延陵電腦病毒志 
Computer Virii Ngiana

《病毒誌 Virus Bible》: 電腦病毒研究十周年紀念 [1992 ~ 2002]

《病毒誌 Virus Bible》的病毒程式碼 (延陵圖書館藏, 1991)

《病毒誌 Virus Bible》樣本磁片

研究目的

配置了互聯網的電腦系統, 幾乎毫無例外地說: 已經落入電腦病毒返置的羅網之中, 被感染或被利用作傳播媒體的遭遇是隨時發生的, 使用抗毒軟體無疑是奏效的, 但是最有效抗擊入侵的方法還是收集病毒進行研究, 了解其運作, 從而作出有效的防禦, 可確保延陵科學綜合室的網站的正常運作。

從本室格物研究組收集及分析病毒以來, 蒙各方君子善意提供樣本, 藉此鳴謝!
與此同時, 不乏有惡意攻擊本站者, 當然他們的行徑會被追尋, 但畢竟需要多謝他們間接為我們提供樣本及統計資料。
希望各位為本站的善意的病毒樣本提供者, 以附件(最好先把被感染程式進行ZIP壓縮)後以電子郵件傳送至:

virus@ngensis.com

電腦病毒進化論

引導型病毒 (開機型病毒)
本室自九二年起開始分析電腦病毒, 當時病毒來源多為非法拷貝的軟體, 電腦遊戲更是病毒溫床, 大量引導型病毒(Boot sector virus)及其變種隨軟磁碟傳播至各處的電腦系統, 從電腦病毒史上最原始的無害性, 且感染5英吋低密度軟磁片的品種(c)Brain, 到感染且破壞硬式磁碟機軟體結構的病毒Disk Killer, 此外以Stoned病毒為始祖的新種活躍於92~95年間, 代表種為米開朗基羅病毒(Michaeolangelo Virus) 引導型病毒的進化速度令人驚嘆!

引導型病毒有一致命的弱點為它們必須隱藏於磁片的特定位置 ~ 引導區, 它們靠改寫磁片結構存活, 熟練的分析者甚至以十六進制映照引導區, 從肉眼觀看程式碼便一目了然, 隨抗毒軟體的發展, 這類型病毒於97年後便逐漸式微了。

光碟片的顯微結構: A~C 塑膠外圈 E. 軟體資料區 

檔案型病毒
(COM及EXE型):在引導型病毒橫行的同時, 檔案型病毒(非加密型)如星期日病毒(Sunday Virus)及臺灣三號病毒(Taiwan 3 Virus)大量感染電腦系統, 它們主要依附在命令檔(COM)及可執行檔(EXE)中, 不需對磁片結構進行改寫便可肄意傳播及破壞, 但是, 它們很容易被 "餌誘程式" 捕獲并進行提純, 以反匯編(Deassembly)還原成病毒程式進行分析, 隨著互聯網的興起, 檔案型病毒演化為各種形式, 它們的後代成為現時滋擾性最強的主流。

(巨集型):透過WINDOWS 應用程式之巨集語言來散播。多數病毒感染 MS Word 或 MS Excel 文件。被感染的巨集文件而抗毒軟體清除後重新使用時，可能會出現 "illegal operation"（(如 MS-Word)） 的錯誤訊息。這種因病毒已破壞了原文件的結構所致。

(特洛依木馬型病毒):特洛依木馬以荷馬長詩《奧德塞》中木馬屠城故事中的特洛依城而得名。這類病毒一般無感染性, 是一種會擅自進行被未授權執行動作的程式，輕微者可以顯示奇異的訊息; 嚴重者可以刪除檔案或甚至將磁碟格式化。

(其他類型):以 script 程式語言(VBScript 及 JavaScript)撰寫而成。這類病毒輕易而舉從互聯網及電子郵件進行傳播, 按用者從安裝有script 功能的瀏覽器檢視網頁(HTML檔案)時，內嵌 script病毒便會自動執行, 且進入使用者的系統中。

(電腦蠕蟲病毒):是一單元程式或是程式組, 它們能其中一部份功能組藉被感染的系統的互聯網或電子郵件的串聯自動傳播到其他戶系統中, 從而使被感染系統呈幾何級數增加。

電腦病毒不斷隨技術而演化, 似乎是無法抑止的。

 電腦病毒恐慌 Computer Virus Hoax

這是一種利用電腦作業系統的特殊運作而產生現象, 造謠者透過電子郵件向電腦用戶發佈: 故意將之與病毒發作對系統的影響連上關係, 并聲稱為病毒所為, 用戶按其所示檢查後, 確信是非系統正常的表現, 由於沒有解除"病毒"的方法, 很多人可能乾脆把硬盤重新格式化, 這種利用使用者對作業系統的不了解, 產生"杯弓蛇影" 的恐懼, 從而把自己系統數據消滅, 這種惡作劇的破壞性與病毒相仿, 但是,它不是病毒作怪, 而是心理作祟而矣!

JDBGMGR.EXE 病毒恐慌

迄今為止, 本室祗收到一個病毒恐慌,  JDBGMGR.EXE 是 Microsoft Windows 系統中 Microsoft Java runtime machine 內負責 Java 偵錯及管理的預設安裝的工具程式, 它的圖標(icon, 見下圖)是一隻灰熊, 不難理解, 很容易使人和近時出現的熊熊蟲病毒(BearBug Virus)搭上關係, 而電子郵件的內容為:

I found the little bear in my machine because of that I am sending this message in order for you to find it in your machine. The procedure is very simple: 

The objective of this e-mail is to warn all Hotmail users about a new virus that is spreading by MSN Messenger. The name of this virus is jdbgmgr.exe and it is sent automatically by the Messenger and by the address book too. The virus is not detected by McAfee or Norton and it stays quiet for 14 days before damaging the system. 

The virus can be cleaned before it deletes the files from your system. In order to eliminate it, it is just necessary to do the following steps: 
1. Go to Start, click "Search"
2.- In the "Files or Folders option" write the name jdbgmgr.exe 
3.- Be sure that you are searching in the drive "C" 
4.- Click "find now" 
5.- If the virus is there (it has a little bear-like icon with the name of jdbgmgr.exe DO NOT OPEN IT FOR ANY REASON
6.- Right click and delete it (it will go to the Recycle bin) 
7.- Go to the recycle bin and delete it or empty the recycle bin. 

接到恐慌郵件的用戶或許要通知其他親朋, 可能把原訊息翻譯成各種語系文字, 恐懼蔓延速度很快:

我有找到這個透過E-mail傳的病毒檔案在我的存在ｃ槽，所以請你們每個硬碟和資料夾都要找找看哦！！
請大家注意， 我收到一個經由”通訊錄”傳染的病毒「jdbgmgr.exe」， norton2002也掃不到，因為你們都在我的”通訊錄”中， 所以我想你們應該也中毒了。剩幾天就會毒發，會破壞整個硬碟， 請趕快把它消掉！
1.到”開始”，按”尋找”，然後選”檔案或資料夾”。
2.鍵入”jdbgmgr.exe”，然後按”開始尋找”。
3.若找到這個檔案前有一隻小熊圖案，千萬不要開啟，
趕快按滑鼠右鍵，然後按”刪除”。
4.再到”資源回收筒”去清空，確定清除後，
趕快把這封信轉寄給你的通訊錄中的所有人，要快，要不然會很慘。

用戶按上指示刪除了檔案, 心思較為細密的人總會看看被刪除之後的檔案會怎樣,  WINDOWS 2000及 NT用戶便會發現: 被刪除的檔案隨即又再出現在系統子目錄(WINNT\SYSTEM32)中, "病源"仍在威脅自己, 下一步的行動 ~ 重新格式化硬盤的即將執行, 如果便是造謠者的目的所在了! 其實, 製造謠言的人目的是要用戶刪除上述檔案, 如果使用windows 2000 / ME系統, 會發現此檔案不能被刪除(因上述系統有檔案保護功能, 可以自動修復這個檔案),當用戶看到上述情況時更以為是毒入膏盲, 可能因而重新更新系統, "病毒"製造者便可得逞, 這個巧佈的"天仙局", 可謂周瑜施計, 蔡, 張二人死於曹操的手下, 妙絕!!!

本室已知的所有電腦病毒(及其變種)

病毒分析技術 (92~97年,適用於原始類型)

實驗前的防範措施

病毒程式皆有破壞性, 多數還具傳染性, 對系統的軟體以至硬體有一定的傷害. 非必要時, 一般不要進行實驗!
如需進行實驗時, 務必注意下列各項:

1) 先將有用數據及資料與毒源隔離。
2)所有實驗硬碟/軟碟於工作完畢時立即重新格式化, 以防感染。
3)不準將電腦病毒胡亂擺放, 未經同意, 不能拿離延陵科學綜合室範圍。
4)不能利用電腦病毒作有意識的惡性傳播。

引導區型病毒

引導區型病毒的分析

病毒檔案類型: 很多引導區病毒僅佔引導磁簇(Boot Sector), 長度最大為512字元, 但某些病毒長除了在引導區安裝程式碼(病毒頭部)外, 它還便刻意在某磁區中以壞磁簇標記於目錄區中, 以防正常的數據寫入, 并把病毒碼(身體部分)佔據此等磁簇, 首尾呼應達到感染; 安裝及破壞等效果。 

分析時首先了解病毒除了佔據引導區內容外, 是否仍有身體部分, 使用 DISKEDIT (Norton Utilities)把受感染磁片的引導區內容(512字元)以文本檔儲存, 反編譯以上內容, 以確定病毒程式的大概流程, 如病毒仍有身體部分, 務需將其在磁區的內容進行存檔及反編譯。

引導區型病毒的收集及儲存

把病毒載入實驗系統中, 并使重新格式化(以DOS命令: FORMAT /S)的空白磁片感染該病毒, 成功後把磁片進入無毒系統中使用DISKEDIT.EXE程式, 利用OPTION的Drive...或File...,把整個病毒磁片內容匯入映射檔中儲存。

需要使病毒活化時, 使用上述公具程式中Tools的Write object to..中的to sectors..., 選擇磁碟機,指定由零(0)磁區起拷貝,直至全映射檔完成為止。

亦可使用HDR.EXE將擴展名為IMG的磁區映象檔案拷貝回復至磁片中。

附 註

因引導區型病毒必需以病毒碟啟動系統, 才保證該等病毒被活化,故此, 病毒碟能否順利引導開機, 此乃實驗的關鍵所在。　

文件型病毒

執行被感染的程式便直接把病毒載入系統, 并可能感染絕大多數可執行檔。

病毒的誘餌及純化

首先以匯編語言製作極小的命令檔(COM, 稱為誘餌檔), 該檔案僅5字元至數十字元, 或五百多字元長度的可執行檔(EXE), 實驗開始時直接啟動有關檔案即可活化病毒, 之後執行誘餌檔, 病毒以為是一般用戶程式而依附其中, 由 DIR 命令對比感染前後檔案長度的差異便可知病毒是否被誘。

誘捕完成後, 其純化的病毒檔必須能順利運作且能感染正常COM 或 / 和 EXE檔方告成功。

製作零字元的COM檔, 此檔可誘捕病毒, 由於缺乏正常COM檔的完整結構, 故不能運行, 但作為反編譯的目的檔案, 可以獲得較易於分析的病毒原始檔案。

分析實例 : ming.clme.1528 病毒

1995年2月14日, 延陵盈月電腦系統運行時出現問題: 一些較大的程式執行時出現"除算溢出(DIVIDE OVERFLOW)"的錯誤訊息, 初時, 研究室人員以為硬體或軟體配置問題, 遂進行CMOS重新設定, 系統檔重建, 記憶體最佳化之工作, 但依然無所改善。 此時, 不得不考慮乃病毒作祟; 分別以SCAN, F-PROT 及 TBAV偵測, SCAN 作陰性反應, 後二者作陽性但僅以不知名病毒(UNKNOWN VIURS)作報告, 無法成功清除, 雖然如此, 延陵對此病毒可將研究作下列各點結論:

甲) 與一般檔案型病毒(FILE VIRUS)結構不同, 該病毒屬非常駐型。
乙) 利用程式炸彈(PROGRAM BOMB)原理, 以EXE擴展名檔案作感染目(COM檔不被感染)。

每執行一次帶毒程式, 至少會感染一個EXE檔, 請閱下列例子:

病源程式: !VIRUS!.EXE
以匯編語言製作的最小型EXE誘毒檔(刻意令病毒感染在具簡單程式碼的檔案中, 方便抽取病毒碼, 進行分析.)
本病毒由宿主 ATTRIB.EXE 感染原來長576字節(BYTES)的誘毒檔而得。

TEST1.EXE; TEST2.EXE; TEST3.EXE 及 TEST4.EXE 為實驗檔.

未執行病毒時:

第1次執行病毒:

第2次執行病毒:

第3次執行病毒:

當目錄中出現不合法EXE檔時, 例如以COPY CON XXXX.EXE 所製作的假EXE檔或正常EXE

受到病毒破壞而不能載入記憶體時, 即出現 DIVIDE OVERFLOW 錯誤而中止!

幾種原始的電腦病毒概述

一)  巴基斯坦大腦病毒 (C)BRAIN VIRUS

別名: (C)Brain病毒
延陵發現年份:1991

徵狀: 僅感染360k低密磁盤, 而且可能祇可以運行於80286微處理機系統中(於Pentium 系統運行失敗!)。被感染磁盤的卷標(volume)會命名為(C)BRAIN, 因而為名。

病毒分引導部分及"病原"部分, 前者長度為512字元;後者為3072字元.為了隱藏後者,病毒會"刻意"將其隱藏磁區定義為壞簇, 以避開用者資料的覆蓋。 感染該病毒的系統不會有明顯的影嚮, 因此是一種良性病毒。

為PC系統中最原始,世上唯一具真正作者署名的電腦病毒。

1992年,延陵對該病毒曾作過較詳細研究, 結論如下: (80286, 2MB RAM系統) "當刻意地改變引導區的信息內容時,會致病毒的運行癱瘓;或無感染之能力. 常駐於內存的病毒, 雖然僅感染360K磁碟(DIR命令後3~4秒即完全感染過程)......"

[擇自: 病毒誌VIRUS BIBLE, 延陵電腦系統貳號, 澳門, 辛未年(1991)冬])

二)結石/合法大麻病毒

別名: 能感染 360K; 1.2M 及硬盤
延陵發現年份: 1990年7月,為延陵最早發現的電腦病毒.

徵狀: 長度僅512字元, 乃米開蘭基羅病毒的原始形式, 當硬碟受感染無明顯破壞, 可能只會拖慢系統速度, 會當感染1.2M磁碟時, 由於病毒佔據第0磁區, 而把DOS原來的引導區移至第11磁區, 從而破壞了磁碟的文件結構。
病毒隨機性發作, 當條件適合時, 於系統開動時,CMOS啟動完畢後出現:

Your PC is now Stoned.

之後, DOS系統如正常般載入.

三) 磁盤殺手病毒 V1.00 DISK KILLER VIRUS V1.00

延陵發現年份:1992

徵狀: 於PENTIUM系統運行時,硬盤的軟體結構立即受到破壞。 隱藏方法如 (C)BRAIN,  由該病毒演化而來。 它除能感染 360K外; 還感染1.2M及硬盤,  作者的目的志在以軟盤作病毒載體, 主要欲破壞硬盤為實:  當硬盤被感染, 病毒立即設定計時器,  對硬碟的使用時間進行隨時紀錄, 關閉復啟動時將使用時間疊加,  直至當累加值為40小時 , 即倒數值為00H時, 病毒徵狀立即發作,  硬碟的軟體結構遭到毀滅性破壞,病毒亦"同歸於盡". 此時, 衹看到下列畫面:

此病毒乃極凶狠品種!

四) 米開朗基羅病毒 MICHEALANGELO VIRUS

《新報》 1992年3月6日 報導: 米基朗基羅病毒今天爆發, 全球約5百萬部電腦受襲擊

延陵發現年份:1992

徵狀: 能感染 360K; 1.2M 及硬盤 ,平時潛伏於硬碟, 於3月7日發作 (此日為文藝復興時代意大利雕刻家米基朗基羅冥壽的紀念日), 硬碟的軟體結構遭到毀滅性破壞。

(c) 延陵科學綜合室, Acta Scientrium Ngensis, 2002, 2003.