關於加密病毒新變種......（一）－小白的部落格

詳情請參閱http://www.zdnet.com.tw/enterprise/topic/security/0,2000085717,20129979,00.htm ,此為ZDNet的新聞。

　　在這個日新月異的資訊時代，病毒進步的比想像的還要快速，令電腦新手聞之喪膽，令電腦老手手足無措的電腦病毒又再進化了；在看完ZDNet的新聞後，病毒的形式已經從以前的純粹破壞或者是展示個人在電腦方面的專長，演變成今日的利用這方面的專常賺取不義之財了。

　　我先以我個人的認知來對大家解釋一下文章中說的［加密病毒］，文章中明顯的指出加密病毒主要是靠網路去傳染的，而它本身會自動尋找中毒電腦裡某些特定的檔案，來進行加密，而使用在要開啟該檔案時，則會自動顯示檔案已加密，除非進行某些步驟，才可以進行解密去開啟使用檔案，所謂的某些步驟，可能是要求你付款來買某種解密程式，或者是瀏覽某些特定的網頁（自動下載不知名程式or記錄你的帳號+ip），又或者是另外下載程式來執行（木馬程式）......等，這又會是另外一個中木馬的迴圈。

　　現在的“怪客（Cracker)技術"，以現在大多的機密網站（如網路郵局、銀行網站、遊戲網站、更或者是一些需要登入帳號的網站），大都會採用傳輸加密的技術去保護資訊傳輸的安全，以比較平常用的到的奇摩信箱服務說明好了，大部分使用者如果有注意本身帳號的安全性，如：使用複雜性的帳密、時常更換密碼、不隨意下載不明的程式使用、常保持防毒軟體及防火牆的更新、不隨意在網咖、公司等公共場所使用自己登入帳號，基本上帳密被盜的機率是很小的，除非......怪客使用的是暴力破解的方式或者是社交手段去取得。
　　
　　至於這兩種的意思如果不懂的，煩請自行上搜索網站找一下，重點是這兩種方式都有相對的困難度，以最常使用的暴力破解來說，如果“它”所使用的字典檔不夠詳細，或者是網站對於登入錯誤達幾次以上會自動鎖帳號，或者是對於登入ip登入錯誤達幾次以上會自動鎖IP，這樣“怪客”們只能花更多的時間去建造字典檔，或是登入幾次就自動轉換自己的ip,而使“怪客”們知難而退，因為聰明的”駭客“不會讓自己處於容易被查到的處境之下，也相對的會自動放棄。

　　本文的重點在這，現在“怪客”們也很聰明的利用加密這項技術來達到他們目的，但是他們又是如何利用這點呢？我怎麼有看沒有懂？乖......聽小白叔叔慢慢說給你聽，以現在的郵件病毒所挾帶的病毒，“大部份”為壓縮過的自動解壓縮檔，因為防毒程式是依靠病毒碼去判斷是否為病毒的，當病毒本身被壓縮過後，原本病毒本身的病毒編號，就像是隨便分配座位般變化，也相對導致病毒編號跟防毒軟體本身的病毒碼不同，所以防毒軟體當然掃不到任何病毒，但也許你又會問我說：［但是我硬碟裡的壓縮檔裡面的檔案，有些程式有病毒也會被掃出來啊！怎麼跟你說的不一樣？？？］。我這樣說好了，有些防毒軟體本身可以設定自動掃描壓縮檔到底下的第幾層目錄，而掃描的過程則是自動解壓縮到系統的暫存資料夾，然後再去進行比對，因為病毒檔被解壓縮出來了，病毒編號又變成原來的樣子，所以防毒軟體當然可以掃的到。但是如果遇到壓縮檔有設定密碼，或者是藏在十幾層目錄底下,而這樣又已經超過防毒軟體預設的層數,也當然防毒軟體會自動忽略過去而掃不到。
　　