项目2常见的病毒表现及防护

1、课题引入课题引入常见的计算机病毒常见的计算机病毒 计算机病毒的表现计算机病毒的表现计算机病毒的防范计算机病毒的防范课题引入课题引入项目背景项目背景病毒的产生病毒的产生1983 1983 年年 11 11 月月 3 3 日，弗雷德日，弗雷德科恩科恩 (fred cohen) (fred cohen) 博士研制出一种在运行过程中可以复制自身的博士研制出一种在运行过程中可以复制自身的破坏性程序破坏性程序( (该程序能够导致该程序能够导致unixunix系统死机系统死机）伦伦艾德勒曼艾德勒曼 (len (len adlemanadleman) ) 将它命名为计算机将它命名为计算机病毒病毒(comput

2、er viruses)(computer viruses)，并在每周一次的计算，并在每周一次的计算机安全讨论会上正式提出。机安全讨论会上正式提出。课题引入课题引入项目分析项目分析完成本项目需要解决的问题：完成本项目需要解决的问题： 有哪些常见的计算机病毒？有哪些常见的计算机病毒？ 不同的计算机病毒的表现形式如何？不同的计算机病毒的表现形式如何？ 如何对这些计算机病毒进行防范如何对这些计算机病毒进行防范？课题引入课题引入教学目标教学目标完成本项目需要实现的教学目标：完成本项目需要实现的教学目标： 常见的计算机病毒常见的计算机病毒（理解）（理解） 计算机病毒的表现（掌握）计算机病毒的表现（掌握）

3、计算机病毒的防范（重点掌握）计算机病毒的防范（重点掌握）课题引入课题引入应达到的职业能力应达到的职业能力 了解常见的计算机病毒了解常见的计算机病毒 掌握计算机病毒的表现形式掌握计算机病毒的表现形式 熟练掌握计算机病毒的防范熟练掌握计算机病毒的防范项目问题项目问题1 计算机病毒的定义计算机病毒的定义 计算机病毒一词是从生物医学病毒概念中引申而计算机病毒一词是从生物医学病毒概念中引申而来的。在生物界，病毒（来的。在生物界，病毒（virusvirus）是一种没有细胞）是一种没有细胞结构、只有由蛋白质的外壳和被包裹着的一小段结构、只有由蛋白质的外壳和被包裹着的一小段遗传物质两部分组成的比细菌还要小的病

4、原体生遗传物质两部分组成的比细菌还要小的病原体生物，如大肠杆菌、口蹄疫、狂犬病毒、天花病毒、物，如大肠杆菌、口蹄疫、狂犬病毒、天花病毒、肺结核病毒、禽流感病毒等。绝大多数的病毒只肺结核病毒、禽流感病毒等。绝大多数的病毒只能在显微镜下才能看到，而且不能独立生存，必能在显微镜下才能看到，而且不能独立生存，必须寄生在其他生物的活细胞里才能生存。由于病须寄生在其他生物的活细胞里才能生存。由于病毒利用寄主细胞的营养生长和繁殖后代，因此给毒利用寄主细胞的营养生长和繁殖后代，因此给寄主生物造成极大的危害。计算机病毒之所以被寄主生物造成极大的危害。计算机病毒之所以被称为病毒，是因为它们与生物医学上的病毒也有称

5、为病毒，是因为它们与生物医学上的病毒也有着很多的相同点。例如，它们都具有寄生性、传着很多的相同点。例如，它们都具有寄生性、传染性和破坏性。染性和破坏性。 项目问题项目问题1 计算机病毒的定义计算机病毒的定义 我们通常所说的计算机病毒应该是为达到特殊我们通常所说的计算机病毒应该是为达到特殊目的制作和传播的计算机代码或程序，简单说目的制作和传播的计算机代码或程序，简单说就是恶意代码。有些恶意代码会像生物病毒寄就是恶意代码。有些恶意代码会像生物病毒寄生在其它生物细胞中一样，它们隐藏和寄生在生在其它生物细胞中一样，它们隐藏和寄生在其它计算机用户的正常文件中伺机发作，并大其它计算机用户的正常文件中伺机发

6、作，并大量复制病毒体，感染计算机中的其它正常文件；量复制病毒体，感染计算机中的其它正常文件；很多计算机病毒也会像生物病毒给寄主带来极很多计算机病毒也会像生物病毒给寄主带来极大伤害一样，给寄生的计算机造成巨大的破坏，大伤害一样，给寄生的计算机造成巨大的破坏，给人类社会造成不利的影响，造成巨大的经济给人类社会造成不利的影响，造成巨大的经济损失。同时，计算机病毒与生物病毒也有很多损失。同时，计算机病毒与生物病毒也有很多不同，例如，计算机病毒并不是天然存在的，不同，例如，计算机病毒并不是天然存在的，它们是由一些别有用心的人利用计算机软、硬它们是由一些别有用心的人利用计算机软、硬件所固有的缺陷有目的的编

7、制而成的。件所固有的缺陷有目的的编制而成的。 个人电脑病毒个人电脑病毒1986 1986 年初，在巴基斯坦的拉合尔年初，在巴基斯坦的拉合尔 (lahore)(lahore)，巴，巴锡特锡特 ( (basitbasit) ) 和阿姆杰德和阿姆杰德( (amjadamjad) ) 两兄弟经营着两兄弟经营着一家一家 ibm-pc ibm-pc 机及其兼容机的小商店。他们编写机及其兼容机的小商店。他们编写了了pakistan pakistan 病毒，即病毒，即brainbrain。在一年内流传到了。在一年内流传到了世界各地。世界各地。世界上世界上公认公认的第一个在个人电脑上广泛流行的的第一个在个人电脑

8、上广泛流行的病毒通过软盘传播。病毒通过软盘传播。“蠕虫蠕虫” 莫里斯莫里斯19881988年冬天，正在康乃尔大学攻读的莫里斯，年冬天，正在康乃尔大学攻读的莫里斯，把一个被称为把一个被称为“蠕虫蠕虫”的电脑病毒送进了美国的电脑病毒送进了美国最大的电脑网络最大的电脑网络互联网。互联网。19881988年年1111月月2 2日下午日下午5 5点，互联网的管理人员首点，互联网的管理人员首次发现网络有不明入侵者。当晚，从美国东海次发现网络有不明入侵者。当晚，从美国东海岸到西海岸，互联网用户陷入一片恐慌。岸到西海岸，互联网用户陷入一片恐慌。cihcihcih病毒，又名病毒，又名“切尔诺贝利切尔诺贝利”，是

9、一种可怕的，是一种可怕的电脑病毒。它是由台湾大学生陈盈豪编制的，电脑病毒。它是由台湾大学生陈盈豪编制的，九八年五月间，陈盈豪还在大同工学院就读时，九八年五月间，陈盈豪还在大同工学院就读时，完成以他的英文名字缩写完成以他的英文名字缩写“cih”cih”名的电脑病毒名的电脑病毒起初据称只是为了起初据称只是为了“想纪念一下想纪念一下19861986的灾难的灾难”或或“使反病毒软件公司难堪使反病毒软件公司难堪”。冲击波冲击波年仅年仅1818岁的高中生杰弗里岁的高中生杰弗里李李帕森因为涉嫌是帕森因为涉嫌是“冲击波冲击波”电脑病毒的制造者于电脑病毒的制造者于20032003年年8 8月月2929日被捕。对

10、此，他的邻居们表示不敢相信。在日被捕。对此，他的邻居们表示不敢相信。在他们的眼里，杰弗里他们的眼里，杰弗里李李帕森是一个电脑天才，帕森是一个电脑天才，而决不是什么黑客，更不会去犯罪而决不是什么黑客，更不会去犯罪。“武汉男生武汉男生” 俗称俗称“熊猫烧香熊猫烧香”20072007年李俊制作该病毒。它是一个感染型的蠕年李俊制作该病毒。它是一个感染型的蠕虫病毒，它能感染系统中虫病毒，它能感染系统中exeexe，comcom，pifpif，srcsrc，htmlhtml，aspasp等文件，它还能中止大量的反病毒软等文件，它还能中止大量的反病毒软件进程并且会删除扩展名为件进程并且会删除扩展名为ghog

11、ho的文件，该文件的文件，该文件是一系统备份工具是一系统备份工具ghostghost的备份文件，使用户的备份文件，使用户的系统备份文件丢失。被感染的用户系统中所的系统备份文件丢失。被感染的用户系统中所有有.exe.exe可执行文件全部被改成熊猫举着三根香的可执行文件全部被改成熊猫举着三根香的模样模样项目问题项目问题2 dos病毒的表现病毒的表现dosdos病毒是指针对病毒是指针对dosdos操作系统开发的病毒，操作系统开发的病毒，它们是最早出现、数量最多、变种也最多的计它们是最早出现、数量最多、变种也最多的计算机病毒。由于算机病毒。由于windowswindows系统的普及，系统的普及，dos

12、dos病病毒几乎绝迹毒几乎绝迹一部分一部分dosdos病毒可以在病毒可以在win9xwin9x中进行传播和破坏，中进行传播和破坏，甚至在甚至在windowswindows的的dosdos窗口下运行。窗口下运行。毛毛虫病毒发作时在毛毛虫病毒发作时在dosdos系统的界面上。有一系统的界面上。有一只毛毛虫不停的走动。毛毛虫经过的区域，屏只毛毛虫不停的走动。毛毛虫经过的区域，屏幕上原来正常显示的内容被遮住了，同时幕上原来正常显示的内容被遮住了，同时dosdos系统无法进行正常工作。系统无法进行正常工作。 项目问题项目问题2毛毛虫病毒的表现毛毛虫病毒的表现引导型病毒引导型病毒 引导型病毒是指改写磁盘上

13、的引导扇区信息的引导型病毒是指改写磁盘上的引导扇区信息的病毒。病毒。 引导型病毒主要感染软盘和硬盘的引导扇区或引导型病毒主要感染软盘和硬盘的引导扇区或者主引导区，在系统启动时，由于先行执行引者主引导区，在系统启动时，由于先行执行引导扇区上的引导程序，使得病毒加载到系统内导扇区上的引导程序，使得病毒加载到系统内存上。引导型病毒一般使用汇编语言编写，因存上。引导型病毒一般使用汇编语言编写，因此病毒程序很短，执行速度很快。此病毒程序很短，执行速度很快。 例如例如stonestone、brainbrain、pingpangpingpang、monkeymonkey等等引导型病毒表现引导型病毒表现小球病

14、毒小球病毒小球病毒在系统启动后进入系统内存，执行过小球病毒在系统启动后进入系统内存，执行过程中在屏幕上一直有一个小球不停的跳动，呈程中在屏幕上一直有一个小球不停的跳动，呈近似正弦曲线状。近似正弦曲线状。 文件病毒文件病毒 文件型病毒是指能够寄生在文件中的以文件为文件型病毒是指能够寄生在文件中的以文件为主要感染对象的病毒。这类病毒主要感染可执主要感染对象的病毒。这类病毒主要感染可执行文件或者数据文件。行文件或者数据文件。文件型病毒是数量最为庞大的一种病毒，它主文件型病毒是数量最为庞大的一种病毒，它主要分为伴随型病毒、要分为伴随型病毒、“蠕虫蠕虫”型病毒和寄生型型病毒和寄生型病毒几种。病毒几种。

15、例如例如cihcih病毒、红色代码、蓝色代码病毒、红色代码、蓝色代码文件型病毒文件型病毒cihcihcih病毒很多人会闻之色变，因为病毒很多人会闻之色变，因为cihcih病毒是有病毒是有史以来影响最大的病毒之一。史以来影响最大的病毒之一。从从19981998年年6 6月，从台湾出现之后，月，从台湾出现之后，cihcih病毒引起病毒引起了持续一年的恐慌，因为它本身具有巨大的破了持续一年的恐慌，因为它本身具有巨大的破坏性，尤其它是第一个可以破坏某些电脑硬件坏性，尤其它是第一个可以破坏某些电脑硬件的病毒。的病毒。 cihcih病毒只在每年的病毒只在每年的4 4月月2626日发作，其主要破坏日发作，其

16、主要破坏硬盘上的数据硬盘上的数据, ,并且破坏部分类型主板上的并且破坏部分类型主板上的flash flash biosbios，是一种既破坏软件又破坏硬件的恶性病，是一种既破坏软件又破坏硬件的恶性病毒。毒。文件型病毒文件型病毒cih当系统的时钟走到了当系统的时钟走到了4 4月月2626日这一天，中了日这一天，中了cihcih病毒的计算机将受到巨大的打击。病毒开始发病毒的计算机将受到巨大的打击。病毒开始发作时，出现作时，出现“蓝屏蓝屏”现象，并且提示当前应用现象，并且提示当前应用被终止，系统需要重新启动被终止，系统需要重新启动 文件型病毒文件型病毒cih当计算机被重新启动后，用户会发现自己计算当

17、计算机被重新启动后，用户会发现自己计算机硬盘上的数据被全部删除了，甚至某些计算机硬盘上的数据被全部删除了，甚至某些计算机使用者主板上机使用者主板上flash romflash rom中的中的biosbios数据被清除数据被清除 文件型病毒文件型病毒cih虽然虽然cihcih病毒感染的是病毒感染的是windows95windows95、windows98windows98可执行文件的病毒，其威胁已经几乎退出了历可执行文件的病毒，其威胁已经几乎退出了历史舞台，但是史舞台，但是cihcih病毒给当时计算机界带来的影病毒给当时计算机界带来的影响是巨大的，而且由于其首次实现了对硬件的响是巨大的，而且由于

18、其首次实现了对硬件的破坏，对人们的心里造成的危害也是无法估量破坏，对人们的心里造成的危害也是无法估量的。的。文件型病毒文件型病毒红色代码红色代码红色代码病毒是一种网络传播的文件型病毒。红色代码病毒是一种网络传播的文件型病毒。该病毒主要针对微软公司的该病毒主要针对微软公司的microsoft iismicrosoft iis和索引和索引服务的服务的windows nt4.0windows nt4.0以及以及windows2000windows2000服务服务器中存在的技术漏洞进行对网站的攻击。器中存在的技术漏洞进行对网站的攻击。 服务器受到感染的网站将被修改。如果是在英服务器受到感染的网站将被修

19、改。如果是在英文系统下，红色代码病毒会继续修改网页；如文系统下，红色代码病毒会继续修改网页；如果是在中文系统下，红色代码病毒会继续进行果是在中文系统下，红色代码病毒会继续进行传播。传播。 文件型病毒文件型病毒红色代码红色代码宏病毒宏病毒宏是微软公司为其宏是微软公司为其officeoffice软件包设计的一个特软件包设计的一个特殊功能，软件设计者为了让人们在使用软件进殊功能，软件设计者为了让人们在使用软件进行工作时，避免一再地重复相同的动作而设计行工作时，避免一再地重复相同的动作而设计出来的一种工具，它利用简单的语法，把常用出来的一种工具，它利用简单的语法，把常用的动作写成宏，当在工作时，就可以

20、直接利用的动作写成宏，当在工作时，就可以直接利用事先编好的宏自动运行，去完成某项特定的任事先编好的宏自动运行，去完成某项特定的任务，而不必再重复相同的动作，目的是让用户务，而不必再重复相同的动作，目的是让用户文档中的一些任务自动化。文档中的一些任务自动化。宏病毒宏病毒可以把特定的宏命令代码附加在指定文件上，可以把特定的宏命令代码附加在指定文件上，通过文件的打开或关闭来获取控制权，实现宏通过文件的打开或关闭来获取控制权，实现宏命令在不同文件之间的共享和传递，从而在未命令在不同文件之间的共享和传递，从而在未经使用者许可的情况下获取某种控制权，达到经使用者许可的情况下获取某种控制权，达到传染的目的传

21、染的目的。以以wordword为例，一旦病毒宏侵入为例，一旦病毒宏侵入wordword，它就会替，它就会替代原有的正常宏，如代原有的正常宏，如fileopenfileopen、filesavefilesave、filesaveasfilesaveas和和 fileprintfileprint等等，并通过这些宏等等，并通过这些宏所关联的文件操作功能获取对文件交换的控制所关联的文件操作功能获取对文件交换的控制。宏病毒宏病毒宏病毒的表现现象宏病毒的表现现象尝试保存文档时，尝试保存文档时，wordword只允许保存为文档模只允许保存为文档模板板 wordword文档图标的外形类似文档模板图标而不文档图

22、标的外形类似文档模板图标而不是文档图标是文档图标 在工具菜单上选择在工具菜单上选择“宏宏”并单击并单击“宏宏”后，后，程序没有反应程序没有反应 宏列表中出现新宏宏列表中出现新宏 打开打开wordword文档或模板时显示异常消息文档或模板时显示异常消息 如果打开一个文档后没有进行修改，立即就如果打开一个文档后没有进行修改，立即就有存盘操作有存盘操作 宏病毒宏病毒防范可以采取如下几项措施防范可以采取如下几项措施提高宏的安全级别提高宏的安全级别 删除不知来路的宏定义删除不知来路的宏定义 将将normal.dotnormal.dot模板进行备份模板进行备份宏病毒宏病毒word文档杀手病毒文档杀手病毒w

23、ordword文档杀手病毒通过网络进行传播，大小为文档杀手病毒通过网络进行传播，大小为5324853248字节。该病毒运行后会搜索软盘、字节。该病毒运行后会搜索软盘、u u盘等盘等移动存储磁盘和网络映射驱动器上的移动存储磁盘和网络映射驱动器上的wordword文档，文档，并试图用自身覆盖找到的并试图用自身覆盖找到的wordword文档，达到传播文档，达到传播的目的。的目的。 病毒将破坏原来文档的数据，而且会在计算机病毒将破坏原来文档的数据，而且会在计算机管理员修改用户密码时进行键盘记录，记录结管理员修改用户密码时进行键盘记录，记录结果也会随病毒传播一起被发送。果也会随病毒传播一起被发送。 宏病

24、毒宏病毒word文档杀手病毒文档杀手病毒wordword文档杀手病毒运行后，将在用户计算机中文档杀手病毒运行后，将在用户计算机中创建图中所示的文件。创建图中所示的文件。 当当syssys文件创建好后，文件创建好后，wordword文档杀手病毒将在注文档杀手病毒将在注册表中添加下列启动项：册表中添加下列启动项： hkey_local_machinesoftwaremicrosoftwhkey_local_machinesoftwaremicrosoftwindowscurrentversionpoliciesexplorerrunindowscurrentversionpoliciesexplo

25、rerrun “explorer”=“%“explorer”=“%systemdir%sys.exesystemdir%sys.exe” ” 。这样，在。这样，在windowswindows启动时，病毒就可以自动执行了。启动时，病毒就可以自动执行了。 宏病毒宏病毒word文档杀手病毒文档杀手病毒病毒运行后，当用户试图打开病毒运行后，当用户试图打开wordword文档，则出文档，则出现下图所示的消息框。现下图所示的消息框。 蠕虫病毒蠕虫病毒 蠕虫蠕虫(worm)(worm)病毒是一种通过网络传播的恶意病病毒是一种通过网络传播的恶意病毒。它的出现相对于文件病毒、宏病毒等传统毒。它的出现相对于文件病

26、毒、宏病毒等传统病毒较晚，但是无论是传播的速度、传播范围病毒较晚，但是无论是传播的速度、传播范围还是破坏程度上都要比以往传统的病毒严重的还是破坏程度上都要比以往传统的病毒严重的多。多。蠕虫病毒一般由两部分组成：一个主程序和一蠕虫病毒一般由两部分组成：一个主程序和一个引导程序。个引导程序。蠕虫病毒蠕虫病毒 主程序的功能是搜索和扫描。它可以读取系统主程序的功能是搜索和扫描。它可以读取系统的公共配置文件，获得网络中的联网用户的信的公共配置文件，获得网络中的联网用户的信息，从而通过系统漏洞，将引导程序建立到远息，从而通过系统漏洞，将引导程序建立到远程计算机上。程计算机上。引导程序实际是蠕虫病毒主程序的

27、一个副本，引导程序实际是蠕虫病毒主程序的一个副本，主程序和引导程序都具有自动重新定位的能力。主程序和引导程序都具有自动重新定位的能力。 蠕虫病毒蠕虫病毒蠕虫病毒的传播蠕虫病毒的传播利用微软的系统漏洞攻击计算机网络利用微软的系统漏洞攻击计算机网络 利用电子邮件进行传播利用电子邮件进行传播蠕虫病毒蠕虫病毒蠕虫程序的工作流程蠕虫程序的工作流程 蠕虫程序扫描到有漏洞的计算机系统后，将蠕虫程序扫描到有漏洞的计算机系统后，将蠕虫主体迁移到目标主机。蠕虫主体迁移到目标主机。 蠕虫程序进入被感染的系统，对目标主机进蠕虫程序进入被感染的系统，对目标主机进行现场处理。现场处理部分的工作包括：隐行现场处理。现场处理

28、部分的工作包括：隐藏、信息搜集等藏、信息搜集等 蠕虫程序生成多个副本，重复上述流程。蠕虫程序生成多个副本，重复上述流程。蠕虫病毒蠕虫病毒蠕虫病毒蠕虫病毒蠕虫病毒的行为特征蠕虫病毒的行为特征 自我繁殖：自我繁殖：蠕虫在本质上已经演变为黑客入蠕虫在本质上已经演变为黑客入侵的自动化工具，侵的自动化工具， 当蠕虫被释放（当蠕虫被释放（releaserelease）后，从搜索漏洞，到利用搜索结果攻击系统，后，从搜索漏洞，到利用搜索结果攻击系统，到复制副本，整个流程全由蠕虫自身主动完到复制副本，整个流程全由蠕虫自身主动完成。就自主性而言，这一点有别于通常的病成。就自主性而言，这一点有别于通常的病毒。毒。

29、利用软件漏洞：利用软件漏洞：任何计算机系统都存在漏洞，任何计算机系统都存在漏洞，这些就蠕虫利用系统的漏洞获得被攻击的计这些就蠕虫利用系统的漏洞获得被攻击的计算机系统的相应权限，使之进行复制和传播算机系统的相应权限，使之进行复制和传播过程成为可能。过程成为可能。蠕虫病毒蠕虫病毒 造成网络拥塞：造成网络拥塞：在扫描漏洞主机的过程中，在扫描漏洞主机的过程中，蠕虫需要：判断其它计算机是否存在；判断蠕虫需要：判断其它计算机是否存在；判断特定应用服务是否存在；判断漏洞是否存在特定应用服务是否存在；判断漏洞是否存在等等，这不可避免的会产生附加的网络数据等等，这不可避免的会产生附加的网络数据流量。流量。 消耗

30、系统资源：消耗系统资源：蠕虫入侵到计算机系统之后，蠕虫入侵到计算机系统之后，会在被感染的计算机上产生自己的多个副本，会在被感染的计算机上产生自己的多个副本，每个副本启动搜索程序寻找新的攻击目标。每个副本启动搜索程序寻找新的攻击目标。 留下安全隐患：留下安全隐患：大部分蠕虫会搜集、扩散、大部分蠕虫会搜集、扩散、暴露系统敏感信息（如用户信息等），并在暴露系统敏感信息（如用户信息等），并在系统中留下后门。系统中留下后门。蠕虫病毒蠕虫病毒病毒类型：病毒类型：普通病毒普通病毒 蠕虫病毒蠕虫病毒 存在形式：寄存文件存在形式：寄存文件独立程序独立程序传染机制：宿主程序运行传染机制：宿主程序运行主动攻击主动攻

31、击 传染目标：本地文件传染目标：本地文件网络计算机网络计算机蠕虫病毒蠕虫病毒冲击波冲击波冲击波病毒是一种利用系统冲击波病毒是一种利用系统rpcrpc漏洞进行传播漏洞进行传播和破坏的蠕虫病毒。当感染了冲击波病毒的计和破坏的蠕虫病毒。当感染了冲击波病毒的计算机中的冲击波病毒发作的时候，蠕虫病毒会算机中的冲击波病毒发作的时候，蠕虫病毒会给给windows2000windows2000、windowsxpwindowsxp系统带来非常不系统带来非常不稳定、重新启动、死机等后果。稳定、重新启动、死机等后果。 中了冲击波病毒，系统会出现一个提示框，指中了冲击波病毒，系统会出现一个提示框，指出由于远程过程调

32、用（出由于远程过程调用（rpcrpc）服务意外终止，）服务意外终止，windowswindows必须立即关闭。同时，消息框给出了必须立即关闭。同时，消息框给出了一个倒计时，当倒计时完成时，计算机就将重一个倒计时，当倒计时完成时，计算机就将重新启动或者关闭。新启动或者关闭。 蠕虫病毒蠕虫病毒冲击波冲击波蠕虫病毒蠕虫病毒swen四维（四维（swenswen）病毒（又叫做斯文），是另一种）病毒（又叫做斯文），是另一种类型的蠕虫病毒，它主要通过邮件进行传播。类型的蠕虫病毒，它主要通过邮件进行传播。该病毒将自己伪装成微软公司的升级邮件来诱该病毒将自己伪装成微软公司的升级邮件来诱惑用户点击，实现病毒的感染

33、和破坏。惑用户点击，实现病毒的感染和破坏。邮件使用者收到的带有四维病毒的邮件。该邮邮件使用者收到的带有四维病毒的邮件。该邮件的标题是件的标题是“lasted update”lasted update”，而且邮件中有着，而且邮件中有着微软公司的一些信息。这些诱骗使得用户真的微软公司的一些信息。这些诱骗使得用户真的可能以为这是微软公司最新的安全更新程序。可能以为这是微软公司最新的安全更新程序。 蠕虫病毒蠕虫病毒swen蠕虫病毒蠕虫病毒swen当用户打开该邮件，则会看到邮件内容。其中，当用户打开该邮件，则会看到邮件内容。其中，附件中有一个可执行程序，它的名字也很像微附件中有一个可执行程序，它的名字也

34、很像微软公司的安全补丁程序。软公司的安全补丁程序。 蠕虫病毒蠕虫病毒swen当受骗的用户真的打开附件时，病毒对用户的当受骗的用户真的打开附件时，病毒对用户的欺骗还没有完成，欺骗还没有完成，outlookoutlook会有一个提示框，让会有一个提示框，让用户选择是直接打开还是进行保存，由于用户用户选择是直接打开还是进行保存，由于用户以为是安全更新程序，所以会直接进行安装。以为是安全更新程序，所以会直接进行安装。蠕虫病毒蠕虫病毒swen当点击了确定按钮之后，病毒会给出一个进行当点击了确定按钮之后，病毒会给出一个进行安全更新的提示。安全更新的提示。蠕虫病毒蠕虫病毒swen当用户选择当用户选择“是是”

35、之后，病毒还会给出安装时之后，病毒还会给出安装时的进度条。的进度条。当安装进度条的进度完成，这时病毒会给出提当安装进度条的进度完成，这时病毒会给出提示安全更新已经成功完成。示安全更新已经成功完成。 项目问题项目问题3文件型病毒的防范文件型病毒的防范对文件型病毒的防范，一般采用以下一些方法：对文件型病毒的防范，一般采用以下一些方法： 安装最新版本、有实时监控文件系统功能的安装最新版本、有实时监控文件系统功能的防病毒软件。防病毒软件。 及时更新病毒引擎，一般每月至少更新一次，及时更新病毒引擎，一般每月至少更新一次，最好每周更新一次，并在有病毒突发事件时最好每周更新一次，并在有病毒突发事件时立即更新

36、。立即更新。 经常使用防毒软件对系统进行病毒检查。经常使用防毒软件对系统进行病毒检查。 对关键文件，如系统文件、重要数据等，在对关键文件，如系统文件、重要数据等，在无毒环境下经常备份。无毒环境下经常备份。 在不影响系统正常工作的情况下对系统文件在不影响系统正常工作的情况下对系统文件设置最低的访问权限。设置最低的访问权限。项目问题项目问题3引导型病毒的防范引导型病毒的防范对引导型病毒的防范，一般采取如下措施：对引导型病毒的防范，一般采取如下措施： 尽量避免使用软盘等移动设备保存和传递资尽量避免使用软盘等移动设备保存和传递资料，如果需要使用，则应该先对软盘中的文料，如果需要使用，则应该先对软盘中的文件进行病毒的查杀。件进行病毒的查杀。 软盘用完后应该从软驱中取出。软盘用完后应该从软驱中取出。 避免在软驱中存有软盘的情况下开机或者启避免在软驱中存有软盘的情况下开机或者启动操作系统。动操作系统。项目问题项目问题3宏病毒的防范宏病毒的防范对宏病毒进行防范可以采取如下几项措施：对宏病毒进行防范可以采取如下几项措施： 提高宏的安全级别。目前的高版本的提高宏的安全级别。目前的高版本的wordword软软件可以设置宏的安全级别，在不影响正常使件可以设置宏的安全级别，在不影响正常使用的情况下，应该选择较高的安全级别用的情况下