网络防病毒技术

1、课题：网络防病毒技术教学时间：教学目标：1 、熟悉病毒的概念2 、 了解病毒的特点3、掌握防病毒基本方法一、病毒的概念计算机病毒是一个程序，一段可执行码。在计算机程序中插入的 破 坏计算机功能或者破坏数据 影响计算机使用并且能够自我复制 的一 组计算机指令或者程序代码被称为计算机病毒。二、计算机病毒的特征（七大特征）1 ,传染性计算机病毒不但本身具有破坏性，更有害的是具有传染性， 一旦病毒被复制或产生变种，其速度之快令人难以预防。传染性 是病毒的基本特征。在生物界，病毒通过传染从一个生物体扩散 到另一个生物体。在适当的条件下，它可得到大量繁殖，并使被 感染的生物体表现出病症甚至死亡。同样，计算

2、机病毒也会通过 各种渠道从已被感染的计算机扩散到未被感染的计算机，在某些 情况下造成被感染的计算机工作失常甚至瘫计算机网络痪。与生物病毒不同的是，计算机病毒是一段人为编制的计算机 程序代码，这段程序代码一旦进入计算机并得以执行，它就会搜 寻其他符合其传染条件的程序或存储介质，确定目标后再将自身 代码插入其中，达到自我繁殖的目的。只要一台计算机染毒，如 不及时处理，那么病毒会在这台机子上迅速扩散，其中的大量文 件（一般是可执行文件）会被感染。而被感染的文件又成了新的 传染源，再与其他机器进行数据交换或通过网络接触，病毒会继 续进行传染。正常的计算机程序一般是不会将自身的代码强行连 接到其他程序之

3、上的。而病毒却能使自身的代码强行传染到一切 符合其传染条件的未受到传染的程序之上。计算机病毒可通过各 种可能的渠道，如软盘、计算机网络去传染其他的计算机。当您 在一台机器上发现了病毒时，往往曾在这台计算机上用过的软盘 已感染上了病毒，而与这台机器相联网的其他计算机也许也被该 病毒染上了。是否具有传染性是判别一个程序是否为计算机病毒的最重要条件。 病毒程序通过修改磁盘扇区信息或文件内容并把自身嵌入到其中的方法达到病毒的传染和扩散。被嵌入的程序叫 做宿主程序；2,潜伏性有些病毒像定时炸弹一样，让它什么时间发作是预先设计好 的。比如黑色星期五病毒，不到预定时间一点都觉察不出来，等 到条件具备的时候一

4、下子就爆炸开来，对系统进行破坏。一个编 制精巧的计算机病毒程序，进入系统之后一般不会马上发作，可 以在几周或者几个月内甚至几年内隐藏在合法文件中，对其他系 统进行传染，而不被人发现，潜伏性愈好，其在系统中的存在时 间就会愈长，病毒的传染范围就会愈大。潜伏性的第一种表现是指，病毒程序不用专用检测程序是检查不出来的，因此病毒可以 静静地躲在磁盘或磁带里呆上几天，甚至几年，一旦时机成熟， 得到运行机会，就又要四处繁殖、扩散，继续为害。潜伏性的第 二种表现是指，计算机病毒的内部往往有一种触发机制，不满足 触发条件时，计算机病毒除了传染外不做什么破坏。触发条件一 旦得到满足，有的在屏幕上显示信息、图形或

5、特殊标识，有的则 执行破坏系统的操作，如格式化磁盘、删除磁盘文件、对数据文 件做加密、封锁键盘以及使系统死锁等；3,隐蔽性计算机病毒具有很强的隐蔽性，有的可以通过病毒软件检查 出来，有的根本就查不出来，有的时隐时现、变化无常，这类病 毒处理起来通常很困难。4,破坏性计算机中毒后，可能会导致正常的程序无法运行，把计算机 内的文件删除或受到不同程度的损坏。通常表现为：增、删、改、移。5,可触发性病毒因某个事件或数值的出现，诱使病毒实施感染或进行攻 击的特性称为可触发性。为了隐蔽自己，病毒必须潜伏，少做动 作。如果完全不动，一直潜伏的话，病毒既不能感染也不能进行 破坏，便失去了杀伤力。病毒既要隐蔽又

6、要维持杀伤力，它必须 具有可触发性。病毒的触发机制就是用来控制感染和破坏动作的 频率的。病毒具有预定的触发条件， 这些条件可能是时间、 日期、 文件类型或某些特定数据等。病毒运行时，触发机制检查预定条 件是否满足，如果满足，启动感染或破坏动作，使病毒进行感染 或攻击；如果不满足，使病毒继续潜伏。6,针对性目前大部分计算机病毒都是针对旧MPC及其兼容机的。7,衍生性病毒程序往往是由几部分组成，修改其中的某个模块能衍生出新的不同于原病毒的计算机病毒。三、网络病毒的特点网络病毒是一种新型病毒，它的传播媒介不再是移动式载体，而 是网络通道，这种病毒的 传染能力更强，破坏力更大，传播性强、扩 散面广。同

7、时有关调查显示，通过电子邮件和网络进行病毒传播的比 例正逐步攀升，它们给人们的工作和生活带来了很多麻烦。因此我们 有必要了解一些网络病毒的特点，并对其采取相应的措施，以减少被 网络病毒感染的机会。1、网络病毒的传播方式网络病毒一般会试图通过以下四种不同的方式进行传播：(1)邮件附件病毒经常会附在邮件的附件里，然后起一个吸引人的名字，诱惑 人们去打开附件，一旦人们执行之后，机器就会染上附件中所附的病(2)Email有些蠕虫病毒会利用在 Microsoft Security Bulletin 在 MS01-020中讨论过的安全漏洞将自身藏在邮件中，并向其他用户发 送一个病毒副本来进行传播。正如在公

8、告中所描述的那样，该漏洞存 在于Internet Explorer 之中，但是可以通过e-mail来利用。只需 简单地打开邮件就会使机器感染上病毒一一并不需要您打开邮件附(3)Web服务器有些网络病毒攻击IIS 4.0和5.0 Wet®务器。就拿“尼姆达病 毒”来举例说明吧，它主要通过两种手段来进行攻击：第一，它检查 计算机是否已经被红色代码II病毒所破坏，因为红色代码II病毒会 创建一个“后门”，任何恶意用户都可以利用这个“后门”获得对系 统的控制权。如果Nimda病毒发现了这样的机器，它会简单地使用红 色代码II病毒留下的后门来感染机器。第二，病毒会试图利用“ Web Serve

9、r Folder Traversal ”漏洞来感染机器。如果它成功地找到了 这个漏洞，病毒会使用它来感染系统。(4)文件共享病毒传播的最后一种手段是通过文件共享来进行传播。Windows系统可以被配置成允许其他用户读写系统中的文件。允许所有人访问您的文件会导致很糟糕的安全性，而且默认情况下，Windows系统仅仅允许授权用户访问系统中的文件。 然而，如果病毒发现系统被配置 为其他用户可以在系统中创建文件，它会在其中添加文件来传播病毒。2、网络病毒的传播特点(1)感染速度快在单机环境下，病毒只能通过软盘从一台计算机带到另一台，而在网络中则可以通过网络通讯机制迅速扩散。根据测定，针对一台典型的PC

10、网络在正常使用情况，只要有一台工作站有病毒，就可在几 十分钟内将网上的数百台计算机全部感染。(2)扩散面广由于病毒在网络中扩散非常快，扩散范围很大，不但能迅速传染 局域网内所有计算机，还能通过远程工作站将病毒在一瞬间传播到千 里之外。(3)传播的形式复杂多样计算机病毒在网络上一般是通过“工作站 服务器 工作站”的途 径进行传播的，但传播的形式复杂多样。(4)难于彻底清除单机上的计算机病毒有时可通过删除带毒文件或低级格式化硬盘等措施将病毒彻底清除，而网络中只要有一台工作站未能消毒干净 就可使整个网络重新被病毒感染，甚至刚刚完成清除工作的一台工作 站就有可能被网上另一台带毒工作站所感染。因此，仅对

11、工作站进行病毒杀除，并不能解决病毒对网络的危害。(5)破坏性大网络上病毒将直接影响网络的工作， 轻则降低速度，影响工作效 率，重则使网络崩溃，破坏服务器信息，使多年工作毁于一旦。3、网络病毒防范技巧作为个人用户，我们在防范网络病毒时，需要注意以下几点：(1)留心邮件的附件对于邮件附件尽可能小心，安装一套杀毒软件，在你打开邮件之 前对附件进行预扫描。因为有的病毒邮件恶毒之极，只要你将鼠标移 至邮件上，哪怕并不打开附件，它也会自动执行。更不要打开陌生人 来信中的附件文件，当你收到陌生人寄来的一些自称是“不可不看”的有趣东东时，千万不要不假思索地贸然打开它，尤其对于一些”.exe之类的可执行程序文件

12、，更要慎之又慎！(2)注意文件扩展名因为Windows允许用户在文件命名时使用多个扩展名，而许多电 子邮件程序只显示第一个扩展名，有时会造成一些假像。所以我们可 以在“文件夹选项”中，设置显示文件名的扩展名，这样一些有害文 件，如VBS文件就会原形毕露。注意千万别打开扩展名为VBS SHS和PIF的邮件附件，因为一般情况下，这些扩展名的文件几乎不会在 正常附件中使用，但它们经常被病毒和蠕虫使用。例如，你看到的邮 件附件名称是wow.jpg,而它的全名实际是 wow.jpg.vbs,打开这个 附件意味着运行一个恶意的VBScript病毒，而不是你的JPG察看器。(3)不要轻易运行程序对于一般人寄

13、来的程序，都不要运行，就算是比较熟悉、了解的朋 友们寄来的信件，如果其信中夹带了程序附件，但是他却没有在信中 提及或是说明，也不要轻易运行。因为有些病毒是偷偷地附着上去的 也许他的电脑已经染毒，可他自己却不知道。比如“ happy 99” 就是这样的病毒，它会自我复制，跟着你的邮件走。当你收到邮件广 告或者主动提供的电子邮件时，尽量也不要打开附件以及它提供的链 接。(4)不要盲目转发信件收到自认为有趣的邮件时，不要盲目转发，因为这样会帮助病毒 的传播;给别人发送程序文件甚至包括电子贺卡时，一定要先在自己的电脑中试试，确认没有问题后再发，以免好心办了坏事。另外，应 该切忌盲目转发：有的朋友当收到

14、某些自认为有趣的邮件时，还来不及细看就打开通讯簿给自己的每一位朋友都转发一份，这极有可能使病毒的制造者恶行得逞，而你的朋友对你发来的信无疑是不会产生怀 疑的，结果你无意中成为病毒传播者。(5)堵住系统漏洞现在很多网络病毒都是利用了微软的IE和Outlook的漏洞进彳了 传播的，因此大家需要特别注意微软网站提供的补丁，很多网络病毒可以通过下载和安装补丁文件或安装升级版本来消除阻止它们。同时，及时给系统打补丁也是一个良好的习惯，可以让你的系统时时保持最新、最安全。但是要注意最好从信任度高的网站下载补丁。(6)禁止 Windows Scripting Host对于通过脚本“工作”的病毒，可以采用在浏

15、览器中禁止JAVA或ActiveX运行的方法来阻止病毒的发作。禁用 Windows Scripting Host。WindowsScripting Host(WSH)运行各种类型的文本，但基本 都是 VBScript 或 Jscript。许多病毒/蠕虫，如 Bubbleboy 和 KAK.worm 使用Windows Scripting Host ,无需用户单击附件，就可自动打开 一个被感染的附件。同时应该把浏览器的隐私设置设为“高”。提示：一般人的Windows系统中并不需要Windows Scripting Host 功能，微软有时会为我们考虑得太多。(7)注意共享权限一般情况下勿将磁盘上的目录设为共享， 如果确有必要，请将权 限设置为只读，读操作须指定口令，也不要用共享的软盘安装软件， 或者是复制共享的软盘，这是导致病毒从一台机器传播到另一台机器 的方式。(8)不要随便接受附件尽量不要从在线聊天系统的陌生人那里接受附件，比如ICQ或Q讨传来的东西。有些人通过在 QQW天中取得对你的信任之后，给 你发一些附有病毒的文件，所以对附件中的文件不要打开，先保存在 特定目录中，然后用杀毒软件进行检查，确认无病毒后再打开。(9)从正规网站下载软件不要从任何不可靠