一. 传统开机型病毒: 纯粹的开机型病毒多利用软碟开机时侵入电脑系统,然後再伺机感染其他的软碟 或硬碟,例如:STONED 3 ( 米开朗基罗)、DISK KILLER、HEAD ELEVEN。目前市面上 大多数的防毒、扫毒程式均可预防此类病毒,一般电脑用户对於此类病毒最好的预防 方式,即是避免使用外来软碟开机。   以1990年以後出品的AMI BIOS而言,就已经提供了设定由硬碟开机的功能,足可 令电脑用户避开此类病毒的侵扰。使用者於电脑开机时,压 键即进入 BIOS的设定,其中选择 将游标移至选项,设定,即完成了由硬碟开机的设定。 二. 隐形开机型病毒: 此类病毒的开山始祖,首推(C)BRAIN,凡是为此病毒感染之系统,再行检查开机 区(PARTITION TABLE & BOOT SECTOR), 得到的将是正常的磁区资料,就好像没有中 毒一般,此型病毒较不易为一般扫毒软体所查觉,而防毒软体对於未知的此型病毒, 必须具有辨认磁区资料真伪的能力。 此类病毒已出现的尚有FISH、NOVEMBER 4。 三. 档案感染型兼开机型病毒: 尽管防毒观念中强调,避免使用外来的软碟开机,但是仍仅能预防上述两种开机 型病毒,档案感染型兼开机型病毒则是利用档案感染时伺机感染开机区,因而具有双 重的行动能力,此型较着名的病毒有 CANCER、HAMMER V ,目前市面上的防毒扫毒软 体多能侦测出此类病毒。 四. 目录型病毒: 本型病毒之感染方式非常独特,DIR2即其代表,此类病毒仅修改目录区( ROOT ), 便可达到感染的目的。由於其修改目录区混淆DOS 的档案作业,并不须去感染真正的档 案,可想而知病毒作者的功力相当高。而市面上之防毒软体皆能防止此病毒,但面对此 型之新病毒,则仍有待考验。 五. 传统档案型病毒:   档案感染型病毒最大的特徵,便是将病毒本身植入档案,使档案膨胀,以达到散播 传染的目的。此型病毒的代表有 13 FRIDAY、SUNDAY。除扫瞄式防毒软体不具侦测未来 毒之能力外,其它如加值总和式、移植检查式、人工智慧式皆能顺利栏截。 六. 千面人病毒:   千面人病毒乃指具有自我编码能力的病毒,1701下雨病毒、FLIP、4096为主要的代 表,此种病毒编码的目的,在使其感染的每一个档案,看起来皆不一样,干扰扫毒软体 的侦测,不过千面人病毒再怎麽会编码,仍会留下一段完全相同的程式开头,所以各类 侦防病毒之软体,均能利用其留下的这个小辫子,将其绳之以法。 七. 突变引擎:   有监於千面人病毒一个接一个被逮着,便有人写出一种突变式病毒,使原本千面人 病毒无法解决的程式开头相同的问题,加以克服,并写成 OBJ副程式,供人制造此型病 毒,此即 McTation Engine、Polymorphic Engine,但是尽管如此,这型病毒仅干扰了 扫毒式软体,对其它方式之防毒软体并没有太大的影响。 八. 隐形档案型病毒: 有越来越多的迹象显示,隐形感染可避开许多防毒软体的侦测,因为隐形病毒能直 接植入DOS 的作业环境中,当外部程式呼叫DOS 中断服务时,便同时执行到病毒本身, 使得病毒能从容地将受其感染的档案,粉饰成正常无毒的样子。   此型病毒有4096、512 及最近流行的DREAMING KING ( 即第三波129期介绍的 T4 virion病毒 ),其成功的取得DOS 的原始中断,令各种加值总和式、移植检查式之防毒 软硬体毫无感觉,而扫瞄式防毒软体更是无从侦测,是一种难缠的新型病毒,看来侦测 此种病毒,唯有依赖智慧型的方式了! 九. 终结型病毒: 虽然隐形式病毒是一种难缠的病毒,但是与终结型病毒相比,却又厚道许多,因为 病毒不论感染、常驻、延迟、占满磁碟空间,都不若破坏磁碟资料来的可怕,而此型病 毒也让许多防毒软体束手无策,甚至避而不谈。究竟此毒有何可怕之处呢?原因就是此 毒能追踪磁碟操作中断之原始进入点,当病毒取得磁碟原始中断时,病毒便可任意在磁 碟上修改资料或破坏资料,而不会「惊动」防毒程式,这也就是说,有装防毒程式和没 装防毒程式,一样危险。   这类病毒有的采用INT 1单步执行的方式,逐步追踪磁碟中断的过程,找出BIOS之 磁碟中断的部份,供病毒内部使用;有的采用死记的方式,记录几个BIOS版本之磁碟中 断原始进入点,当病毒遇到熟悉的BIOS版本,便可直接呼叫磁碟中断,对磁碟予取予求 ;有的则分析磁碟中断的程式片段,找出BIOS中的相似部份便可直接呼叫磁碟中断,显 然侦防此型病毒是防毒程式的必备条件,目前市面上有此侦测能力的仅有一家。   终结型病毒的代表作有Hammer 6、NCU_LI、MACGYVER( 马盖先 )等。其中值得一提 的是马盖先病毒,此毒因害怕为某些防毒软体侦测出来,特别记录如果遇到 SCAN、 CLEAN、ZLOCK,等防毒软体时,便乖乖的不动作,但是其直接驱动磁碟中断的部份,仍 然为ZLOCK 所侦测出来。 十. WORD巨集病毒: WORD巨集病毒可以说是目前最新的病毒种类了,它是文件型病毒,异於以往感 染磁区或可执行的档案为主的病毒,此类型之毒是利用WORD提供的巨集功能来感染 文件。目前以经在INTERNET及BBS网路上发现了不少巨集病毒,而且此类型病毒是用类 似BASIC的程式写出来的,很容易学。想必发展速度一定很快。 发信人: ggreat@ms6.hinet.net (金帅ZLOCK), 看板: virus 标 题: E-mial 的Good Times 病毒是真是假? 发信站: 金帅资讯科技有限公司 (Fri Nov 22 05:34:26 1996) 转信站: maple!news.cs.nthu!thccx4!news.cc.nctu!serv.hinet.net!netnews.hinet.net E-mial的Good Times病毒是真是假? 最近透过广播与网路新闻获得一则消息,报导发现了一种新的网际网路 E-mail病毒"Good Times"(快乐时光),只要读取E-mail信件,即有可能中毒。 这消息到底是真是假呢? 据金帅资讯研发部表示:查证後之结果,这种病毒已不可能再对现今的网际网路 E-mail系统造成危害了。早在1988年以前,UNIX系统的确具有一项功能可以在 读取E-mail信件时,自动执行信件内容中的程式码,因此就让病毒有可趁之机, 利用这个功能而造成网路上的危机。最有名的一个例子,就是康乃尔研究生 Robert.T.Morris(罗伯特.莫礼士)写了一个自动发信的病毒程式码,夹带在其发出 的E-mail信件中,使所有收到这封信的人在读取时不知不觉的将病毒启动,而让 病毒重覆感染於所有来往的信件中,并自动对所有的E-mail帐号发出病毒信件, 硬碟中的资料也可能会被破坏,所以到最後终於造成整个网路的瘫痪。 自从发生这种案例之後,网际网路上UNIX系统已全面的改版,取消这种自动启动 的功能,因此像此类的病毒已不可能在现今的网路上又造成同样的危机。 以下是由金帅所取得的Good Times原始文件内容摘要: 「若收到一封标题为"Good Times"的文件,不要读它,并立刻删除,请小心, 并再将此信传给所有关心你的人。FCC在对所有Internet用户提出警告, 一个能透过Internet E-mail传染,更甚於Stoned,Airwolf ,Michaelangelo的 E-mail病毒正透过Internet传播。一旦电脑中毒,硬碟会被破坏, 处理器也可能损坏。此程式具有寻找收发信件中内含的E-mail Address 再自动将程式发出。」 此信件在网路上流传已近两年,从来没有人中过此病毒,而其流传主要系文中提到 「请传给所有关心你的人。」以致造成以讹传讹,希望网友在了解以上内容後, 下次再收到此信件时可不于理会。 金帅资讯对此封信的内容表示「网际网路E-mail病毒"Good Times"纯属杜撰」。 根据美国NCSA对此病毒的说明为"The "Good Times" email virus alert,which is a false alarm,continues to circulate,wasting countless hour in offices around the world." (关於"Good Times",是一个错误的警讯,并在全球浪费了无数的时间) 其他如Symantec亦对此病毒表示"This virus is a complete hoax." ( 此病毒完全是在恶作剧)。 不过,现在的E-mail信件中有一项随信附带档案的功能,这个档案可以是 执行档,也可能是WORD的文件档,只要您收到类似的信件,若没有防毒程式 或WORD防毒巨集的话,就不要冒然的去执行解开後的档案,以免又不知不觉中毒了。