第3章 计算机病毒及其防治

第3章计算机病毒及其防治

计算机病毒概述3.1计算机病毒的检测与防治3.2计算机病毒防治中的常见问题3.3计算机客户端病毒的防范方法3.4病毒的清除3.53.1计算机病毒概述

3.1.1计算机病毒发展简史1．计算机病毒的概念对于病毒概念的起源可追溯到科幻小说。在20世纪70年代，美国作家雷恩出版的《P1的青春》一书中构思了一种能够自我复制、利用通信进行传播的计算机程序，并称之为计算机病毒。“病毒”一词是借用生物学中的病毒。通过分析研究计算机病毒，人们发现它在很多方面与生物病毒有着相似之处。计算机病毒有很多种定义，从广义上讲，凡是能引起计算机故障，破坏计算机中数据的程序都统称为计算机病毒。依据此定义，诸如逻辑炸弹、蠕虫等均可称为计算机病毒。现今国外流行的定义是：计算机病毒是一段依附在其他程序上，可以实现自我繁殖的程序代码。在国内，《中华人民共和国计算机信息系统安全保护条例》对病毒的定义为：“计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者数据，影响计算机使用，并且能够自我复制的一组计算机指令或者程序代码”。2．计算机病毒发展简史

（1）DOS病毒（2）Windows病毒

（3）计算机网络病毒3.1.2计算机病毒的分类

1．按传染方式分类（1）引导型病毒（2）文件型病毒（3）复合型病毒2．按寄生方式分类3．按危害程度分类（1）良性病毒又称表现型病毒（2）恶性病毒又称破坏型病毒（3）中性病毒是指那些既不对计算机系统造成直接破坏，又没有表现症状，只是疯狂地复制自身的计算机病毒，也就是常说的蠕虫型病毒4．按攻击对象分类

（1）攻击DOS的病毒（2）攻击Windows的病毒（3）攻击网络的病毒3.1.3计算机病毒的特征

1．传染性2．破坏性3．潜伏性4．可触发性5．演变性6．不可预见性3.2计算机病毒的检测与防治

3.2.1计算机病毒的工作原理3.2.2计算机病毒的检测1．病毒特征码扫描法2．对比法3．行为监测法4．软件模拟法5．实时I/O扫描6．网络监测法3.2.3计算机病毒的防治

1．在思想和制度方面2．在技术措施方面3.2.4计算机病毒防治软件的选购

1．防、杀毒软件的选购指标（1）扫描速度（2）识别率（3）病毒清除效果2．常用的防、杀毒软件介绍3.2.5计算机病毒的防御步骤

1．用常识进行判断2．安装防病毒产品并保证更新最新的病毒定义码3．首次安装防病毒软件时，一定要对计算机做一次彻底的病毒扫描4．插入软盘、光盘和其他可插拔介质前，一定对它们进行病毒扫描5．不要从任何不可靠的渠道下载任何软件6．警惕欺骗性的病毒7．使用其他形式的文档，如.rtf（RichTextFormat）和.pdf（PortableDocumentFormat）8．不要用共享的软盘安装软件，或者更为糟糕的是复制共享的软盘9．禁用WindowsScriptingHost10．使用基于客户端的防火墙或过滤措施3.3计算机病毒防治中的常见问题3.3.1根据名称识别计算机病毒下面是对一些常见病毒前缀的解释。1．系统病毒系统病毒的前缀为：Win32、PE、Win95、W32、W95等，这些病毒的一般共有特性是可以感染windows操作系统的*.exe和*.dll文件，并通过这些文件进行传播。如CIH病毒。2．蠕虫病毒蠕虫病毒的前缀是：Worm。这种病毒的共有特性是通过网络或者系统漏洞进行传播，很大部分的蠕虫病毒都有向外发送带毒邮件、阻塞网络的特性。比如冲击波（阻塞网络），小邮差（发带毒邮件）等。3．木马病毒、黑客病毒

木马病毒其前缀是：Trojan，黑客病毒前缀名一般为Hack。木马病毒的共有特性是通过网络或者系统漏洞进入用户的系统并隐藏，然后向外界泄露用户的信息；而黑客病毒则有一个可视的界面，能对用户的计算机进行远程控制。木马、黑客病毒往往是成对出现的，即木马病毒负责侵入用户的计算机，黑客病毒则会通过该木马病毒来进行控制。现在这两种类型都越来越趋向于整合了。一般的木马如QQ消息尾巴木马Trojan.QQ3344，还有比较多见的针对网络游戏的木马病毒，如Trojan.LMir.PSW.60。病毒名中有PSW或者PWD之类的，一般都表示这个病毒有盗取密码的功能（这些字母为“密码”的英文“password”缩写）。一些黑客程序，如网络枭雄（Hack.Nether.Client）等。4．脚本病毒脚本病毒的前缀是：Script。脚本病毒的共有特性是使用脚本语言编写，通过网页进行传播的病毒，如红色代码（Script.Redlof）。脚本病毒还会有如下前缀：VBS、JS（表明是何种脚本编写的），如欢乐时光（VBS.Happytime）、十四日（Js.Fortnight.c.s）等。5．宏病毒其实宏病毒也是脚本病毒的一种，由于它的特殊性，因此单独算成一类。宏病毒的前缀是：Macro，第二前缀是：Word、Word97、Excel、Excel97。感染WORD97及以前版本WORD文档的病毒，采用Word97作为第二前缀，格式是：Macro.Word97；感染WORD97以后版本WORD文档的病毒，采用Word作为第二前缀，格式是：Macro.Word；感染EXCEL97及以前版本EXCEL文档的病毒，采用Excel97作为第二前缀，格式是：Macro.Excel97；感染EXCEL97以后版本EXCEL文档的病毒，采用Excel作为第二前缀，格式是：Macro.Excel，依此类推。该类病毒的共有特性是能感染OFFICE系列文档，然后通过OFFICE通用模板进行传播，如：美丽莎病毒（Macro.Melissa）。6．后门病毒后门病毒的前缀是：Backdoor。该类病毒的共有特性是通过网络传播，给系统开后门，给用户计算机埋下安全隐患。如很多用户遇到过的IRC后门Backdoor.IRCBot。7．病毒种植程序病毒

这类病毒的共有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下，由释放出来的新病毒产生破坏。如：冰河播种者（Dropper.BingHe2.2C）、MSN射手（Dropper.Worm.Smibag）等。8．破坏性程序病毒破坏性程序病毒的前缀是：Harm。这类病毒的共有特性是以好看的图标来诱惑用户单击。当用户单击这类病毒时，病毒便会直接对用户计算机产生破坏。如：格式化C盘（Harm.formatC.f）、杀手命令（Harm.Command.Killer）等。9．玩笑病毒

玩笑病毒的前缀是：Joke，也称恶作剧病毒。这类病毒的共有特性也是以好看的图标来诱惑用户单击。当用户单击这类病毒时，病毒会做出各种破坏操作来吓唬用户，其实病毒并没有对用户计算机进行任何破坏。如：女鬼（Joke.Girlghost）病毒。10．捆绑机病毒捆绑机病毒的前缀是：Binder。这类病毒的共有特性是病毒作者会使用特定的捆绑程序将病毒与一些应用程序如QQ、IE捆绑起来，表面上看是一个正常的文件，当用户运行这些捆绑病毒时，表面上是运行这些应用程序，实际上是隐藏运行捆绑在一起的病毒，从而给用户造成危害。如：捆绑QQ（Binder.QQPass.QQBin）、系统杀手（Binder.killsys）等。3.3.2区别计算机病毒与计算机故障1．计算机病毒的现象与查解方法

在一般情况下，计算机病毒总是依附某一系统软件或用户程序进行繁殖和扩散的，病毒发作时危及计算机的正常工作，破坏数据与程序，侵犯计算机资源。计算机在感染病毒后，总是有一定规律地出现异常现象，如下所列。（1）屏幕显示异常，屏幕显示出不是由正常程序产生的画面，而是显示混乱（2）程序装入时间增长，文件运行速度下降（3）用户没有访问的设备却出现工作信号（4）磁盘出现莫名其妙的文件和坏块，卷标发生变化（5）系统自行引导（6）丢失数据或程序，文件字节数发生变化（7）内存空间、磁盘空间减小（8）异常死机（9）磁盘访问时间比平时增长（10）系统引导时间增长2．与病毒现象类似的硬件故障

（1）系统的硬件配置（2）电源电压不稳定（3）插件接触不良（4）软驱故障（5）CMOS的问题3．与病毒现象类似的软件故障

（1）出现“Invaliddrivespecification”（非法驱动器号）（2）软件程序已被破坏（非病毒）（3）DOS系统配置不当（4）软件与DOS版本的兼容性（5）引导过程故障（6）用不同的编辑软件编写程序（7）有关FoxBASE问题3.4计算机客户端病毒的防范方法3.4.1客户端的病毒防护步骤1．减小攻击面2．应用安全更新3．启用基于主机的防火墙4．安装防病毒软件5．测试漏洞扫描程序6．使用最少特权策略7．限制未授权的应用程序3.4.2客户端应用程序的防病毒设置1．电子邮件客户端

2．桌面应用程序3．即时消息应用程序4．Web浏览器5．对等应用程序3.5病毒的清除

3.5.1邮件病毒的清除1．断开网络2．文件备份3．杀毒软件4．安全处理5．预防邮件病毒3.5.2QQ病毒特征及清除方法

1．“QQ尾巴”病毒（1）病毒主要特征这种病毒并不是利用QQ本身的漏洞进行传播，而是在某个网站首页上嵌入了一段恶意代码，利用IE的iFrame系统漏洞自动运行恶意木马程序，从而达到侵入用户系统、进而借助QQ进行垃圾信息发送的目的。用户系统如果没安装漏洞补丁或没把IE升级到最高版本，那么访问这些网站的时候，所访问网页中嵌入的恶意代码即被运行，并立即会通过IE的漏洞运行一个木马程序进驻用户机器。然后在用户使用QQ向好友发送信息的时候，该木马程序就自动在发送的消息末尾插入一段广告词，通常都是以下类型：“HoHo～～http://www.mm**.com刚才朋友给我发来的这个东东。你不看看就后悔哦，嘿嘿。也给你的朋友吧。”（2）清除方法

在运行中输入MSconfig，如果启动项中有“Sendmess.exe”和“wwwo.exe”这两个选项，将其禁止。在C：\WINDOWS一个叫qq32.INI的文件，文件里是附在QQ后的那几句广告词，将其删除。转到DOS下再将“Sendmess.exe”和“wwwo.exe”这两个文件删除。安装系统漏洞补丁由病毒的播方式知道，“QQ尾巴”这种木马病毒是利用IE的iFrame传播的，即使不执行病毒文件，病毒依然可以借由漏洞自动执行，达到感染的目的。因此应该马上下载IE的iFrame漏洞补丁。2．QQ“缘”病毒

（1）病毒特征该病毒用VB语言编写，采用ASPack压缩，利用QQ消息传播。运行后会将IE默认首页改变为：HTTP://WWW.**115.COM/。如果发现自己的IE首页被修改成以上网址，就表明是被该病毒感染了。病毒会利用QQ发送例如：“今天在网上下了本电子书，书名叫《缘》，写得不错，而且书的作者的名字很巧，点击下面这个地址可以下载这本书”；“1937年12月13日，300000南京人民被侵华日军集体大屠杀！所有的中国人都不应忘记这个日子，从始至终日本人都没有改变它们的野心，中华儿女要团结自强牢记历史，我们要时刻警惕日本人的野心，钓鱼岛是中国的领土，台湾是中国不可分割的一部份，请你将此消息发给你QQ上的好友!”。消息里的链接是病毒网址。（2）清除方法使用下面的办法可将其彻底删除。找到下列文件并删除：C:\Windows\system\noteped.exeC:\Windows\system\Taskmgr.exeC:\Windows\noteped.exeC:\Windwos\system32\noteped.exe其中，对于Taskmgr.exe要先打开“window任务管理器”，选中进程“Taskmgr.exe”，杀掉。其中，有两个名字叫“Taskmgr.exe”的进程，一个是QQ病毒，一个是刚才打开的“Window任务管理器”。然后到注册表中找到：“\HKey_Local_Machine\software\Microsoft\windows\CurrentVersion\Run”找到“Taskmgr”删除。也可以通过下面的方式删除病毒。在任务栏上单击鼠标右键，选择任务管理器；选择进程里的Taskmgr.exe；单击“开始”、“运行”，输入Regedit进入注册表；在注册表中找到“\HKey_Local_Machine\software\Microsoft\windows\CurrentVersion\Run”将Taskmgr项删除。删除后重启计算机，“缘”QQ病毒彻底删除。需要注意的是，应该尽快更新IE到IE6SP1，这样可以减少很多的IE被改机会。3．QQ“狩猎者”病毒（1）病毒特征在进行QQ聊天时会在消息中加入如下信息：“向你介绍一个好看的动画网：”当浏览带毒网站时，会利用IE漏洞尝试新增sys文件和tmp文件的执行关联，并下载执行病毒文件b.sys。如果IE已经打上补丁，则会弹出一个插件对话框，引诱用户安装，安装后会将病毒安装到Windows/DownloadedProgramFiles文件夹中，文件名为b.exe。如果用户拒绝安装该插件，会不断弹出对话框要求用户安装。复制文件复制病毒体到SystemRoot文件夹中，文件名为Rundll32.exe；复制病毒体为“C:\cmd.exe”，试图复制病毒体到共享目录中，名为“病毒专杀.exe”和“周杰伦演唱会.exe”。添加注册表启动项，以随机启动在注册表的主键：在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run处添加“LoadPowerProfile=/SystemRoot/Rundll32.exe”键值。修改和新增以下文件关联修改.exe文件的关联，每当执行exe文件时，首先执行病毒预先复制的病毒文件，在注册表的主键：HKEY_CLASS_ROOT\exefile\shell\open\command修改键值：默认="C：\cmd.exe%1&*"新增.sys文件的执行关联，使得在浏览带毒网站时执行病毒文件b.sys在注册表的主键:HKEY_CLASS_ROOT\sysfile\shell\open\command修改键值：默认="%1"%*新增.tmp文件的执行关联在注册表的主键：HKEY_CLASS_ROOT\tmpfile\shell\open\command修改如下键值：默认="%1"%*试图偷传奇游戏的密码，并通过自带的邮件引擎以“mj25257758@263.”的名义发送到“scmsmj@”信箱中。在Win2000、WinXP、Win2003系统中，系统文件“Rundll32.exe”就在系统目录中，因而病毒会尝试将该文件覆盖，但这几个系统都能自动保护并恢复受到破坏的系统文件，因而病毒不能正常加载，但仍可以通过EXE关联被加载。（2）清除方法

关闭WindowsMe、WindowsXP、Windows2003的“系统还原”功能；重新启动到安全模式下；先将regedit.exe改名为，再用资源管理器结束cmd.exe进程，然后运行，将EXE关联修改为“"%1"%*”，再删除C:\cmd.exe、%Windows%\DownloadProgramFiles\b.exe文件，对于Windows9x系统，还要删除%SystemRoot%\Rundll32.exe，再到共享目录中看有没有“病毒专杀.exe”和“周杰伦演唱会.exe”这两个文件，文件大小为11184字节，如果有，将其删除；清理注册表；打开注册表，删除主键：HKEY_CLASSES_ROOT\sysfile\shell\open、HKEY_CLASSES_ROOT\tmpfile\shell\open修改HKEY_CLASSES_ROOT\exefile\shell\open\command的键值为"%1"%*。（3）防范措施

不要轻易单击QQ上的不明链接，不要安装来历不明的插件（如该病毒网站上所谓的“动画播放插件2.0”）。3.5.3恶意网页病毒症状分析及修复方法1．默认主页被修改（1）破坏特性：默认主页被自动改为某网站的网址。（2）表现形式：浏览器的默认主页被自动设为如********.COM的网址。（3）清除方法：采用手动修改注册表法，单击“开始”菜单→“运行”→“regedit”→“确定”，打开注册表编辑工具，按顺序依次打开：HKEY_LOCAL_USER\Software\Microsoft\InternetExplorer\Main分支，找到Default_Page_URL键值名（用来设置默认主页），在右窗口单击右键进行修改即可。按【F5】键后刷新生效。危害程度：一般2．默认首页被修改（1）破坏特性：默认首页被自动改为某网站的网址。（2）表现形式：浏览器的默认主页被自动设为如********.COM的网址。（3）清除方法：采用手动修改注册表法，单击“开始”菜单→“运行”→“regedit”→“确定”，打开注册表编辑工具，按如下顺序依次打开：HKEY_LOCAL_USER\Software\Microsoft\InternetExplorer\Main分支，找到StartPage键值名（用来设置默认首页），在右窗口单击右键进行修改即可。按【F5】键后刷新生效。危害程度：一般3．默认的微软主页被修改（1）破坏特性：默认微软主页被自动改为某网站的网址。（2）表现形式：默认微软主页被篡改。（3）清除方法：手动修改注册表法单击“开始”菜单→“运行”→“regedit”→“确定”，打开注册表编辑工具。按如下顺序依次打开：HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main分支，找到Default_Page_URL键值名（用来设置默认微软主页），在右窗口单击右键，将键值修改为http://www./windows/ie_intl/cn/start/即可。按【F5】键刷新生效。自动文件导入注册表法请把以下内容输入或粘贴复制到记事本内，以扩展名为.reg的任意文件名存在C盘的任一目录下，然后执行此文件。根据提示，一路确认，即可显示成功导入注册表。REGEDIT4[HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main]"default_page_url/windows/ie_intl/cn/start/"危害程度：一般4．主页设置被屏蔽锁定，且设置选项无效不可更改（1）破坏特性：主页设置被禁用。（2）表现形式：主页地址栏变成灰色被屏蔽。（3）清除方法：手动修改注册表法单击“开始”菜单→“运行”→“regedit”→“确定”，打开注册表编辑工具。按如下顺序依次打开：HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\分支，新建“ControlPanel”主键，然后在此主键下新建键值名为“HomePage”的DWORD值，值为“00000000”。按【F5】键刷新生效。自动文件导入注册表法请把以下内容输入或粘贴复制到记事本内，以扩展名为.reg的任意文件名存在C盘的任一目录下，然后执行此文件。根据提示，一路确认，即可显示成功导入注册表。REGEDIT4[HKEY_CURRENT_USER\Software\Policies\Microsoft\InternetExplorer\ControlPanel]"HomePage"=dword:00000000危害程度：轻度5．默认的IE搜索引擎被修改（1）破坏特性：将IE的默认微软搜索引擎更改。（2）表现形式：搜索引擎被篡改。（3）清除方法：手动修改注册表法单击“开始”菜单→“运行”→“regedit”→“确定”，打开注册表编辑工具。按如下顺序依次打开：HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Search分支，找到“SearchAssistant”键值名，在右面窗口单击“修改”，即可对其键值进行输入为：http://ie.search./{SUB_RFC1766}/srchasst/srchasst.htm，然后再找到“CustomizeSearch”键值名，将其键值修改为：/{SUB_RFC1766}/srchasst/srchasst.htm，按【F5】键刷新生效。自动文件导入注册表法请把以下内容输入或粘贴复制到记事本内，以扩展名为.reg的任意文件名存在C盘的任一目录下，然后执行此文件。根据提示，一路确认，即可显示成功导入注册表。REGEDIT4[HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Search]"SearchAssistant"=/{SUB_RFC1766}/srchasst/srchasst.htm"CustomizeSearch"=/{SUB_RFC1766}/srchasst/srchasst.htm危害程度：一般6．IE标题栏被添加非法信息（1）破坏特性：通过修改注册表，使IE标题栏被强行添加宣传网站的广告信息。（2）表现形式：在IE顶端蓝色标题栏上多出了类似“正点网，”的信息。（3）清除方法：手动修改注册表法单击“开始”菜单→“运行”→“regedit”→“确定”，打开注册表编辑工具。按如下顺序依次打开：HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main分支，找到“WindowTitle”键值名，输入键值为MicrosoftInternetExplorer，按【F5】刷新生效。按如下顺序依次打开：HKEY_CURRENT_MACHINE\Software\Microsoft\InternetExplorer\Main分支，找到“WindowTitle”键值名，输入键值为MicrosoftInternetExplorer，按【F5】刷新生效。自动文件导入注册表法把以下内容输入或粘贴复制到记事本内，以扩展名为.reg的任意文件名存在C盘的任一目录下，然后执行此文件。根据提示，一路确认，即可显示成功导入注册表。REGEDIT4[HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main]"WindowTitle"="MicrosoftInternetExplorer"[HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main]"WindowTitle"="MicrosoftInternetExplorer"危害程度：一般7．OE标题栏被添加非法信息破坏特性（1）破坏特性：通过修改注册表，在微软的集成电子邮件程序MicrosoftOutlook顶端标题栏添加宣传网站的广告信息。（2）表现形式：在顶端的OutlookExpress蓝色标题栏添加非法信息。（3）清除方法：手动修改注册表法单击“开始”菜单→“运行”→“regedit”→“确定”，打开注册表编辑工具。按如下顺序依次打开：HKEY_LOCAL_USER\Software\Microsoft\OutlookExpress分支，找到WindowTitle以及StoreRoot键值名，将其键值均设为空。按【F5】键刷新生效。自动文件导入注册表法请把以下内容输入或粘贴复制到记事本内，以扩展名为.reg的任意文件名存在C盘的任一目录下，然后执行此文件。根据提示，一路确认，即可显示成功导入注册表。REGEDIT4[HKEY_CURRENT_USER\Software\Microsoft\OutlookExpress]"WindowTitle"="""StoreRoot"=""危害程度：一般8．鼠标右键菜单被添加非法网站链接（1）破坏特性：通过修改注册表，在鼠标右键弹出菜单里被添加非法站点的链接。（2）表现形式：添加“网址之家”等诸如此类的链接信息。（3）清除方法：单击“开始”菜单→“运行”→“regedit”→“确定”，打开注册表编辑工具。按如下顺序依次打开：HKEY_CURRENT_USER\Software\Policies\Microsoft\InternetExplorer\MenuExt分支，在左边窗口凡是属于非法链接的主键一律删除，按【F5】键刷新生效。危害程度：一般9．鼠标右键弹出菜单功能被禁用失常（1）破坏特性：通过修改注册表，鼠标右键弹出菜单功能在IE浏览器中被完全禁止。（2）表现形式：在IE中单击右键毫无反应。（3）清除方法：手动修改注册表法单击“开始”菜单→“运行”→“regedit”→“确定”，打开注册表编辑工具。按如下顺序依次打开：HKEY_CURRENT_USER\Software\Policies\Microsoft\InternetExplorer\Restrictions分支，找到“NoBrowserContextMenu”键值名，将其键值设为“00000000”，按【F5】键刷新生效。自动文件导入注册表法请把以下内容输入或粘贴复制到记事本内，以扩展名为.reg的任意文件名存在C盘的任一目录下，然后执行此文件。根据提示，一路确认，即可显示成功导入注册表。REGEDIT4[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet|Explorer\Restrictions]"NoBrowse