早自过去的档案型、开机型或宏型病毒,即开始采用加密、压缩、自我编码、变体引擎(McTation Engine或Polymorphic Engine)、更名感染等技术,藉此逃避防毒软件的侦测及追捕。这些病毒自我防御技术,仍为目前流行的恶性程序所沿用。
历史悠久的自我防御技术
早自过去的档案型、开机型或宏型病毒,即开始采用加密、压缩、自我编码、变体引擎(McTation Engine或Polymorphic Engine)、更名感染等技术,藉此逃避防毒软件的侦测及追捕。这些病毒自我防御技术,仍为目前流行的恶性程序所沿用。
除此之外,一些恶性程序还具备自我检查及反防毒软件(Anti-Antivirus)的能力,他们会在计算机被启动的同时,卸载系统中的防毒软件或防火墙软件。
不过,目前恶性程序的发展趋势似乎有了转变,虽然过去的自我防御功能仍继续沿用,但已非关注的重点。
反之,这些恶意程序不再在乎是否能被防毒软件或其它安全配备侦测阻挡,因为再怎么防,不用多久,资安厂商仍很快就有因应措施及解决方案的推出。所以他们追求的重点已转变成「快、狠、准」,也就是尽可能地在最短的时间内,以迅雷不及掩耳、秋风扫落叶的方式,造成一定的影响或达到一定的目的。也因为如此,许多恶意程序甚至设定自我毁灭时间。
令人眼花撩乱的庞大变种
变种的老祖宗应该可以上溯自1997、98年间甚为流行的千面人病毒(Polymorphic/Mutation Virus),该病毒具备自我编码的能力,每感染一个档案,其病毒码都不一样。基本上,千面人应归类成多形病毒的一种。
虽然千面人病毒具备变幻莫测的外表,但它仍有破绽,就是每个变换后的病毒码,其程序开头都相同,所以仍然有迹可循。为了解决这个问题,网上遂有了.OBJ的变体引擎子程序供人下载撰写多形病毒。总之,由于变体引擎及病毒原始码的公开,所以各式各样的变种因而斥充在网络上。
如今的恶性程序除了展开全球性传播的"水平繁衍"外,并藉由不断的变种进行延绵好几十代的"垂直繁衍"。更可怕的是,这些恶性程序还结合不同的混合式攻击技术,让每代的变种各具不同"邪恶"特性及破坏力,或是每隔一代海纳百川地加入新的"毒术"。
过去病毒多半接续个两三代就"over"了,如今恶意程序传宗接代的能力一个比一个强,动辄几十代,甚至打破30代大关,例如培果病毒(Bagle)到目前为止共有37代变种,实在惊人。
若以平均天数来看,早先的顽皮熊病毒,从2002年10月第一代出现起,到2004年9月第四代止,大约平均每176天才推出新的变种。如今像是Bagle、MyDoom、NetSky及Korgo等蠕虫,平均不到10天就推出新的变种。其中,最可怕的莫过于Korgo蠕虫,在短短三个月多内,就接连繁衍出高达27代的变种,换句话说,其不到3天就变种一次。
感觉起来,这些恶意程序彷佛在比谁的生育率比较强似的,事实上Bagle、Netsky和MyDoom的确一直在互别苗头,不但相互争夺变种的数目高低,甚至相互攻击(例如Bagle变种专砍Netsky,而Netsky也专门找MyDoom下手)。
乱"件"齐发的垃圾邮件
对于恶意程序而言,电子邮件彷佛就是其增加其功力的大补丸。为了达到最终感染及传播的目的,黑客多半会采用社交工程学(Social Engineering)来引诱收信者打开附件或连结,进而启动或下载攻击程序。此外,过去也有不少病毒邮件,进而发展出不用开启邮件及附件,只要浏览就会中毒的技术。
在信件传播方面,由于采用微软讯息应用程序接口(MAPI)来发病毒邮件,很容易会被防毒软件拦截到,所以黑客多半都会改用专属的SMTP外寄邮件服务器,绕过防毒软件的拦截网来发送病毒信。