第一讲计算机病毒的概述

1、第一第一 讲讲计算机病毒的概述计算机病毒的概述 理解病毒的概念理解病毒的概念 熟悉熟悉病毒的发展史病毒的发展史 掌握掌握病毒的特点病毒的特点 掌握病毒的分类掌握病毒的分类 掌握病毒的结构掌握病毒的结构 掌握掌握病毒的识别与防治病毒的识别与防治病毒的概念病毒的概念 计算机病毒在中华人民共和国计计算机病毒在中华人民共和国计算机信息系统安全保护条例中的定义算机信息系统安全保护条例中的定义为：为：“指编制或者在计算机程序中插入指编制或者在计算机程序中插入的破坏计算机功能或者数据，影响计算的破坏计算机功能或者数据，影响计算机使用并且能够自我复制的一组计算机机使用并且能够自我复制的一组计算机指令或者程序代

2、码指令或者程序代码”。 病毒的发展史病毒的发展史1DOS时代时代 DOS是一个安全性较差的操作系统，是一个安全性较差的操作系统，所以在所以在DOS时代，计算机病毒无论是数时代，计算机病毒无论是数量还是种类都非常多。按照传染方式可量还是种类都非常多。按照传染方式可以分为：系统引导病毒、外壳型病毒、以分为：系统引导病毒、外壳型病毒、复合型病毒。各类病毒的具体内容见复合型病毒。各类病毒的具体内容见“病毒的分类病毒的分类”。2Windows时代时代 1995年年8月，微软发布月，微软发布Windows95，标志着个人电脑的操作系统全面进入了标志着个人电脑的操作系统全面进入了Windows9X时代，而时

3、代，而Windows9X对对DOS的弱依赖性则使得计算机病毒也进入了的弱依赖性则使得计算机病毒也进入了Windows时代。这个时代的最大特征便时代。这个时代的最大特征便是大量是大量DOS病毒的消失以及宏病毒的兴病毒的消失以及宏病毒的兴起。起。 3Internet时代时代 可 以 这 样 说 ， 网 络 病 毒 大 多 是可 以 这 样 说 ， 网 络 病 毒 大 多 是Windows时代宏病毒的延续，它们往往时代宏病毒的延续，它们往往利用强大的宏语言读取用户利用强大的宏语言读取用户E-mail软件软件的地址簿，并将自身作为附件发向地址的地址簿，并将自身作为附件发向地址簿内的那些簿内的那些E-m

4、ail地址去。由于网络的地址去。由于网络的快速和便捷，网络病毒的传播是以几何快速和便捷，网络病毒的传播是以几何级数进行的，其危害比以前的任何一种级数进行的，其危害比以前的任何一种病毒都要大。病毒都要大。病毒的特点病毒的特点1 1传染性传染性: :传染性是病毒的基本特征。计算机病毒也会通过各种渠道从已被感染的计算机扩散到未被感染的计算机，在某些情况下造成被感染的计算机工作失常甚至瘫痪。2 2破坏性破坏性: :计算机病毒可以破坏系统，删除或修改数据，占用系统资源，干扰计算机的正常工作，严重的可使整个系统陷于瘫痪。3 3隐蔽性隐蔽性: :计算机病毒进入计算机以后常常不是立即发生，它可以有足够的时间去

5、实现感染和破坏作用。病毒的特点病毒的特点 4 4潜伏性潜伏性: :计算机病毒侵入计算机以后可潜伏在合法的文件中并不立即发作。经过一段时间或一旦买组了某些条件病毒便开始发作，触发计算机条件可以是某个日期、某个时间等。各种病毒潜伏期不同，短这数天、数月，长者可达数年之久。 5 5不可预见性不可预见性病毒的传播途径1. 通过移动存储设备来传播（包括软盘、光盘、U盘等）。2. 通过计算机网络进行传播。3. 通过点对点通信系统和无线通道传播。 病毒的分类病毒的分类 一、按传染方式分类一、按传染方式分类1 1系统引导病毒系统引导病毒 系统引导病毒又称引导区型病毒。直到系统引导病毒又称引导区型病毒。直到20

6、20世纪世纪9090年代中期，引导区型病毒是最流行的病年代中期，引导区型病毒是最流行的病毒类型，主要通过软盘在毒类型，主要通过软盘在DOSDOS操作系统里传播。操作系统里传播。引导区型病毒侵染软盘中的引导区，蔓延到用引导区型病毒侵染软盘中的引导区，蔓延到用户硬盘，并能侵染到用户硬盘中的户硬盘，并能侵染到用户硬盘中的“主引导记主引导记录录”。一旦硬盘中的引导区被病毒感染，病毒。一旦硬盘中的引导区被病毒感染，病毒就试图侵染每一个插入计算机的从事访问的软就试图侵染每一个插入计算机的从事访问的软盘的引导区。盘的引导区。 2文件型病毒文件型病毒 文件型病毒是文件侵染者，也被称为文件型病毒是文件侵染者，也

7、被称为寄生病毒。它运作在计算机存储器里，寄生病毒。它运作在计算机存储器里，通常它感染扩展名为通常它感染扩展名为COM、EXE、DRV、BIN、OVL、SYS等文件。每一次它们等文件。每一次它们激活时，感染文件把自身复制到其他文激活时，感染文件把自身复制到其他文件中，并能在存储器里保存很长时间，件中，并能在存储器里保存很长时间，直到病毒又被激活。直到病毒又被激活。病毒的分类病毒的分类3. 3. 复合型病毒复合型病毒 复合型病毒有引导区型病毒和文件型病毒两者的特征。复合型病毒有引导区型病毒和文件型病毒两者的特征。既感染引导区又感染文件，因此扩大了这种病毒的传染既感染引导区又感染文件，因此扩大了这种

8、病毒的传染途径。途径。4 .4 .宏病毒宏病毒 宏病毒一般是指用宏病毒一般是指用 Word BasicWord Basic书写的病毒程序，寄存书写的病毒程序，寄存在在 Microsoft OfficeMicrosoft Office文档上的宏代码。它影响对文档文档上的宏代码。它影响对文档的各种操作，如打开、存储、关闭或清除等。当打开的各种操作，如打开、存储、关闭或清除等。当打开OfficeOffice文档时，宏病毒程序就会被执行，即宏病毒处于文档时，宏病毒程序就会被执行，即宏病毒处于活动状态，当触发条件满足时，宏病毒才开始传染、表活动状态，当触发条件满足时，宏病毒才开始传染、表现和破坏。现和破

9、坏。病毒的分类病毒的分类病毒的分类病毒的分类二、按破坏性分类 1、良性病度:可能只显示些画面或出点音乐、无聊的语句，或者根本没有任何破坏动作，但会占用系统资源。 2、恶性病毒:有明确得目的，或破坏数据、删除文件或加密磁盘、格式化磁盘，有的对数据造成不可挽回的破坏。病毒的结构病毒的结构 计算机病毒在结构上有着共同性，一般由引计算机病毒在结构上有着共同性，一般由引导部分、传染部分、表现部分三部分组成。导部分、传染部分、表现部分三部分组成。1.1.引导部分引导部分 也就是病毒的初始化部分，它随着宿主程序的也就是病毒的初始化部分，它随着宿主程序的执行而进入内存，为传染部分做准备。执行而进入内存，为传染

10、部分做准备。2 2. .传染部分传染部分 作用是将病毒代码复制到目标上去。一般病毒作用是将病毒代码复制到目标上去。一般病毒在对目标进行传染前，要首先判断传染条件是否在对目标进行传染前，要首先判断传染条件是否满足，判断病毒是否已经感染过该目标等，如满足，判断病毒是否已经感染过该目标等，如CIHCIH病毒只针对病毒只针对Windows 95/98Windows 95/98操作系统操作系统。3 . 表现部分表现部分 是病毒间差异最大的部分，前两部分是病毒间差异最大的部分，前两部分是为这部分服务的。它破坏被传染系统是为这部分服务的。它破坏被传染系统或者在被传染系统的设备上表现出特定或者在被传染系统的设

11、备上表现出特定的现象。大部分病毒都是在一定条件下的现象。大部分病毒都是在一定条件下才会触发其表现部分的。才会触发其表现部分的。病毒的结构病毒的结构病毒的危害病毒的危害1 1、攻击系统数据区。攻击系统数据区。攻击部位包括硬盘主引导扇区、攻击部位包括硬盘主引导扇区、BootBoot扇区、扇区、FATFAT表、文件目录。一般来说，攻击系统数表、文件目录。一般来说，攻击系统数据区的病毒是恶性病毒，受损的数据不易恢复。据区的病毒是恶性病毒，受损的数据不易恢复。2 2、攻击文件。攻击文件。病毒对文件的攻击方式很多，如删除、改病毒对文件的攻击方式很多，如删除、改名、替换内容、丢失簇和对文件加密等。名、替换内

12、容、丢失簇和对文件加密等。3 3、攻击内存。攻击内存。内存是计算机的重要资源，也是病毒攻击内存是计算机的重要资源，也是病毒攻击的重要目标。病毒额外地占用和消耗内存资源，可导的重要目标。病毒额外地占用和消耗内存资源，可导致一些大程序运行受阻。病毒攻击内存的方式有大量致一些大程序运行受阻。病毒攻击内存的方式有大量占用、改变内存总量、禁止分配和蚕食内存等。占用、改变内存总量、禁止分配和蚕食内存等。病毒的危害病毒的危害4 4、干扰系统运行、干扰系统运行。不执行用户指令、干扰指令的运。不执行用户指令、干扰指令的运行、内部栈溢出、占用特殊数据区、时钟倒转、自动行、内部栈溢出、占用特殊数据区、时钟倒转、自动

13、重新启动计算机、死机等。重新启动计算机、死机等。 5 5、速度下降速度下降。不少病毒在时钟中纳入了时间的循环。不少病毒在时钟中纳入了时间的循环计数，迫使计算机空转，计算机速度明显下降。计数，迫使计算机空转，计算机速度明显下降。 6 6、攻击磁盘、攻击磁盘。攻击磁盘数据、不写盘、写操作变读。攻击磁盘数据、不写盘、写操作变读操作、写盘时丢字节等。操作、写盘时丢字节等。 7 7、扰乱屏幕显示、扰乱屏幕显示。字符显示错乱、跌落、环绕、倒。字符显示错乱、跌落、环绕、倒置、光标下跌、滚屏、抖动、吃字符等。置、光标下跌、滚屏、抖动、吃字符等。 病毒的危害病毒的危害8 8、攻击键盘、攻击键盘。响铃、封锁键盘、

14、换字、抹掉。响铃、封锁键盘、换字、抹掉缓存区字符、重复输入。缓存区字符、重复输入。 9 9、攻击喇叭、攻击喇叭。发出各种不同的声音，如演奏。发出各种不同的声音，如演奏曲子、警笛声、炸弹噪声、鸣叫、咔咔声、曲子、警笛声、炸弹噪声、鸣叫、咔咔声、嘀嗒声嘀嗒声 1010、攻击、攻击CMOSCMOS。对。对CMOSCMOS区进行写入动作，破区进行写入动作，破坏系统坏系统CMOSCMOS中的数据。中的数据。 1111、干扰打印机、干扰打印机。间断性打印、更换字符等。间断性打印、更换字符等。 病毒的识别与防治病毒的识别与防治 1 1. .病毒发作常见的现象病毒发作常见的现象 下列一些异常现象可以作为检测病

15、毒的参考： 程序装入时间比平时长，运行异常； 有规律的发现异常信息； 用户访问设备（例如打印机）时发现异常情况，如打印机不能联机或打印符号异常； 磁盘的空间突然变小了，或不识别磁盘设备； 程序和数据神秘的丢失了，文件名不能辨认； 显示器上经常出现一些莫名其妙的信息或异常显示（如白斑、圆点等）； 机器经常出现死机现象或不能正常启动； 发现可执行文件的大小发生变化或发现不知来源的隐藏文件。2.2.病毒预防病毒预防 在计算机上安装病毒监控程序； 使用他人的软盘、U盘要先查毒； 不使用盗版软件； 使用从网络上下载的软件要先查毒； 不接受来历不明的电子邮件。3 3. .病毒清除病毒清除 目前病毒的破坏力

16、越来越强，几乎所有的软、硬件故障都可能与病毒有牵连，所以，当操作时发现计算机有异常情况，首先应怀疑的就是病毒在作怪，而最佳的解决办法就是利用杀毒软件对计算机进行一次全面的清查。 病毒的识别与防治病毒的识别与防治网络病毒及其防治网络病毒及其防治 网络病毒的特点网络病毒的特点 网络病毒的传播网络病毒的传播 网络病毒的防治网络病毒的防治 网络反病毒技术的特点网络反病毒技术的特点 病毒防火墙的反病毒的特点病毒防火墙的反病毒的特点网络病毒的特点网络病毒的特点1传染方式多传染方式多2传播速度快传播速度快3清除难度大清除难度大4破坏性强破坏性强 网络病毒的传播网络病毒的传播1文件病毒在网络上的传播与表现文件

17、病毒在网络上的传播与表现 局域网：大多数公司使用局域网文件局域网：大多数公司使用局域网文件服务器，用户直接从文件服务器复制已服务器，用户直接从文件服务器复制已感染的文件。用户在工作站上执行一个感染的文件。用户在工作站上执行一个带毒操作文件，这种病毒就会感染网络带毒操作文件，这种病毒就会感染网络上其他可执行文件。用户在工作站上执上其他可执行文件。用户在工作站上执行内存驻留文件带毒，当访问服务器上行内存驻留文件带毒，当访问服务器上的可执行文件时进行感染。的可执行文件时进行感染。 对等网：使用网络的另一种方式是对等网络，对等网：使用网络的另一种方式是对等网络，在端到端网络上，用户可以读出和写入每个连

18、接的在端到端网络上，用户可以读出和写入每个连接的工作站上本地硬盘中的文件。因此，每个工作站都工作站上本地硬盘中的文件。因此，每个工作站都可以有效地成为另一个工作站的客户和服务器。而可以有效地成为另一个工作站的客户和服务器。而且，端到端网络的安全性很可能比专门维护的文件且，端到端网络的安全性很可能比专门维护的文件服务器的安全性更差。这些特点使得端到端网络对服务器的安全性更差。这些特点使得端到端网络对基于文件的病毒的攻击尤其敏感。如果一台已感染基于文件的病毒的攻击尤其敏感。如果一台已感染病毒的计算机可以执行另一台计算机中的文件，那病毒的计算机可以执行另一台计算机中的文件，那么这台感染病毒计算机中的

19、活动的、内存驻留病毒么这台感染病毒计算机中的活动的、内存驻留病毒能够立即感染另一台计算机硬盘上的可执行文件。能够立即感染另一台计算机硬盘上的可执行文件。 网络病毒的传播网络病毒的传播 网络病毒的传播网络病毒的传播 Internet：文件病毒可以通过文件病毒可以通过Internet毫无困难地发送。而可执行文件病毒不毫无困难地发送。而可执行文件病毒不能通过能通过Internet在远程站点感染文件。此在远程站点感染文件。此时时Internet是文件病毒的载体。是文件病毒的载体。网络病毒的防治网络病毒的防治 1 1基于工作站的防治方法基于工作站的防治方法 工作站病毒防护芯片工作站病毒防护芯片: : 将

20、防病毒功能集成在一个将防病毒功能集成在一个芯片上，安装于网络工作站，以便经常性地保护工作芯片上，安装于网络工作站，以便经常性地保护工作站及其通往服务器的途径。其基本原理是站及其通往服务器的途径。其基本原理是: :网络上的每网络上的每个工作站都要求安装网络接口卡，而网络接口上有一个工作站都要求安装网络接口卡，而网络接口上有一个个Boot ROMBoot ROM芯卡，因为多数网卡的芯卡，因为多数网卡的Boot ROMBoot ROM并没有充并没有充分利用，都会剩余一些使用空间，所以如果防毒程序分利用，都会剩余一些使用空间，所以如果防毒程序够小的话，就槽内，用户可以免去许多繁琐的管理工够小的话，就槽

21、内，用户可以免去许多繁琐的管理工作。可以安装在网络的作。可以安装在网络的Boot ROMBoot ROM的剩余空间内，而不的剩余空间内，而不必另插一块芯片。这样，将工作站存取控制与病毒保必另插一块芯片。这样，将工作站存取控制与病毒保护能力合二为一地插在网卡的护能力合二为一地插在网卡的RPROMRPROM2 2基于服务器的防治方法基于服务器的防治方法 目前，基于服务器的防治病毒方法大都采用了目前，基于服务器的防治病毒方法大都采用了以以NLMNLM（NetwWare Loadable ModuleNetwWare Loadable Module）可装载模块技可装载模块技术进行程序设计，以服务器为基

22、础，提供实时扫描术进行程序设计，以服务器为基础，提供实时扫描病毒能力。市场上较有代表性的产品，如：病毒能力。市场上较有代表性的产品，如： IntelIntel公司的公司的 LANdesk Virus ProtectLANdesk Virus Protect和和SymantecSymantec公司的公司的 Center PointAntiCenter PointAnti一一VirusVirus和和 S&SSoftware S&SSoftware InternationalInternational公司的公司的 DrDrSolomons AntiSolomons AntiVirus

23、 ToolkitVirus Toolkit，以及我国北京威尔德电脑公司的以及我国北京威尔德电脑公司的 LANClear LANClear 网络病毒的防治网络病毒的防治网络反病毒技术的特点网络反病毒技术的特点 1 1网络反病毒技术的安全度取决于网络反病毒技术的安全度取决于“木桶理论木桶理论” 被计算机安全界广泛采用的著名的被计算机安全界广泛采用的著名的“木桶木桶理论理论”认为，整个系统的安全防护能力，取决认为，整个系统的安全防护能力，取决于系统中安全防护能力最薄弱的环节。计算机于系统中安全防护能力最薄弱的环节。计算机网络病毒防治是计算机安全极为重要的一个方网络病毒防治是计算机安全极为重要的一个方

24、面，它同样也适用于这一理论。一个计算机网面，它同样也适用于这一理论。一个计算机网络，对病毒的防御能力取决于网络中病毒防护络，对病毒的防御能力取决于网络中病毒防护能力最薄弱的一个节点。能力最薄弱的一个节点。 2 2网络反病毒技术尤其是网络病毒实时监测技术应符网络反病毒技术尤其是网络病毒实时监测技术应符合合“最小占用最小占用”原则原则 该技术符合该技术符合“最小占用最小占用”原则，对网络运行效率原则，对网络运行效率不产生本质影响。不产生本质影响。 网络反病毒产品是网络应用的辅助产品，因此对网络反病毒产品是网络应用的辅助产品，因此对网络反病毒技术，尤其是网络病毒实时监测技术，在网络反病毒技术，尤其是

25、网络病毒实时监测技术，在自身的运行中不应影响网络的正常运行。自身的运行中不应影响网络的正常运行。 网络反病毒技术的应用，理所当然会占用网络系网络反病毒技术的应用，理所当然会占用网络系统资源（增加网络负荷、额外占用统资源（增加网络负荷、额外占用CPUCPU、占用服务器占用服务器内存等）。正由于此，网络反病毒技术应符合内存等）。正由于此，网络反病毒技术应符合“最小最小占用占用”原则，以保证网络反病毒技术和网络本身都能原则，以保证网络反病毒技术和网络本身都能发挥出应有的正常功能。发挥出应有的正常功能。网络反病毒技术的特点网络反病毒技术的特点3. . 网络反病毒技术的兼容性是网络防毒的重点与难网络反病

26、毒技术的兼容性是网络防毒的重点与难点点 网络上集成了那么多的硬件和软件，流行的网网络上集成了那么多的硬件和软件，流行的网络操作系统也有好几种，按照一定网络反病毒技术络操作系统也有好几种，按照一定网络反病毒技术开发出来的网络反病毒产品，要运行于这么多的软、开发出来的网络反病毒产品，要运行于这么多的软、硬件之上，与它们和平共处，实在是非常之难，远硬件之上，与它们和平共处，实在是非常之难，远比单机反病毒产品复杂。这既是网络反病毒技术必比单机反病毒产品复杂。这既是网络反病毒技术必须面对的难点，又是其必须解决的重点。须面对的难点，又是其必须解决的重点。网络反病毒技术的特点网络反病毒技术的特点网络蠕虫的传

27、统威胁网络蠕虫的传统威胁 消耗网络资源导致网络拥塞甚至瘫痪消耗网络资源导致网络拥塞甚至瘫痪 特点：特点： 不可控（感染范围、所阻塞的网络）不可控（感染范围、所阻塞的网络） 攻击者不（直接）受益攻击者不（直接）受益 趋势：趋势： 更强的能力（感染规模、蔓延速度）更强的能力（感染规模、蔓延速度） “定向定向”能力（能力（IPv6地地址分配规则确定之地地址分配规则确定之后会更容易？）后会更容易？） “自适应自适应”能力能力 争议：是否还是主要威胁？争议：是否还是主要威胁？典型病毒介绍典型病毒介绍 宏病毒宏病毒 电子邮件病毒电子邮件病毒 几个病毒实例几个病毒实例 宏病毒宏病毒1 1宏病毒的定义宏病毒的

28、定义 所谓宏，就是软件设计者为了在使用软件所谓宏，就是软件设计者为了在使用软件工作时，避免一再的重复相同的动作而设计出工作时，避免一再的重复相同的动作而设计出来的一种工具。它利用简单的语法，把常用的来的一种工具。它利用简单的语法，把常用的动作写成宏，当再工作时，就可以直接利用事动作写成宏，当再工作时，就可以直接利用事先写好的宏自动运行，去完成某项特定的任务，先写好的宏自动运行，去完成某项特定的任务，而不必再重复相同的工作。所谓宏病毒，就是而不必再重复相同的工作。所谓宏病毒，就是利用软件所支持的宏命令编写成的具有复制、利用软件所支持的宏命令编写成的具有复制、传染能力的宏。传染能力的宏。 2宏病毒

29、的分类宏病毒的分类 宏病毒根据传染的宿主的不同可以分宏病毒根据传染的宿主的不同可以分为：传染为：传染Word的宏病毒、传染的宏病毒、传染Excel的的宏病毒和传染宏病毒和传染AmiPro的宏病毒。由于目的宏病毒。由于目前国内前国内Word系统应用较多，所以大家谈系统应用较多，所以大家谈论的宏病毒一般是指论的宏病毒一般是指Word宏病毒。宏病毒。 宏病毒宏病毒3 3WordWord宏病毒的特点宏病毒的特点 （1 1）以数据文件方式传播，隐蔽性好，）以数据文件方式传播，隐蔽性好，传播速度快，难于杀除传播速度快，难于杀除 （2 2）制作宏病毒以及在原型病毒上变种）制作宏病毒以及在原型病毒上变种非常方

30、便非常方便 （3 3）破坏可能性极大）破坏可能性极大 宏病毒宏病毒4 4WordWord宏病毒的表现宏病毒的表现 WordWord宏病毒在发作时，会使宏病毒在发作时，会使WordWord运行出现运行出现怪现象，如自动建文件、开窗口、内存总是不怪现象，如自动建文件、开窗口、内存总是不够、关闭够、关闭WORDWORD不对已修改文件提出未存盘警告、不对已修改文件提出未存盘警告、存盘文件丢失等，有的使打印机无法正常打印。存盘文件丢失等，有的使打印机无法正常打印。WordWord宏病毒在传染时，会使原有文件属性和类宏病毒在传染时，会使原有文件属性和类型发生改变，或型发生改变，或WordWord自动对磁盘

31、进行操作等。自动对磁盘进行操作等。当内存中有当内存中有WordWord宏病毒时，原宏病毒时，原WordWord文档无法另文档无法另存为其他格式的文件，只能以模板形式进行存存为其他格式的文件，只能以模板形式进行存储。储。 宏病毒宏病毒5 5WordWord宏病毒的防范宏病毒的防范 （1 1）对于已染病毒的）对于已染病毒的NORMAL.DOTNORMAL.DOT文件，首先应将文件，首先应将NORMAL.DOTNORMAL.DOT中的自动宏清除，然后将中的自动宏清除，然后将NORMAL.DOTNORMAL.DOT置置成只读方式。成只读方式。 （2 2）对于其它已感染病毒的文件均应将自动宏清除，）对于

32、其它已感染病毒的文件均应将自动宏清除，这样就可以达到清除病毒的目的。这样就可以达到清除病毒的目的。 （3 3）平时使用时要加强防范。定期检查活动宏表，）平时使用时要加强防范。定期检查活动宏表，对来历不明的宏最好予以删除；如果发现后缀对来历不明的宏最好予以删除；如果发现后缀为为. .DOCDOC的文件变成模板（的文件变成模板（. .DOTDOT）时，则可怀疑其已时，则可怀疑其已染宏病毒，其主要表现是在染宏病毒，其主要表现是在Save AsSave As文档是，选择文档是，选择文件类型的框变为灰色。文件类型的框变为灰色。 宏病毒宏病毒（4 4）在启动）在启动WordWord、创建文档、打开文档、关

33、闭文档以创建文档、打开文档、关闭文档以及退出及退出WordWord时，按住时，按住SHIFTSHIFT键可以阻止自动宏的运行。键可以阻止自动宏的运行。例如，当用含有例如，当用含有Auto NewAuto New宏的模板新建一文档时，在宏的模板新建一文档时，在“新建新建”对话框中单击对话框中单击“确定确定”按钮时按住按钮时按住SHIFTSHIFT键，键，就可以阻止就可以阻止Auto NewAuto New宏的执行。宏的执行。（5 5）存储一个文档时，务必明确指定该文档的扩展名。）存储一个文档时，务必明确指定该文档的扩展名。宏病毒总是试图把模板文件的扩展名加到你指定的文宏病毒总是试图把模板文件的扩

34、展名加到你指定的文件名后面，无论扩展名是否已经存在。例如，你指定件名后面，无论扩展名是否已经存在。例如，你指定文件名如下文件名如下TEST.DOCTEST.DOC，最终这个文件名会变为最终这个文件名会变为TEST.DOC.DOTTEST.DOC.DOT，显然这个文件名在显然这个文件名在DOSDOS下不可接受的。下不可接受的。由此就可以察觉到宏病毒的存在。由此就可以察觉到宏病毒的存在。 宏病毒宏病毒 宏病毒宏病毒6宏病毒的清除宏病毒的清除（1）手工清除）手工清除Word宏病毒宏病毒（2）使用杀毒软件清除）使用杀毒软件清除Word宏病毒宏病毒电子邮件病毒 电子邮件病毒的防范电子邮件病毒的防范:（1

35、）思想上要有防毒意识）思想上要有防毒意识（2）使用防毒软件）使用防毒软件几个病毒实例几个病毒实例 1CIH病毒病毒 CIH病毒是一种文件型病毒，主要传病毒是一种文件型病毒，主要传染染 Windows 9598应用程序。该病毒发应用程序。该病毒发作时，破坏计算机系统作时，破坏计算机系统Flash Memory芯芯片中的片中的BIOS系统程序，导致系统主板损系统程序，导致系统主板损坏，同时破坏硬盘中的数据。坏，同时破坏硬盘中的数据。CIH病毒是病毒是首例直接攻击、破坏硬件系统的计算机首例直接攻击、破坏硬件系统的计算机病毒，是迄今为止破坏力最为严重的病病毒，是迄今为止破坏力最为严重的病毒之一。毒之一

36、。 2 2“台湾台湾 1 1号号”宏病毒宏病毒 在每月在每月 13 13日，若用户使用打开一个带日，若用户使用打开一个带“台湾台湾 1 1号号”宏病毒的宏病毒的WordWord文档（模板）时，该病毒会被激发。激发文档（模板）时，该病毒会被激发。激发时的现象是：在屏幕正中央弹出一个对话框，该对话框时的现象是：在屏幕正中央弹出一个对话框，该对话框提示用户做一个心算题，如做错，它将会无限制地打开提示用户做一个心算题，如做错，它将会无限制地打开文件，直至文件，直至WordWord内存不够，内存不够，WordWord出错为止；如心算题作出错为止；如心算题作对，会提示用户对，会提示用户“什么是巨集病毒（宏

37、病毒）？什么是巨集病毒（宏病毒）？”，回，回答是答是“我就是巨集病毒我就是巨集病毒”，再提示用户：，再提示用户：“如何预防巨如何预防巨集病毒？集病毒？”，回答是，回答是“不要看我不要看我”。几个病毒实例几个病毒实例几个病毒实例几个病毒实例 3. 3.“冲击波冲击波”（WORMWORMMSBlast.AMSBlast.A） 2003 2003年年8 8月月1111日，一种名为日，一种名为“冲击波冲击波”（WORMWORMMSBlast.AMSBlast.A）的新型蠕虫病毒开始在互联网和部分专用信息网络上传播。该的新型蠕虫病毒开始在互联网和部分专用信息网络上传播。该病毒利用病毒利用WindowsW

38、indows系统的漏洞，如疾风般横扫全球各地计算机，系统的漏洞，如疾风般横扫全球各地计算机，其传播速度快、波及范围广，对计算机正常使用和网络运行造其传播速度快、波及范围广，对计算机正常使用和网络运行造成严重影响，并且已经造成某些服务器停顿及企业成严重影响，并且已经造成某些服务器停顿及企业InternetInternet网网络拥塞无法使用。络拥塞无法使用。 计算机防毒软件厂商趋势科技的病毒分析师指出，这种蠕计算机防毒软件厂商趋势科技的病毒分析师指出，这种蠕虫在互联网上广泛扫描没有安装补丁的虫在互联网上广泛扫描没有安装补丁的Windows2000/XP/2003Windows2000/XP/200

39、3计计算机，能够在算机，能够在2525分钟之内感染这种计算机。据估计分钟之内感染这种计算机。据估计“冲击波冲击波”可能已经感染了全球一两亿台计算机。可能已经感染了全球一两亿台计算机。 几个病毒实例几个病毒实例4电子邮件炸弹电子邮件炸弹 电子邮件炸弹是指发件者以不明来历电子邮件炸弹是指发件者以不明来历的电子邮件地址，不断重复将电子邮件的电子邮件地址，不断重复将电子邮件寄于同一个收件人。由于情况就像是战寄于同一个收件人。由于情况就像是战争时利用某种战争工具对同一个地方进争时利用某种战争工具对同一个地方进行大轰炸，因此称为电子邮件炸弹（行大轰炸，因此称为电子邮件炸弹（ Email Bomber）。）

40、。几个病毒实例几个病毒实例 5 5“小邮差小邮差”最新变种（最新变种（Worm.Mimail.cWorm.Mimail.c） 最近网络上流行一种恶性蠕虫最近网络上流行一种恶性蠕虫“小邮差小邮差”最新变最新变种（种（Worm.Mimail.cWorm.Mimail.c），），该蠕虫病毒继承了原版本该蠕虫病毒继承了原版本发送邮件功能，利用自带的邮件服务器疯狂发送带发送邮件功能，利用自带的邮件服务器疯狂发送带毒邮件，在用户邮箱中以信息的形式出现，主题大毒邮件，在用户邮箱中以信息的形式出现，主题大多是多是“我们的私人照片我们的私人照片”（our private photosour private ph

41、otos）。）。并且病毒主程序采用双后缀名，使用其看起来和图并且病毒主程序采用双后缀名，使用其看起来和图片文件一样，加大了病毒的欺骗性。引诱用户打开片文件一样，加大了病毒的欺骗性。引诱用户打开附件，病毒激活后会随机发起附件，病毒激活后会随机发起DoS(DoS(拒绝服务式攻拒绝服务式攻击击) )，大量浪费网络资源。，大量浪费网络资源。 NortonNorton（诺顿）杀毒软件诺顿）杀毒软件 瑞星杀毒软件瑞星杀毒软件 KV3000KV3000常用杀毒软件介绍常用杀毒软件介绍 Norton（诺顿）杀毒软件诺顿）杀毒软件 Norton AntiVirusNorton AntiVirus具有以下特点：具有以下特点： 1 1保护计算机远离病毒的威胁保护计算机远离病毒的威胁 2 2自动清除病毒自动清除病毒 3 3加强了对未知病毒的预防能力加强了对未知病毒的预防能力 4 4完善的安全响应机制，以对付最新病完善的安全响应机制，以对付最新病毒的威胁毒的威胁 瑞星杀毒软件瑞星杀毒软件 “ “瑞星杀毒软件瑞星杀毒软件”是北京瑞星电脑科技开发有限是北京瑞星电脑科技开发有限责任公司针对流行于国内外危害较大的计算机病毒和责任公司针对流行于国内外危害较大的计算机病毒和有害程序，自主研制的反