而言之，如今网络上的威胁是多样化的，所以也需要多层次的防御体系的建立才能因应。目前网安及防毒厂商也开始在其产品及服务中加入多功能及主动式防御的概念及技术，以因应诡谲多变的恶意及黑客攻击。就各家新版的防毒软件而言，目前也陆续导入防网络钓鱼、防垃圾邮件的新功能。不论如何，身处如此险恶的网络环境中，除了应有的辅助工具之外，最重要的还是安全意识及观念的建立，如此才有进一步防范的动力。