第7章计算机病毒及防范

第7章网络病毒防范与清杀7.1计算机病毒基础知识7.2网络病毒的防范和清杀7.3典型网络病毒介绍7.4常用杀毒软件介绍7.1计算机病毒基础知识7.1.1计算机病毒定义7.1.2计算机病毒的发展历史7.1.3计算机病毒的特点7.1.4计算机病毒的种类7.1.5计算机病毒的工作原理7.1.6计算机病毒的检测、防范和清杀7.1.1计算机病毒定义计算机病毒在《中华人民共和国计算机信息系统安全保护条例》中明确定义为：“指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据、影响计算机使用，并能够自我复制的一组计算机指令或者程序代码”。此定义具有法律性、权威性。7.1.2计算机病毒的发展历史

早在1949年，计算机先驱者冯.诺依曼就在他的论文《复杂计算机组织论》中，提出了计算机程序能够在内存中自我复制，勾勒出了病毒程序的蓝图。1983年11月3日，弗雷德.科恩博士研制出了一种在运行过程中可以自我复制坏性程序，伦.艾德勒曼将它名命为计算机病毒，在VAX11/750计算机系统上运行，第一个病毒实验成功，从而在实验上验证了计算机病毒的存在。1985年初，在巴基斯坦的拉合尔，巴喜特和阿姆杰得两兄弟为了防盗版，编写了“巴基斯坦智囊”（PaKistanBrain）病毒，该病毒传染软盘引导，一年后病毒以强劲势头流传到了全世界。这是最早在世界上流行的一个真正的病毒。几乎同时，世界上各地的计算机用户也发现了形形色色的计算机病毒，如黑色星期五、大麻等。。

7.1.3计算机病毒的特点在计算机病毒所具有的特征中,传染性、潜伏性、触发性和破坏性是它的基本特征。其次，它还有隐蔽性、针对性、衍生性和不可预见性等。1．传染性病毒的传染性也称为自我复制和可传播性，这是计算机病毒的本质特征，在一定条件下，病毒通过某种渠道从一个文件或一台计算机传染到另外没有被感染的文件或计算机，轻则造成被感染的计算机数据或工作失常；重则便计算机瘫痪。。2．潜伏性具有依附于其他媒体寄生的能力。一个编制巧妙的病毒程序，可以在几周或几个月内进行传播和再生而不被发觉。3．触发性触发性是指计算机病毒的发作一般都有一个激发条件，即一个条件控制。4．破坏性任何病毒只要侵入系统，都会对系统及应用程序产生程度不同的影响。轻者会降低计算机工作效率，占用系统资源，重者可致系统崩溃。由此特性可将病毒分为良性病毒与恶性病毒。5．隐蔽性病毒一般是指编写巧妙、短小精悍的程序。通常附在正常程序中或磁盘较隐蔽的地方，也有个别的以隐含文件形式出现。目的是不让用户发现它的存在。6．针对性计算机病毒是针对特定的计算机和特定的操作系统的。例如，有针对IBM/PC机及其兼容机的，有针对Apple公司的Macintosh的，还有针对UNIX操作系统的。如小球病毒是针对IBMPC机及其兼容机上的ＤＯＳ操作系统的。7．衍生性这种特性为病毒制造者提供了一种创造新病毒的捷径。分析计算机病毒的结构可知，传染的破坏部分反映了设计者的设计思想和设计目的，但是，这可以被其他掌握原理的人以其个人的企图进行任意改动，从而以衍生出一种不同于原版本的新的计算机病毒（又称为变种）。这就是它的衍生性。8．不可预见性不同种类病毒的代码千差万别，病毒的制作技术也在不断地提高，病毒比反病毒软件永远是超前的。7.1.4计算机病毒的种类

按照基本类型划分，可归纳为6种类型，引导型病毒、可执行病毒、宏病毒、混合型病毒、特洛伊木马病毒和Web网页病毒。1．引导型病毒主要是感染软盘、硬盘的引导扇区或主引导扇区，在用户对软盘、硬盘进行读写操作时进行感染活动。。2．可执行文件病毒它主要是感染可执行文件（对于DOS或Windows来说是感染.COM和.EXE等可执行文件）。3．宏病毒它是利用高级语言——宏语言编制的病毒。宏病毒仅向WORD、EXCEL、ACCESS、POWERPOINET和PROJECT等办公自动化程序编制的文档进行传染，而不会传染给可执行文件。4．混合型病毒顾名思义，是以上几种病毒的混合。混合型病毒的目的是为了综合利用以上3种病毒的传染渠道进行破坏。国内流行的混合型病毒有：One_half、Casper、Natas、Flip。5．特洛伊木马型病毒也叫黑客程序或后门病毒。一般这种病毒分成服务器端和客户端两部分，如计算机网络中服务器端被此程序感染，别人可通过网络中其他计算机任意控制此计算机，并获得重要文件。国内流行的此类病毒有BO、NETSPY等。6．Web网页病毒7.1.5计算机病毒的工作原理1．计算机病毒的工作过程计算机病毒的完整工作过程一般应包括以下几个环节1）传染源2）传染媒介3）病毒激活4）病毒表现5）传染2．计算机病毒的引导机制（1）计算机病毒的寄生对象计算机病毒存储在磁盘上，为了进行自身的主动传播，必须寄生在可以获得执行权的寄生对象上。（2）计算机病毒的寄生方式计算机病毒的寄生方式有两种，一种是采用替代法；另一种是采用链接法，所谓替代法是指病毒程序用自己的部分或全部指令代码，替代磁盘引导扇区或文件中的全部或部分内容。所谓链接法则是指病毒程序将自身代码作为正常程序的一部分与原有正常程序链接在一起。(3)驻留内存计算机病毒若要发挥破坏作用,要开辟所用内存空间或覆盖系统占用的部分内存空间以便驻留内存。3．计算机病毒的触发机制目前病毒采用的触发条件主要有以下几种：1）时间触发：时间触发包括特定的时间触发、染毒后累计工作时间触发、文件最后写入时间触发等。2）键盘触发：有些病毒监视用户的击键动作，当发现病毒预定的键入时，病毒被激活，进行某些特定操作。键盘触发包括击键次数触发、组合键触发、热启动触发等。3）日期触发：许多病毒采用日期做触发条件。日期触发大体包括：特定日期触发、月份触发、前半年后半年触发等。4）启动触发：病毒对机器的启动次数计数，并将此值作为触发条件称为启动触发。5）访问磁盘次数触发：病毒对磁盘I/O访问的次数进行计数，以预定次数做触发条件叫访问磁盘次数触发。6）调用中断功能触发：病毒对中断调用次数计数，以预定次数做触发条件。4．计算机病毒的破坏行为把病毒的破坏目标和攻击部位归纳如下：1）攻击系统数据区2）攻击文件3）攻击内存4）干扰系统运行5）运行速度下降6）攻击磁盘7）攻击CMOS5．计算机病毒的传播（1）计算机病毒传播的一般过程在系统运行时，计算机病毒通过病毒载体即系统的外存储器进入系统的内存储器，常驻内存。该病毒在系统内存中监视系统的运行，当它发现有攻击的目标存在并满足条件时，便从内存中将自身存入被攻击的目标，从而将病毒进行传播。（2）计算机病毒的传播途径从计算机病毒的传播机制分析可知，只要是能够进行数据交换的介质都可能成为计算机病毒传播途径。现在通过Internet传播计算机病毒与过去手工传播计算机病毒的方式相比速度要快得7.1.6计算机病毒的检测、防范和清杀1．计算机病毒的检测判断自己的计算机中是否染有病毒，最简单的方法是用较新的防病毒软件对磁盘进行全面的检测。无论什么病毒，在其侵入系统后总会留下一些“蛛丝马迹”。如何能够及早地发现新病毒呢?常用的检测病毒方法有：特征代码法、校验和法、行为监测法、软件模拟法，这些方法依据的原理不同，实现时所需开销不同，检测范围不同，各有所长。2．计算机病毒的防范防范是对付计算机病毒的积极而又有效的措施，比等待计算机病毒出现之后再去扫描和清除能更有效地保护计算机系统。要做好计算机病毒的防范工作，首先是防范体系和制度的建立。其次，利用反病毒软件及时发现计算机病毒侵入，对它进行监视、跟踪等操作，并采取有效的手段阻止它的传播和破坏。7.2网络病毒的防范和清杀

按照计算机病毒的传播媒介来分类，可分为单机病毒和网络病毒。单机病毒就是以前的DOS病毒、Windows病毒和能在多操作系统下运行的宏病毒。单机病毒的载体是磁盘，常见的是病毒从软盘传入硬盘，感染系统，然后再传染其他软盘，软盘又传染其他系统。网络病毒通过计算机网络传播感染网络中的可执行文件，它的传播媒介不再是移动式载体，而是网络通道，这种病毒的传染能力更强，破坏力更大1．网络病毒的防范措施1）不使用或下载来源不明的软件。2）不轻易上一些不正规的网站。3）提防电子邮件病毒的传播。一些邮件病毒会利用ActiveX控件技术，当以HTML方式打开邮件时，病毒可能就会被激活。4）经常关注一些网站、BBS发布的病毒报告，这样可以在未感染病毒时做到预先防范。5）及时更新操作系统，为系统漏洞打上补丁。6）对于重要文件、数据做到定期备份。2．网络病毒的清杀一旦在网络上发现病毒,应设法立即清除,其操作步骤如下。1）立即通知所有用户下网，关闭文件服务器。2）用带有写保护的、干净的系统盘启动系统管理员工作站，并立即清除本机病毒。3）用带有写保护的、干净的系统盘动文件服务器。系统管理员登录并下命令禁止其他用户登录。4）将文件服务器硬盘中的重要资料备份。5）用杀毒软件扫描服务器上所有的文件，恢复或删除被病毒感染的文件，重新安装被删除的文件。6）用杀毒软件扫描并清除所有可能染上病毒的软盘或备份文件中的病毒。7）用杀毒软件扫描并清除所有的有盘工作站硬盘上的病毒。8）在确信病毒已经彻底清除后，重新启动网络和工作站。7.3典型网络病毒介绍7.3.1宏病毒7.3.2电子邮件病毒7.3.3网络病毒实例

返回本章首页

7.3.1宏病毒1．宏病毒的定义所谓宏,就是软件设计者为了在使用软件工作时,避免一再地重复相同的动作而设计出来的一种工具。“宏病毒”就是利用软件所支持的宏命令编写的具有复制、传染能力的宏。宏病毒是一种新形态的计算机病毒，也是一种跨平台式计算机病毒，可以在Windows9X、WindowsNT、OS/2和MacintoshSystem7等操作系统上执行病毒行为。2．宏病毒的特征1）宏病毒会感染.doc文档.dot模板文件。2）宏病毒的传染通常是Word在打开一个带宏病毒的文档或模板时，激活宏病毒，病毒宏将自身复制到Word通用（Normal）模板中，以后在打开或关闭文件时宏病毒就会把病毒复制到该文件中。3）多数宏病毒包含AutoOpen、AutlClose、AutoNew和AutoExit等自动宏，通过这些自动宏病毒取得文档（模板）操作权。4）宏病毒中总是含有对文档读/写操作的宏命令。5）Word宏病毒在发作时，会使Word运行出现怪现象，如自动建文件、开窗口、内存总是不够、关闭Word并不对已修改文件提出未存盘警告、存盘文件丢失等，有的使打印机无法正常打印。3．宏病毒的防范和清除宏病毒的防治和清除方法：1）使用选项“提示保存Normal模板”。2）不要通过Shift键来禁止运行自动宏。3）查看宏代码并删除。4）使用DisableAutoMacros宏5）使用Word97的报警设置。6）设置Normal.dot

的只读属性。7）Normal.dot的密码保护。

7.3.2电子邮件病毒所谓电子邮件病毒就是以电子邮件作为传播途径的计算机病毒，实际上该类病毒和普通的病毒一样，只不过是传播方式改变而已。该类计算机病毒的特点包括以下几方面。1）电子邮件本身是无毒的，但它的内容中可以有UNIX下的特殊的换码序列，就是通常所说的ANSI字符，当用UNIX智能终端上网查看电子邮件时，有被侵入的可能。2）电子邮件可以夹带任何类型的文件作为附件(Attachment)，附件文件可能带有病毒。3）可利用某些电子邮件收发器特有的扩充功能。4）可利用某些操作系统所特有的功能来进行破坏。5）超大的电子邮件或电子邮件炸弹也可以被认为是一种电子邮件计算机病毒，它能够以下是一些常用的预防电子邮件计算机病毒的方法。1）不要轻易执行附件中的EXE和COM等可执行程序。2）不要轻易打开附件中的文档文件。

3）不要直接打开文件扩展名很怪的附件，或者是带有脚本文件如·.VBS、*.SHS等的附件，4）如果使用Outlook作为收发电子邮件的软件，应当进行一些必要的设置。5）如果使用OutlookExpress作为收发电子邮件的软件，也应当进行一些必要的设置。这样可以防止有些电子邮件计算机病毒利用OutlookExpress的缺省设置自动运行，破坏系统。6）对于使用Windows98操作系统的计算机，7）对于自己往外传送的附件，也一定要仔细检查，确定无毒后，才可发送。7.3.3网络病毒实例1．电子邮件炸弹电子邮件炸弹是指发件者以不明来历的电子邮件地址，不断重复将电子邮件寄于同一个人。由于情况就像是战争时利用某种战争工具对同一个地方进行大轰炸，因此称为电子邮件炸弹。电子邮件炸弹之所以可怕，是因为它可以大量消耗网络资源。比较有效的防御方式是，用户可以在电子邮件中安装一个过滤器，在接收任何电子邮件之前预先检查发件人的资料，如果觉得有可疑之处，可以将它删除，不让它进入你的电子邮箱。2．恶意网页（1）恶意网页的原理对于恶意网页，常常采取Vbscript和JavaScript编程的形式，由于编程方式十分简单，所以在网上非常流行。（2）恶意网页的预防１）禁用WindowsScriptingHost。

2）不要轻易去点击陌生的站点，有可能里面就含有恶意代码。

3）不随意查看陌生邮件，尤其是带有附件的邮件。

4）安装防病毒产品并保证更新最新的病毒特征码。7.4常用杀毒软件介绍7.4.1瑞星杀毒软件7.4.2金山杀毒软件7.4.3KV2006返回本章首页7.4.1瑞星杀毒软件7.4.1瑞星杀毒软件瑞星杀毒软件2006版，是北京瑞星科技股份有限公司采用最新技术开发的新一代信息安全产品。使用第七代极速引擎，查杀毒速度提升30%，对各种网络病毒、木马、黑客攻击具有全面查杀和主动防御能力，能够快速杀灭已知病毒、未知病毒、黑客木马、恶意网页、间谍软件等各种有害程序。同时提供漏洞扫描、系统修复、垃圾邮件过滤、硬盘备份、个人防火墙、木马墙、上网安全助手等各种功能，配合实时在线升级和在线专家门诊，是互联网时代抵御各种网络威胁的必备工具软件。返回本节目录7.4.2金山杀毒软件金山公司是国内著名的软件公司，其开发的金山毒霸对查毒速度做了优化，可以快速、彻底的查杀