09第九章 计算机病毒

第九章计算机病毒

§9.1计算机病毒概述★§9.2病毒的结构与作用机理★§9.3计算机病毒的防范★§9.4几种常见的计算机病毒§9.1计算机病毒概述9.1.1病毒的概念与特征9.1.2病毒的起源与分类

Return9.1.1病毒的概念与特征1、什么是计算机病毒计算机病毒与医学上的“病毒〞不同：它不是天然存在的，是某些人根据计算机软、硬件所固有的弱点，而编制出的具有特殊功能的程序。与生物医学上的"病毒"在很多方面都很相似，由于这种程序具有传染和破坏的特征，因此习惯上将这些“具有特殊功能的程序〞称为"计算机病毒"。从广义上讲，凡能够引起计算机故障，破坏计算机数据的程序统称为计算机病毒。依据此定义，诸如逻辑炸弹，蠕虫等均可称为计算机病毒。在国内，专家和研究者对计算机病毒也做过不尽相同的定义，但一直没有公认的明确定义。与正常计算机程序的差异：病毒能使自身的代码强行传染到一切符合其传染条件的未受到传染的程序之上。未经授权而执行。一般正常的程序是由用户调用，再由系统分配资源，完成用户交给的任务。其目的对用户是可见的。病毒隐藏在正常程序中，当用户调用正常程序时窃取到系统的控制权，先于正常程序执行，病毒的动作、目的对用户是未知的，是未经用户允许的。1994年2月18日，我国正式公布实施了?中华人民共和国计算机信息系统平安保护条例?，在?条例?第二十八条中明确指出：“计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。〞此定义具有法律性和权威性。2、计算机病毒的根本特征1)传染性。这是病毒的根本特征，是否具有传染性是判别一个程序是否为计算机病毒的最重要条件。计算机病毒会通过各种渠道从已被感染的计算机扩散到未被感染的计算机(软盘、光盘、计算机网络等)。病毒程序代码一旦进入计算机并得以执行，它会搜寻其他符合其传染条件的程序或存储介质，将自身代码插入其中，到达自我繁殖的目的。2)隐蔽性。病毒为了保护自己，一般采用以下方法隐藏自己：短小精悍(病毒一般只有几百或1k字节)附在正常程序中或磁盘较隐蔽的地方(以隐含文件形式出现)分散和多处隐藏(而当有病毒程序潜伏的程序体被合法调用时，病毒程序也合法进入，并可将分散的程序局部在所非法占用的存储空间进行重新装配，构成一个完整的病毒体投入运行。)加密变体3)潜伏性。大局部的病毒感染系统之后一般不会马上发作，它可长期隐藏在系统中，悄悄地繁殖和扩散而不被觉察，使得许多数据资源成为病毒的携带者而迅速向外传播。只有在满足其特定条件时才启动其表现(破坏)模块。潜伏的目的是为了赢得足够的时间，充分扩散，最后造成尽可能大的破坏。4)破坏性(表现性)。任何病毒只要侵入系统，都会对系统及应用程序产生程度不同的影响。由此特性可将病毒分为良性病毒与恶性病毒。良性病毒可能只显示些画面或出点音乐、无聊的语句，或者根本没有任何破坏动作，但会占用系统资源。这类病毒表现较为温和。恶性病毒那么有明确的目的，或破坏数据、删除文件或加密磁盘、格式化磁盘，有的对数据造成不可挽回的破坏。表现和破坏是病毒的最终目的。5)不可预见性。从对病毒的检测方面来看，病毒有不可预见性。病毒的代码千差万别。传染条件，传染方式，传染对象不同。破坏条件，破坏方式，破坏对象不同。以上情况处于变化之中。病毒的制作技术在不断的提高，病毒对反病毒软件永远是超前的。某些正常程序使用了类似病毒的操作甚至借鉴了某些病毒的技术。6)触发性。满足传染触发条件时，病毒的传染模块会被激活，实施传染操作。满足表现触发条件时，病毒的表现模块会被激活，实施表现或破坏操作。7)针对性。有一定的环境要求，并不一定对任何系统都能感染。8)依附性。病毒依附在合法的可执行程序上。Return9.1.2病毒的起源与分类1、计算机病毒的起源电脑病毒的历史：磁蕊大战早在1949年,电脑的先驱者JohnVonNeumann在他所提出的一篇论文[复杂自动装置的理论及组织的进行]里,已把病毒程序的蓝图勾勒出来。直到十年之后,在美国电报公司(AT&T)的贝尔(Bell)实验室中,这些概念在一种很奇怪的电子游戏中成形了,这种电子游戏叫做“磁蕊大战〞(corewar)。磁蕊大战是当时贝尔实验室中三个二十多岁的年轻程序员在工余想出来的,他们中的一个是莫里斯。磁蕊大战的玩法:双方各写一个程序,输入到电脑中,这两个程序在电脑的存储系统内互相追杀,有时它们会放下一些关卡,有时会停下来修复(重新写)被对方破坏的几行指令;当它被困时,也可以把自己复制一次,逃离险境。游戏直到一方的程序被另一方的程序“吃掉〞为止。计算机病毒赖以生存的根底：1)现代计算机具有相同的工作原理。2)操作系统的公开性与脆弱性。3)网络协议中的平安漏洞。一些计算机专业人员出于开玩笑、炫耀技术水平和惩罚拷贝等原因，研制了一些病毒程序，从而使病毒程序不断蔓延，所造成的后果是这些人事先无法估计到的。随着计算机病毒的危害性日益被人们所认识以及病毒研制技术的不断提高，计算机病毒已被越来越多地应用于特殊目的——破坏。实际的计算机病毒出现在20世纪80年代的初期，随着个人计算机的飞速开展和普及，20世纪90年代计算机病毒开始大范围流行。随着Internet的迅猛开展，计算机病毒的危害才被人们真正认识。2、计算机病毒的分类1)

按破坏性可分为：良性病毒：仅是为了表现自己的存在，不直接破坏计算机的软硬件，对系统危害较小，但会消耗系统的资源。恶性病毒：会对计算机的软硬件进行恶意攻击，如破坏数据、删除文件、破坏主板导致死机或网络瘫痪等。2)按传染方式分为：引导型病毒：攻击用于引导计算机的程序。一个引导记录病毒可以感染软引导记录程序，活动分区引导记录或主引导记录的自举程序。文件型病毒：一般只传染磁盘上的可执行文件(COM，EXE)。混合型病毒：兼有以上两种病毒的特点，既染引导区又染文件。3)按连接方式分为：源码型病毒：较为少见，亦难以编写。因为它要攻击高级语言编写的源程序，在源程序编译之前插入其中，并随源程序一起编译、连接成可执行文件。此时刚刚生成的可执行文件便已经带毒了。入侵型病毒：可用自身代替正常程序中的局部模块或堆栈区。因此这类病毒只攻击某些特定程序，针对性强。一般情况下也难以被发现，去除起来也较困难。操作系统型病毒：可用其自身局部参加或替代操作系统的局部功能。因其直接感染操作系统，这类病毒的危害性也较大。外壳型病毒：将自身附在正常程序的开头或结尾，相当于给正常程序加了个外壳。Return§9.2病毒的结构与作用机理

9.2.1计算机病毒的一般结构9.2.2计算机病毒的作用机理

Return9.2.1计算机病毒的一般结构计算机病毒有两种状态：静态和动态。静态病毒是指存储介质(如磁盘。磁带等)上的计算机病毒，它没有处于加载状态，不能执行病毒的传染和破坏功能。动态病毒是指已进入内存，正处于运行状态，或通过某些中断能立即获得运行权的病毒，它时刻监视系统的运行状态，一旦条件满足，即进行传染和破坏。计算机病毒的结构：三大功能模块，即引导模块，传染模块和破坏(表现)模块。1、引导模块病毒程序运行时，首先运行的是病毒引导模块。引导模块首先对运行环境进行调查，然后向系统申请病毒运行所需的资源，接着将传染模块和破坏(表现)模块导入内存运行。(导入、保护、设置运行条件)2、传染模块传染模块是病毒程序的核心，是判断某个程序是否为病毒的首要条件。传染模块由两局部组成：传染条件判断和传染局部。传染条件判断：根据预定的传染条件是否满足，控制病毒的感染动作。传染条件有多种，如日期、时间、特定程序、动作等，当然也可以是其他逻辑条件。传染局部：它是使病毒代码链接于宿主程序之上的局部，即使病毒进行传染动作的局部。传染局部首先寻找要传染的文件(如可执行文件)，接着检查该文件是否已被感染(一般病毒都会在已感染过的程序中留下一些标志，防止重复感染)，假设设有被本病毒感染过．那么进行感染，将病毒放入宿主程序。3、破坏(表现)模块破坏(表现)模块也由两局部构成：病毒触发条件判断和病毒具体表现局部。表现分为良性表现和恶性表现。病毒触发条件判断与传染模块的传染条件判断类似，判断是否破坏以及何时破坏。病毒的破坏或表现局部是病毒程序的主体，在一定程度上反映了病毒设计者的意图。它负责实施病毒的破坏动作，其内部是实施病毒预定动作的代码。这些破坏活动可能是破坏文件、数据，格式化磁盘，破坏或强占计算机存储空间、时间，降低系统效率，或使系统崩溃之类的动作。有的病毒不执行破坏动作，只做特定的表现，如显示特定的信息或画面、发出特殊的声音等，因此没有破坏模块，而只有表现模块。Return9.2.2计算机病毒的作用机理1、计算机病毒的工作流程计算机病毒的工作流程如下图。从图中可以看出，病毒通过第一次非授权加载，引导模块被执行，病毒由静态变为动态。2、病毒的引导计算机病毒只有处在动态方式下，才具有传染和破坏的能力。病毒的引导模块具有三个功能：把病毒程序代码引入内存。病毒一旦被激活．首先想方设法窃取局部内存．使自身代码藏匿于此。对内存中的病毒代码采取保护措施，使之不会被覆盖。病毒将自身的程序代码保存在内存中的手段主要有两种：通过程序驻留；将病毒代码移到内存高端，然后修改内存大小指示单元。对内存中的病毒代码设定某种激活方式。修改中断向量以便在特定的条件下取得执行权。病毒的引导模块既可与其它两个模块一起运行，也可与两个模块中的一个一起运行，甚至于独立先运行。3、计算机病毒的传染过程计算机病毒的传染途径主要有两种：一种是利用存储介质等传染载体进行传染；另一种是以网络作为传染载体。网络已渐渐成为病毒传染的主要途径。病毒通过引导模块驻留到内存中后，监视系统的运行，选择时机进行传染。一旦传染条件成立，传染模块被激活并会马上对攻击目标进行判断，以确定是否传染。当确定对某个文件进行传染后，要通过适当的方式把病毒写入磁盘，同时保证被感染对象仍可正常运行，即进行的是传染而非破坏。4、计算机病毒的破坏机制病毒可在第一次加载时只把引导模块引入内存，以后受到某些中断机制的触发，如小球病毒的破坏模块一般不会在启动系统时就发作，它必须等整点或半点时，再由INT13H激活发作。结构上，破坏模块类似于传染模块，分为两个局部，一局部判断破坏的条件是否满足，另一局部执行破坏功能。执行破坏所要求的条件一般会与时钟和时间有关，因而病毒程序最常修改的中断除了诸如病毒传染利用的INT13H、INT21H外，还有诸如破坏模块利用的INT71H(硬时钟中断)、INT1CH(软时钟中断)及INT1AH(读取/设立系统时间、日期中断)，如黑色星期五(某月的13号正好是星期五)；当前时间是整点或半点；病毒进入内存已半小时了等等。Return§9.3计算机病毒的防范9.3.1反病毒的一般方法9.3.2先进的反病毒技术9.3.3防病毒系统介绍Return9.3.1反病毒的一般方法对于病毒威胁最理想的解决方法是不允许病毒进入系统，如采用病毒防火墙。这个目标不易实现，一旦病毒侵入系统就要进行下面的工作：检测：一旦发生了感染，确定它的发生并且定位病毒。识别：检测完毕后，识别感染程序的特定病毒。去除：在标识了特定病毒后，从被感染的程序中去除病毒的所有痕迹，将程序恢复到原来的状态。从所有被感染的系统中去除病毒使得病毒不能进一步传播。如果检测成功但标识或去除都是不可能的，那么选择就是丢弃被感染的程序，重新装载一个干净的备份版本。病毒和反病毒技术的进步是携手并进的。总体上讲，反病毒软件经历了如下开展阶段：

第一代：简单的扫描程序。

第二代：启发式的扫描程序。

第三代：行为陷阱。

第四代：全方位的保护。第一代的扫描程序需要病毒特征来识别病毒。本质上所有的副本具有相同的结构和比特模式。这种与病毒标记(特征)有关的扫描程序只能检测的病毒。有的扫描程序维护有程序长度的记录，并根据程序长度的改变来查找病毒。第二代的扫描程序不依赖专门的标记。扫描程序使用启发式的规那么来搜索可能的病毒感染。这种扫描程序的一个类别是查找经常和病毒联系在一起的代码段。例如，扫描程序可能查找多形病毒中使用的加密循环的开始，并发现加密密钥：一旦发现了密钥，扫描程序可以解密病毒来识别它．然后删除感染局部．恢复程序的原有功能。另一种方法是完整性检查。可以为每个程序附加鉴别码。如果病毒感染了程序，但没有修改鉴别码，那么一次完整性检查将会抓住变化。为了对付可以在感染程序时修改鉴别码的复杂病毒，可以使用加密的散列函数。加密密钥和程序分开存放，使得病毒不能生成新的散列代码并对其加密。通过使用散列函数而不是更简单的检验和．可以防止病毒象以前一样调整程序来产生同样的散列代码。第三代程序是一些存储器驻留程序，它们通过病毒的动作而不是通过其在被感染程序中的结构来识别病毒：这样的程序的优点在于它不必为数量巨大的病毒开发签名和启发式规那么。相反，只需要识别有限的指示了感染的正在进行的动作集合，然后进行干预。第四代产品是一些由不同的联合使用的反病毒技术组成的软件包。这些技术中包括了扫描和行为陷阱构件。另外，这样的软件包还包括了访问控制能力，通过限制病毒对系统进行渗透的能力，进而限制病毒在感染时对文件进行修改的能力。第四代软件包使用了更加综合的防卫策略．将防卫的范围扩大到更加通用的计算机平安领域。Return9.3.2先进的反病毒技术两种具有潜力的技术：1、GD技术GD(GenericDecryption)技术可使反病毒程序容易地检测出甚至是最复杂的多形病毒。包含一个多形病毒的文件在执行时，病毒必须解密自身来激活病毒模块。可执行文件通过GD扫描器来运行，扫描器包括下面一些构件：CPU模拟器病毒签名扫描器模拟控制模块模拟器解释目标代码中的指令。代码中的病毒解密例程会被解释。控制模块定期中断解释工作来扫描目标代码中的病毒签名。在解释过程中，目标代码对实际的个人计算机环境不可能造成损害。2、数字免疫系统Internet技术的开展趋势在两个主要方面将对病毒繁殖的速度产生重要影响：综合邮件系统：诸如LotusNotes和微软的Outlook等系统使人们发送任何内容的邮件变得非常简单。移动程序系统：诸如Java和ActiveX的能力使程序将自身从一个系统移到另一个系统变得十分容易。作为对这些基于Internet能力提出的威胁的响应，IBM开发了一个原型数字免疫系统。这个系统对前面提到的程序模拟器进行了扩展，提供了一个通用的模拟和病毒检测系统。这个系统的目标是使得病毒被引入时立刻被识别出来。当一个新病毒进入一个组织时，免疫系统会自动地抓住它、分析它、为它增加新的检测手段和隔离物、删除它并且将有关这个病毒的信息传递给运行着IBMAntiVirus的系统，使得病毒在其他地方运行之前能被检测出来。以下图演示了数字免疫系统操作的典型步骤：每个PC上的监视程序使用不同的方法来推断病毒的出现，监视程序把被认为受到感染的程序转发给管理机器；管理机器加密样本，并发送给中心病毒分析机；分析机进行模拟分析，然后生成标识和删除病毒的药方；药方被发送回管理机器；管理机器转发药方给受感染的客户和该组织中的其他客户；世界范围内的注册者也将收到常规的帮助他们防治这个新病毒的反病毒更新。Return9.3.3防病毒系统介绍目前市场上销售的防病毒系统种类繁多，各有特点。在企业级的产品中，NAI公司的McAFee系统具有一定的代表性，在全球市场上的占有率也较高。NAI公司的McAfeeActiveVirusDefense(AVD)套件包含了企业防病毒所需的各种组件模块，主要由以下几局部组成：桌面防病毒产品VirusScan。效劳器防病毒产品Netshield和GroupShield。网关防病毒产品Webshield。企业防病毒系统网络管理中心EPO(ePolicyOrchestrator)。Internet上升级数据推送产品SecureCast和BackWeb。1、VirusScan桌面防病毒产品VirusScan基于Wintel平台，主要用于单机病毒的防治，同时也是网络防病毒体系中的一个部件。其主要功能如下：扫描所有子系统区域(包括软盘、引导区、文件分配表和分区表、文件夹、文件和压缩文件)。精确去除文件、系统引导区、分区表和内存中的病毒。实时扫描技术可捕获病毒。按需扫描可由用户自主选择，扫描位于文件、驱动器和软盘内的病毒。阻止黑客利用Java、ActiveX小程序攻击、损坏和窃取用户的系统或资源，防止多种Internet蠕虫病毒。检测和防止通过电子邮件附件发送给用户的病毒，包括检测Word和Excel中的宏病毒。根据用户需求，拒绝某些特定Web站点的访问。接受企业防病毒系统网络管理中心EPO的管理。在单独使用时，可自动升级病毒库与病毒检测引擎。2、Netshield和GroupShield提供基于效劳器的病毒保护是十分必须的。在网络环境中，效劳器作为各种应用的主要承载者，与桌面系统保持着密切的联系，假设效劳器感染了病毒，就会成为病毒感染的源头，迅速从桌面开展到整个网络的病毒爆发。Netshield支持NT、Netware、UNIX、LotusNotes、MicrosoftExchange等多种效劳器的保护，可以方便地从本地效劳器或工作站监测、配置和执行远程效劳。Netshield能高效、实时的检测发送给或来自于效劳器的病毒感染文件，以防止它在整个网络中扩散。同时可以按需要选择立刻或定时检测，扫描贮留在文件效劳器中的病毒。GroupShield是基于MicrosoftExchange和LotusNotes群件效劳器的防病毒解决方案。3、WebshieldAVD可以实现在Internet网关上对病毒进入的检测。通常这局部功能是配合防火墙来实现的。即防火墙将进入的邮件、文件或Web页面送到病毒检测点进行检测，以去除可能的病毒，然后才可以进入内部网。Webshield有两种选择：WebShieldSMTP：该产品扫描所有入站和出站的电子邮件。可以对所有Email进行病毒过滤。除了强大的反病毒功能之外，WebShieldSMTP还提供了对内容的过滤，可以制定一些规那么把包含一些不适合在企业内流转的Email过滤掉。WebShieldProxy：该产品为HTTP、FTP等多个Internet协议在内的通信提供病毒保护，同时扫描有恶意的Java和ActiveX小程序。4、EPOEPO是企业级反病毒系统的管理控制中心。实现了单点管理；采用LDAP目录结构；支持多达十万个用户；能在网络上远程安装、配置、管理、升级和删除防病毒软件；通过推拉(push/pull)技术集中升级网络上的防病毒软件；集中报警检测到的病毒攻击；能够分组进行反病毒数据更新策略管理；提供企业决策用的分析报告系统；基于TCP/IP协议，可用于大型异构网络中；减少安装和管理防病毒软件的时间；维持整个企业防病毒软件策略和安装的一致性。EPO管理防病毒软件时，维护一个软件库。EPO由以下组件组成：管理控制台(ePolicyOrchestratorConsole)管理效劳器(ePolicyOrchestratorServer)管理代理(ePolicyOrchestratorAgent)5、SecureCast和BackWebSecureCast是NAI公司独特的Internet上数据推送技术，它将最新的病毒特征样本文件、病毒相关的消息和更新后的AVD软件主动推送到企业的主机上，从而保证一旦有新的病毒发现或有新的病毒消息，企业的防病毒系统和NAI公司的最新病毒研究成果保持一致，使企业的防病毒系统保持最新的防病毒能力，保证病毒防护系统的动态抵御能力。SecureCast安装在WindowsNT平台。BackWeb是NAI公司另一个Internet/Intranet推送工具，可以把最新的病毒库更新信息和新病毒警告等推送给PC用户。BackWeb可以被安装在Windows95/98/NT/2000平台。Return§9.4几种常见的计算机病毒

9.4.1CIH病毒9.4.2宏病毒

9.4.3蠕虫病毒9.4.4多形病毒9.4.5Retro病毒9.4.6特洛伊木马Return9.4.1CIH病毒CIH病毒是迄今为止发现的最阴险、危害量大的病毒之一。它发作时不仅破坏硬盘的引导扇区和分区表，而且破坏计算机系统FLASHBIOS芯片中的系统程序。1、CIH病毒作用机理CIH病毒本身的长度约为1KB左右，当一个感染了该病毒的程序运行时，病毒就可以进入内存并驻留。CIH病毒感染文件的方法是：当它在内存中发现有新的可执行文件在运行时，就去检查该文件中是否包含某一特定的字符串(感染标记)，如果没有找到就开始感染。它感染时首先检测文件的首部，当发现至少有184个字节的空间时，就将本身的引导信息写入此空间，病毒中所含的其余代码局部那么分别写入文件内部的空闲区域，CIH病毒修改文件首部的参数，并使其文件映象首先指向病毒的程序体。感染后的文件长度不会增加，这也是CIH病毒很难被发现的一个原因。2、CIH病毒发作时的表现CIH病毒发作时，将用凌乱的信息覆盖硬盘主引导区和系统BOOT区，改写硬盘数据，破坏FLASHBIOS，用随机数填充FLASH内存，导致机器无法运行。CIH病毒对FLASHBIOS的操作，仅在主板和芯片允许写FLASH存储器时才有可能。CIH病毒有多个变种，发作日期各不相同。CIH1.2版的发作日期是每年的4月26日；CIH1.3版的发作日期是每年的6月26日；CIH1.4版的发作日期那么是每月的26日！有些变种那么是在27日或28日发作。3、防治CIH病毒目前常用的杀毒软件都可以发现和去除CIH病毒。但要注意：某些杀毒软件有漏查现象，这非常危险。而有些杀毒软件，只简单地把文件中CIH病毒第一碎块中的文件映像开始执行指针参数恢复，或去掉病毒首部的少量字节，没有把病毒隐藏在文件体中的各个碎块清理掉。这样简单杀毒后，完整的或不完整的病毒体残留在文件中，即留有病毒僵尸。由于有破坏的代码存在，病毒有可能还会被执行或残缺执行，危险仍然存在。另外CIH病毒的作者已开发出CIH病毒的疫苗。免疫程序安装后，系统对CIH系列病毒自动具有免疫能力，除非重装系统。Return9.4.2宏病毒宏病毒是最有影响的计算机病毒之一。导致这一情况的原因：宏病毒是平台无关的。几乎所有的宏病毒都感染微软的Word文档，任何硬件平台和操作系统支持的Word文档都可能被感染。宏病毒感染文档。宏病毒容易传播。宏病毒利用了在Word和Excel中的宏。宏是嵌入到字处理文档或其他类型文件中的一段可执行程序。用户使用宏来自动完成重复性的工作，因而节省了击键次数。宏语言通常是某种形式的Basic程序设计语言，用户可能在宏中定义击键序列，并且建立它使得当输入功能键或特殊的短键组合时调用这些宏。使创立宏病毒成为可能的是自动执行的宏，这是一种不需要外界用户输入，自动调用的宏。常见的自动执行事件是翻开文件、关闭文件和启动应用程序。一旦宏运行起来，宏病毒可以将自身复制到其他文档或删除文件并引起用户系统的破坏。在微软的Word中，存在三种类型的自动执行宏：自动执行：如果宏在“normal.dot〞模板或Word的启动目录中存储的全局模板中命名为AutoExec，那么每当Word启动时，它就会执行。自动宏：当定义的事件发生时，如翻开或关闭文档、创立新的文档或退出Word，自动宏就会执行。命令宏：在全局宏文件中的或者附加到文档中的宏，如果具有现存的Word命令的名字，那么每当用户调用该命令时就会执行(例如FileSave)。宏病毒一般通过电子邮件或者磁盘传递。宏病毒DELTREE_CDELTREE_C是1999年初开始流行一种计算机宏病毒，它虽然属于一种Word宏病毒,但它的破坏性极强，可以拦截中文字处理软件Word的AutoOpen、AutoClose、AutoExec、AutoNews等四个宏,而且会复制宏代码到常用模板(Normal.dot)文件中,并在C盘根目录下生成含此宏病毒的Word自动加载文件AUTOEXEC.DOT。随后翻开的所有文件都被染上此病毒。病症：假设使用计算机翻开含此宏病毒的文件时,Word的工具菜单项中的“模版及加载(I)〞、“自定义(C)〞和“选项(O)〞等子项就会失效,用户执行的各项操作反响明显变慢。发作的病症是在屏幕上显示一个对话框,提问:“当今的社会太黑暗,太不公正?〞,这时用户必须选择答复“非常正确〞,才可通过,否那么病毒程序即刻删除C盘上的所有数据。发作时间是在每年的7月。Return9.4.3蠕虫病毒蠕虫是一种可以在网上不同主机间传播，而不必修改目标主机上其他程序的一类程序。蠕虫能够透过计算机网络，在主机之间传递。但它不一定会破坏任何软件和硬件，蠕虫不断通过计算机网络将自己传送到各处，最后由于不断的扩张使得系统不胜负荷。蠕虫通常是秘密地在网络内传输，并且不断地收集包含密码或文件在内的信息。蠕虫严重地消耗系统资源和带宽。最典型的蠕虫是1988年，由RobertT．Morris释放的Intenet蠕虫了。在很短的时间内，这个蠕虫传染了网络内数千台主机。Happy99蠕虫病毒Happy99.exe是一种蠕虫病毒。它以电子邮件附件的形式进行传播,还可以投递到新闻组中,在Internet上扩散。Happy99病毒发作时你会在显示器上看到一幅节日烟火的彩色画面。Happy99把自己复制到计算机系统的system目录下,并将WSOCK32.DLL改写为WSOCK32.SKA,而后生成一个与原来WSOCK32.DLL文件大小一致的WSOCK32.DLL。当系统初始化时自动驻留到内存中,其作用是管理网络端口通信及数据传输,同时产生新的文件SKA.EXE和SKA.DLL,使自己与Internet联系起来。当你接入网络进行通信或发送邮件时,Happy99就会将你的信件内容清空,并取而代之。处理：删除SKA.EXE、SKA.DLL。然后重新启动机器进入DOS环境,将原来干净的WSOCK32.SKA拷回system目录下,覆盖感染的WSOCK32.DLL。再删除系统注册表中\KEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce下的SKA.EXE。美丽杀(莎)蠕虫病毒1999年3月6日，一个名为“美丽杀〞的计算机病毒席卷欧、美各国的计算机网络。这种病毒利用邮件系统大量复制、传播，造成网络阻塞，甚至瘫痪。并且，这种病毒在传播过程中，还会造成泄密。在美国，白宫、微软和Intel等政府部门和一些大公司，为了防止更大的损失，紧急关闭了网络效劳器，检查、去除“美丽杀〞病毒。由于“美丽杀〞病毒危害美国政府和大型企业的利益，美国联邦调查局(FBI)迅速行动。经过四、五天的技术侦查，将病毒制造者史密斯抓获。但是“美丽杀〞病毒已致使300多家大型公司的效劳器瘫痪，这些公司的业务依赖于计算机网络，效劳器瘫痪后造成公司正常业务停顿，损失巨大。随后“美丽杀〞病毒的源代码在互联网上公布，功能类似于“美丽杀〞的其他病毒或蠕虫接连出台。如：PaPa，copycat等。当翻开染有该病毒的Word文档时，它首先感染模版文件Normal.dot。此后，新创立的文档和修改编辑的文档都会感染此病毒。该病毒将把自身作为附件自动发给邮件地址列表中前五十个地址。“美丽杀〞病毒把自己伪装成来自朋友或同事的标题为“重要信息〞的电子邮件，然后通过被感染的电脑再向外发出50封染毒的电子邮件。它在网上传播以后，迅速造成全球多个电脑网络运行出现异常。Nimda蠕虫病毒Nimda是一种蠕虫病毒，它无需人工干预即可进行传播。Nimda病毒利用的软件漏洞和多样的感染体进行传播，其繁殖和传染的速度是惊人的。Nimda病毒也叫W32.Nimda.A@mm、I-Worm.Nimda和W32.Nimda.A等，发现于2001年9月18日。Nimda病毒有四种可能的传播途径：通过文件传播通过电子邮件传播(README.EXE附件)通过IIS漏洞传播(使用CodeRedII病毒留下的后门来感染机器)通过局域网传播(搜索本地网络的文件共享)Nimda病毒的主要负面影响是限制带宽。防治：杀毒软件杀毒；对IIS进行升级。Return9.4.4多形病毒多态病毒包含一个不变的病毒程序。通常，病毒体是被加密的，以防止被反病毒程序检测出来。一个已加密的病毒要想正确执行，它必须解密自己已加密的局部。这种解密通常由病毒解密例程来完成。当一个被感染的程序启动时，病毒解密例程就会控制计算机，并且解密病毒体的其余局部，这样它就能正常执行了。然后病毒解密例程将控制传送给已解密的病毒体，以便病毒的传播。当多态病毒感染一个新的可执行文件时，他会产生一个不同于其他被感染文件的新的解密例程。这种病毒包含一种简单的机器代码生成器，通常称为“变异引擎〞，它可以建立新的机器语言解密例程(功能相同，但代码序列不同)。在感染过程中，在病毒把它的一份拷贝附加到新的目标文件中之前，病毒使用一个互补的加密例程来加密这份拷贝。在加密了病毒体之后，病毒就会把新产生的解密例程与加密的病毒体以及变异引擎附加到目标可执行文件上。因此，不仅病毒体被加密，而且病毒的解密例程也会在每一个被感染的程序中使用不同的机器语言指令序列。多态解密例程采取多种不同的形式出现，因此，根据这种例程的出现识别病毒传染是很困难的。经过这种新的多态病毒感染的文件在不同的感染文件之间相似性极少，使得反病毒检测成为一项艰难的任务。Return9.4.5Retro病毒就像生物学中的Retro病毒一样，计算机Retro病毒的目标是攻击他的攻击者。PCRetro病毒寻找反病毒程序并删除一些关键的文件，没有这些文件反病毒程序既无法检查病毒也不能正常工作。例如，许多反病毒程序会包括一个数据文件，在这个文件中存放有病毒的特征标记。Retro病毒就是要试图删除这个病毒定义文件，从而破坏扫描程序检测病毒的能力。有些病毒使用更聪明的策略，他把不同的反病毒程序生成的数据库作为攻击目标。有些反病毒产品使用一种称为完整性检查的方法来保护文件。反病毒程序把完整性信息存放在数据库中，标识每个未感染文件的关键特征。聪明的Retro病毒就会寻找这个数据库并删除它。Return9.4.6特洛伊木马特洛伊木马(简称木马)，其名称取自希腊神话的特洛伊木马记，是一种基于远程控制的黑客工具，具有隐蔽性和非授权性的特点。隐蔽性是指木马的设计者为了防止木马被发现，会采用多种手段隐藏木马，这样效劳端即使发现感染了木马，也不能确定其准确的位置。非授权性是指一旦控制端与效劳端连接后，控制端将享有效劳端的大局部操作权限，这些权力并不是效劳端赋予的，而是通过木马程序窃取的。木马病毒由控制端程序和木马程序构成，控制端程序用来远程控制效劳端的木马程序，木马程序是用来潜入效劳端内部，获取其操作权限的程序，两者通过网