第6章计算机病毒与恶意软件

第6章计算机病毒与恶意软件6.1计算机病毒概述6.2典型的病毒分析6.3恶意软件概述概述本章介绍计算机病毒和恶意软件。在国外，有时将计算机病毒当作恶意软件来处理。而在我国，恶意软件没有明确的法律定义，只在互联网协会对恶意软件做了介绍，其中并不包括计算机病毒。6.1计算机病毒概述6.1.1计算机病毒的概念计算机病毒：与医学上的“病毒”不同，它不是天然存在的，是某些人利用计算机软、硬件所固有的脆弱性，编制具有特殊功能的程序。它能通过某种途径潜伏在计算机存储介质（或程序）里，当达到某种条件时即被激活，它用修改其他程序的方法将自己的精确拷贝或者可能演化的形式放入其他程序中，从而感染它们，对计算机资源进行破坏的这样一组程序或指令集合。6.1计算机病毒概述1994年2月18日，我国正式颁布实施了《中华人民共和国计算机信息系统安全保护条例》，在《条例》第二十八条中明确指出：

“计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。”此定义具有法律性、权威性。6.1计算机病毒概述6.1.2计算机病毒产生的原因病毒产生的过程：程序设计－＞传播－＞潜伏－＞触发－＞运行－＞实行攻击。

究其产生的原因不外乎以下几种：6.1计算机病毒概述1.开个玩笑，一个恶作剧某些程序通过载体传播出去后，在一定条件下被触发。如显示一些动画，播放一段音乐，或提一些智力问答题目等，其目的无非是自我表现一下。这类病毒一般都是良性的，不会有破坏操作。例：小球病毒、1575/1591病毒、救护车病毒、扬基病毒、Dabi病毒等等6.1计算机病毒概述2.产生于个别人的报复心理国外的案例：

某公司职员在职期间编制了一段代码隐藏在其公司的系统中，一旦检测到他的名字在工资报表中删除，该程序立即发作，破坏整个系统。6.1计算机病毒概述3.用于版权保护计算机发展初期，很多商业软件被非法复制，有些开发商为了保护自己的利益制作了一些特殊程序，附在产品中。如：巴基斯坦病毒，其制作者是为了追踪那些非法拷贝他们产品的用户。用于这种目的的病毒目前已不多见。4.用于特殊目的某组织或个人为达到特殊目的，对政府机构、单位的特殊系统进行宣传或破坏，或军事目的。6.1计算机病毒概述6.1.3计算机病毒的历史1988年发生在美国的“蠕虫病毒”事件，给计算机技术的发展罩上了一层阴影。

莫里斯蠕虫病毒是由美国CORNELL大学研究生莫里斯编写。虽然并没有恶意，但在当时，“蠕虫”在INTERNET上大肆传染，使得数千台联网的计算机停止运行，并造成巨额损失，成为一时的舆论焦点。蠕虫病毒破坏发展趋势6.1计算机病毒概述6.1.4计算机病毒的特征1.传染性传染性是病毒的基本特征。计算机病毒会通过各种渠道从已被感染的计算机扩散到未被感染的计算机，在某些情况下造成被感染的计算机工作失常甚至瘫痪。6.1.4计算机病毒的特征与生物病毒的区别：

计算机病毒是一段人为编制的计算机程序代码，这段程序代码一旦进入计算机并得以执行，它会搜寻其他符合其传染条件的程序或存储介质，确定目标后再将自身代码插入其中，达到自我繁殖的目的。6.1计算机病毒概述2.隐蔽性病毒一般是具有很高编程技巧、短小精悍的程序。通常附在正常程序或磁盘较隐蔽的地方，也有个别的以隐含文件形式出现，目的是不让用户发现它的存在。计算机病毒程序取得系统控制权后，可以在很短的时间里传染大量程序。而且受到传染后，计算机系统通常仍能正常运行，使用户不会感到任何异常。6.1计算机病毒概述3.潜伏性大部分的病毒感染系统之后一般不会马上发作，它可长期隐藏在系统中，只有在满足其特定条件时才启动其破坏模块。

如“PETER-2”在每年2月27日会提三个问题，答错后会将硬盘加密。著名的“黑色星期五”在逢13号的星期五发作。国内的“上海一号”会在每年三、六、九月的13日发作。当然，最令人难忘的是26日发作的CIH。6.1计算机病毒概述4.破坏性根据病毒对计算机系统的破坏性可将病毒分为良性病毒与恶性病毒。

良性病度可能只显示些画面或出点音乐、无聊的语句，或者根本没有任何破坏动作，但会占用系统资源。这类病毒较多，如：GENP、小球、W-BOOT等。

恶性病毒则有明确的目的，或破坏数据、删除文件或加密磁盘、格式化磁盘，有的对数据造成不可挽回的破坏。6.1计算机病毒概述6.1.5计算机病毒的命名反病毒公司为了方便管理，会按照病毒的特性，将病毒进行分类命名。虽然每个反病毒公司的命名规则都不太一样，但大体都是采用一个统一的命名规则。一般格式为：<病毒前缀>.<病毒名>.<病毒后缀>6.1计算机病毒概述病毒前缀是指一个病毒的种类，用来区别病毒的种族分类。比如我们常见的木马病毒的前缀Trojan，蠕虫病毒的前缀是Worm等等。病毒名是指一个病毒的家族特征，用来区别和标识病毒家族。如：CIH病毒的家族名都是统一的“CIH”。病毒后缀是指一个病毒的变种特征，用来区别具体某个家族病毒的某个变种，一般都采用26个字母表示。如：Worm.Sasser.b指振荡波蠕虫病毒的变种B。6.1计算机病毒概述常见的病毒前缀：1.系统病毒系统病毒的前缀为：Win32、PE、Win95、W32、W95等。

这些病毒的一般公有特性是可以感染windows操作系统的*.exe和*.dll文件，并通过这些文件进行传播。如CIH病毒。6.1计算机病毒概述2.蠕虫病毒蠕虫病毒的前缀是：Worm。

这种病毒的公有特性是通过网络或者系统漏洞进行传播，很大一部分蠕虫病毒都有向外发送带毒邮件，阻塞网络的特性。如：冲击波（阻塞网络），小邮差（发带毒邮件）等。6.1计算机病毒概述3.木马病毒、黑客病毒木马病毒前缀是：Trojan，黑客病毒前缀一般为：Hack。

木马病毒的公有特性是通过网络或者系统漏洞进入用户的系统并隐藏，然后向外界泄露用户的信息；黑客病毒则有一个可视的界面，能对用户的电脑进行远程控制。

如：QQ消息尾巴木马Trojan.QQ3344，针对网络游戏的木马病毒Trojan.LMir.PSW.60。6.1计算机病毒概述4.脚本病毒脚本病毒的前缀是：Script。脚本病毒还会有如下前缀：VBS、JS（表明是何种脚本编写的），如欢乐时光（VBS.Happytime）、十四日（Js.Fortnight.c.s）等。

脚本病毒的公有特性是使用脚本语言编写，通过网页进行传播，如红色代码（Script.Redlof）。6.1计算机病毒概述

5.宏病毒宏病毒的前缀是：Macro，第二前缀是：Word、Word97、Excel、Excel97等。宏病毒是一种寄存在文档或模板的宏中的计算机病毒。一旦打开这样的文档，其中的宏就会被执行，于是宏病毒就会被激活，转移到计算机上，并驻留在Normal模板上，从此以后，所有自动保存的文档都会“感染”上这种宏病毒。如：著名的美丽莎(Macro.Melissa)。6.1计算机病毒概述凡是只感染WORD97及以前版本WORD文档的病毒采用Word97做为第二前缀，格式是：Macro.Word97；凡是只感染WORD97以后版本WORD文档的病毒采用Word做为第二前缀，格式是：Macro.Word；凡是只感染EXCEL97及以前版本EXCEL文档的病毒采用Excel97做为第二前缀，格式是：Macro.Excel97；

凡是只感染EXCEL97以后版本EXCEL文档的病毒采用Excel做为第二前缀，格式是：Macro.Excel，依此类推。6.1计算机病毒概述6.后门病毒后门病毒的前缀是：Backdoor。该类病毒的公有特性是通过网络传播，给系统开后门，给用户电脑带来安全隐患。如IRC后门Backdoor.IRCBot。7、病毒种植程序病毒这类病毒的公有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下，由释放出来的新病毒产生破坏。如：冰河播种者（Dropper.BingHe2.2C）、MSN射手(Dropper.Worm.Smibag)等。6.1计算机病毒概述8．破坏性程序病毒

破坏性程序病毒的前缀是：Harm。

这类病毒的公有特性是本身具有好看的图标来诱惑用户点击，当用户点击这类病毒时，病毒便会直接对用户计算机产生破坏。

如：格式化C盘(Harm.formatC.f)、杀手命令(Harm.Command.Killer)等。6.1计算机病毒概述9．玩笑病毒玩笑病毒的前缀是：Joke，也称恶作剧病毒。

这类病毒的公有特性是本身具有好看的图标来诱惑用户点击，当用户点击这类病毒时，病毒会做出各种破坏操作来吓唬用户，其实病毒并没有对用户电脑进行任何破坏。

如：女鬼（Joke.Girlghost）病毒。6.1计算机病毒概述10．捆绑机病毒捆绑机病毒的前缀是：Binder。

这类病毒的公有特性是使用特定的捆绑程序将病毒与一些应用程序如QQ、IE捆绑起来，表面上看是一个正常的文件，当用户运行这些文件时，表面上运行这些应用程序，实际隐藏运行捆绑在一起的病毒，从而给用户造成危害。如：捆绑QQ（Binder.QQPass.QQBin）、系统杀手（Binder.killsys）等。6.1计算机病毒概述瑞星公司病毒命名规则：<主行为类型>.<子行为类型>.<宿主文件类型>.<主名称>.<版本信息>.<主名称变种号>参见：/virus/help/name_virus.htm病毒信息查询参见：/6.2典型的病毒分析U盘病毒ARP病毒熊猫烧香病毒手机病毒6.2典型的病毒分析6.2典型的病毒分析6.2.1U盘“runauto..”文件夹病毒及清除方法1.“runauto..”文件夹病毒经常在计算机硬盘里会发现名为“runauto..”的一个文件夹，在正常模式或安全模式下都无法删除，粉碎也不可以。如图所示为runauto..文件夹。6.2典型的病毒分析2.病毒清除方法假设这个文件夹在C盘，则删除办法是：在桌面点击“开始”→“运行”，输入“cmd”，再输入“C:”输入“rd/s/qrunauto...\”。就可以了，如图所示为删除runauto..文件夹的方法。6.2典型的病毒分析6.2.2U盘autorun.inf文件病毒及清除方法1.autorun.inf文件病毒目前几乎所有U盘类的病毒的最大特征都是利用autorun.inf这个来侵入的，而事实上autorun.inf相当于一个传染途径，经过这个途径入侵的病毒，理论上可以是“任何”病毒。6.2典型的病毒分析autorun.inf这个文件是很早就存在的，在WinXP以前的其他windows系统（如Win98，2000等），需要让光盘、U盘插入到机器自动运行的话，就要靠autorun.inf。这个文件是保存在驱动器的根目录下的，是一个隐藏的系统文件。它保存着一些简单的命令，告诉系统这个新插入的光盘或硬件应该自动启动什么程序，也可以告诉系统让系统将它的盘符图标改成某个路径下的icon。所以，这本身是一个常规且合理的文件和技术。6.2典型的病毒分析执行方式：一种是假回收站方式：病毒通常在U盘中建立一个“RECYCLER”的文件夹，然后把病毒藏在里面很深的目录中，一般人以为这就是回收站了，而事实上，回收站的名称是“Recycled”，而且两者的图标是不同的如图所示。6.2典型的病毒分析6.2典型的病毒分析

2.病毒清除方法对于autorun.inf病毒的解决方案如下：(1)如果发现U盘有autorun.inf，且不是你自己创建生成的，请删除它，并且尽快查毒。(2)如果有貌似回收站、瑞星文件等文件，而你又能通过对比硬盘上的回收站名称、正版的瑞星名称，同时确认该内容不是你创建生成的，请删除它。(3)一般建议插入U盘时，不要双击U盘，另外有一个更好的技巧：插入U盘前，按住Shift键，然后插入U盘，建议按键的时间长一点。插入后，用右键点击U盘，选择“资源管理器”来打开U盘。

6.2典型的病毒分析6.2.3U盘RavMonE.exe病毒及清除方法1.病毒描述经常有人发现自己的U盘有病毒，杀毒软件报出一个RavMonE.exe病毒文件，这个也是经典的一个U盘病毒。如图所示为RavMonE.exe病毒运行后出现在进程里。6.2典型的病毒分析2.解决方法(1)打开任务管理器（ctrl+alt+del或者任务栏右键点击也可），终止所有RavmonE.exe进程。(2)进入病毒目录，删除其中的ravmone.exe。(3)打开系统注册表依次点开HK_Loacal_Machine\software\Microsoft\windows\CurrentVersion\Run\，在右边可以看到一项数值是c:\windows\ravmone.exe的，把他删除掉。(3)完成后，重新启动计算机，病毒就被清除了。6.2典型的病毒分析6.2.4ARP病毒1.病毒描述ARP地址欺骗类病毒（以下简称ARP病毒）一般属于木马(Trojan)病毒，不具备主动传播的特性，不会自我复制。

由于其发作的时候会向全网发送伪造的ARP数据包，干扰全网的运行，因此它的危害比一些蠕虫还要严重得多。该病毒位居2007年病毒排行榜第二位，如表6.1所示。6.2典型的病毒分析6.2.4ARP病毒1.病毒描述6.2典型的病毒分析2.解决方法可以使用360ARP防火墙，这个防火墙可以在上下载。安装完成后，可以在综合设置里面设置对ARP病毒的防护，如图所示。6.2典型的病毒分析6.2.5“熊猫烧香”病毒2006年底，中国互联网上大规模爆发“熊猫烧香”病毒及其变种，盗取用户游戏账号、ＱＱ账号等。

截至案发为止，已有上百万个人用户、网吧及企业局域网用户遭受感染和破坏，引起社会各界高度关注，被称为2006年中国大陆地区的“毒王”。6.2典型的病毒分析据警方调查，“熊猫烧香”病毒的制作者为湖北省武汉市的李俊，另外雷磊等五名犯罪嫌疑人通过改写、传播“熊猫烧香”等病毒，构建“僵尸网络”，通过盗窃各种游戏和QQ账号等方式非法牟利。目前，6名犯罪嫌疑人已被刑事拘留。图为“熊猫烧香”病毒的制作者李俊。6.2典型的病毒分析6.2.6QQ与MSN病毒目前，网上利用QQ、MSN等聊天工具进行病毒传播，下图为通过QQ自动传播的病毒和通过MSN传播的网页病毒。另外黑客给QQ、MSN加木马，以盗取QQ、MSN的密码等信息。6.2典型的病毒分析

可以ping一下它的网址，如图所示。通过这种方式可以看到它的IP。6.2典型的病毒分析看到IP为7，再到网站上查找会发现这个网站实际上在香港。6.2典型的病毒分析2.QQ、MSN病毒防治方法对于QQ和MSN病毒的防治，可以采用专杀工具。例如，对于QQ病毒可以下载QQkav专杀工具，进行查杀。它的主界面如图所示。6.2典型的病毒分析6.2.7典型手机病毒介绍随着智能手机的不断普及，手机病毒成为了病毒发展的下一个目标。现在手机病毒已经从过去的利用手机系统漏洞进行攻击的类型，向针对开放式智能手机操作系统的类似电脑病毒的程序型转变，目前为止已经出现了三十多种针对智能手机的病毒。本文将向你介绍典型手机病毒的特征、防治方法和杀毒软件。6.2典型的病毒分析1.Cabir手机病毒介绍下面将介绍一种Cabir手机病毒。它的别名包括：EPOC.Cabir，Worm.Symbian.Cabir.a，EPOC/Cabir.A，EPOC_CABIR.A，Symbian/Cabir等。目标手机主要是SymbianOSS60平台手机。主要危害包括干扰蓝牙通讯，加大电力消耗等。6.2典型的病毒分析1.Cabir手机病毒介绍下面将介绍一种Cabir手机病毒。它的别名包括：EPOC.Cabir，Worm.Symbian.Cabir.a，EPOC/Cabir.A，EPOC_CABIR.A，Symbian/Cabir等。目标手机主要是SymbianOSS60平台手机。主要危害包括干扰蓝牙通讯，加大电力消耗等。6.2典型的病毒分析当文件被执行后，手机的屏幕上会提示“InstallCaribe？”，如图所示。6.2典型的病毒分析一旦开始安装，手机屏幕上会显示“Caribe-VZ/29a”，如图所示。6.2典型的病毒分析病毒安装过程中，会对Symbian操作系统进行修改。此后用户每次打开手机时，Cabir也随之启动。Cabir会在手机上创建以下文件夹，如图所示。6.2典型的病毒分析2.Cabir手机病毒防治对于Cabir病毒最好的防治方法是：在不用蓝牙功能时，将手机的蓝牙设置为隐藏（不可被搜索到）或者直接关闭6.3恶意软件概述恶意软件俗称流氓软件，是对破坏系统正常运行的软件的统称。恶意软件介于病毒软件和正规软件之间，同时具备正常功能（下载、媒体播放等）和恶意行为（弹广告、开后门），给用户带来实质危害。目前，互联网上有许多恶意软件，如一搜工具条、完美网译通、博采网摘、百度搜霸、3721上网助手、很棒小秘书、网络猪、划词搜索等。6.3恶意软件概述6.3.1恶意软件的概述2006年，中国互联网协会反恶意软件协调工作组在充分听取成员单位意见的基础上，最终确定了“恶意软件”定义并向社会公布：恶意软件俗称“流氓软件”，是指在未明确提示用户或未经用户许可的情况下，在用户计算机或其他终端上安装运行，侵害用户合法权益的软件，但不包含我国法律法规规定的计算机病毒。6.3恶意软件概述具有下列特征之一的软件可以被认为是恶意软件：强制安装：指未明确提示用户或未经用户许可，在用户计算机或其他终端上安装软件的行为。难以卸载：指未提供通用的卸载方式，或在不受其他软件影响、人为破坏的情况下，卸载后仍然有活动程序的行为。浏览器劫持：指未经用户许可，修改用户浏览器或其他相关设置，迫使用户访问特定网站或导致用户无法正常上网的行为。广告弹出：未明确提示用户或未经用户许可，利用安装在用户计算机或其他终端上的软件弹出广告的行为。6.3恶意软件概述恶意收集用户信息：指未明确提示用户或未经用户许可，恶意收集用户信息的行为。恶意卸载：指未明确提示用户、未经用户许可，或误导、欺骗用户卸载其他软件的行为。恶意捆绑：指在软件中捆绑已被认定为恶意软件的行为。其他侵害用户软件安装、使用和卸载知情权、选择权的恶意行为。6.3恶意软件概述6.3.2恶意软件的类型根据恶意软件的表现，可以分为以下9类。1.广告软件（Adware）指未经用户允许，下载并安装或与其他软件捆绑并通过弹出式广告或以其他形式进行商业广告宣传的程序。2.间谍软件（Spyware）能够在使用者不知情的情况下，在用户电脑上安装后门程序的软件。6.3恶意软件概述3.浏览器劫持：

指未经用户许可，修改用户浏览器或其他相关设置，迫使用户访问特定网站或导致用户无法正常上网的行为。4.行为记录软件（TrackWare）指未经用户许可窃取、分析用户隐私数据，记录用户使用电脑、访问网络习惯的软件。5.恶意共享软件(MaliciousShareware)

指采用不正当的捆绑或不透明的方式强制安装在用户的计算机上，使软件很难被卸载或采用一些非法手段强制用户购买的免费、共享软件。6.3恶意软件概述6.搜索引擎劫持搜索引擎劫持是指未经用户授权，自动修改第三方搜索引擎结果的软件。7.自动拨号软件指未经用户允许，自动拨叫软件中设定的电话号码的程序。8.网络钓鱼(Phishing)

网络钓鱼一词，是“Fishing”和“Phone”的综合体，由于黑客始祖起初是以电话作案，所以用“Ph”来取代“F”，创造了Phishing，Phishing发音与Fishing相同。9.ActiveX控件

指使无论任何语言产生的软件在网络环境中能够实现互操作性的一组技术。6.3恶意软件概述6.3.3恶意软件的清除防止恶意软件入侵可以采取如下方法：养成良好健康的上网习惯，不访问不良网站，不随便点击小广告。下载安装软件尽量到该软件的官方网站，或者信任度高的下载站点进行下载。安装软件的时候每个安装步骤最好能仔细看清楚，防止捆绑软件入侵。安装如360安全卫士等安全类软件，定时对系统做诊断，查杀恶意软件。如图所示为360安全卫士的主界面。6.3恶意软件概述如图所示为360安全卫士的主界面。思考题什么是计算机病毒，它怎么产生的？计算机病毒的特征有哪些？如何清除U盘里的autorun.inf病毒？什么是恶意软件？恶意软件有哪些类型？莫里斯蠕虫病毒由美国康乃尔大学一年级研究生罗伯特·莫里斯编写。程序只有99行，利用了Unix系统中的漏洞，用Finger命令查找联机用户名单，破译用户口令，再用Mail系统复制、传播本身的源程序，再编译生成代码。最初的网络蠕虫设计目的是当网络空闲时，程序就在计算机间“游荡”而不带来任何损害。当有机器负荷过重时，该程序可以从空闲计算机“借取资源”而达到网络的负载平衡。莫里斯蠕虫不是“借取资源”，而是“耗尽所有资源”。莫里斯蠕虫病毒是通过互联网传播的第一种蠕虫病毒，也是依据美国1986年的《计算机欺诈及滥用法案》而定罪的第一宗案件。莫里斯蠕虫病毒影响

1990年5月5日，纽约地方法庭根据罗伯特·莫里斯设计病毒程序，造成包括国家航空和航天局、军事基地和主要大学的计算机停止运行的重大事故，判处莫里斯三年缓刑，罚款一万美金，义务为新区服务400小时。莫里斯事件震惊了美国社会乃至整个世界。而比事件影响更大、更深远的是：黑客从此真正变黑，黑客伦理失去约束，黑客传统开始中断，大众对黑客的印象永远不可能恢复。而且，计算机病毒从此步入主流。爱虫病毒

2000年5月4日，一种名为“我爱你”的电脑病毒开始在全球各地迅速传播。这个病毒通过MicrosoftOutlook电子邮件系统传播，邮件的主题为“ILOVEYOU”，并包含一个附件。一旦在MicrosoftOutlook里打开这个邮件，系统就会自动复制并向地址簿中的所有邮件地址发送这个病毒。这个病毒可以改写本地及网络硬盘上面的某些文件。用户机器染毒以后，邮件系统将会变慢，并可能导致整个网络系统崩溃。

“爱虫”病毒的袭击对象并不是普通的计算机用户，而是那些具有高价值IT资源的电脑系统：据称：“爱虫”病毒是迄今为止发现的传染速度最快而且传染面积最广的计算机病毒，它已对全球包括股票经纪、食品、媒体、汽车和技术公司以及大学甚至