四年级信息技术计算机病毒教学课件

计算机病毒谢河 杨玉梅计算机病毒定义病毒是一类个体微小，无完整细胞结构，含单一核酸〔DNA或RNA〕型，必须在活细胞内寄生并复制的非细胞型微生物。

计算机病毒(Computer

Virus)在《中华人民共和国计算机信息系统平安保护条例》中被明确定义，病毒“指编

制或者在计算机程序中插入的破坏计算机功能或者破坏

数据，影响计算机使用并且能够自我复制的一组计算机

指令或者程序代码〞。包括人们熟知CIH、冲击波、熊

猫烧香等恶性计算机病毒，还包含了我们熟悉的宏病毒。病毒的开展史电脑病毒的概念其实源起相当早，在第一部商用电脑出现之前好几年时，电脑的先驱者冯·诺伊曼〔John

Von

Neumann〕在他的一篇论文《复杂自动装置的理论及组识的进行》里，已经勾勒出病毒程序的蓝图。不过在当时，绝大局部的电脑专家都无法想像会有这种能自我繁殖的程序。1977年夏天，托马斯·捷·瑞安〔〕的科幻小说《P-1的春天》〔TheAdolescence

of

P-1〕成为美国的畅销书，作者在这本书中描写了一种可以在计算机中互相传染的病毒，病毒最后控制了

7,000台计算机，造成了一场灾难。虚拟科幻小说世界中的东西，在几年后终于逐渐开始成为电脑使用者的噩梦。而差不多在同一时间，美国著名的AT&T贝尔实验室中，三个年轻人在

工作之余，很无聊的玩起一种游戏:彼此撰写出能够吃掉别人程序的程序来互相作战。这个叫做"磁芯大战"〔core

war〕的游戏，进一步将电脑病毒"感染性"的概念表达出来。病毒的开展史第一个真正的电脑病毒到了1987年，第一个电脑病毒C-BRAIN终于诞生了。一般而言，业界都公认这是真正具备完整特征的电脑病毒始祖。这个病毒程序是由一对巴基斯坦兄弟：巴斯特〔Basit〕和阿姆捷特〔Amjad〕所写的，他们在当地经营一家贩卖个人电脑的商店，由于当地盗拷软件的风气非常盛行，因此他们的目的主要是为了防止他们的软件被任意盗拷。只要有人盗拷他们的软件，C-BRAIN就会发作，将盗拷者的硬盘剩余空间给吃掉。这个病毒在当时并没有太大的杀伤力，但后来一些有心人士以C-BRAIN为蓝图，制作出一些变形的病毒。而其他新的病毒创作，也纷纷出笼，不仅有个人创作，甚至出现不少创作集团〔如NuKE,Phalcon/Skism,VDV〕。各类扫毒、防毒与杀毒软件以及专业公司也纷纷出现。一时间，各种病毒创作与反病毒程序，不断推陈出新，如同百家争鸣。病毒的开展史DOS时代的病毒1987年，计算机病毒主要是引导型病毒，具有代表性的是“小球〞和“石头〞病毒。当时的计算机硬件较少,功能简单,一般需要通过软盘启动后使用.引导型病毒利用软盘的启动原理工作,它们修改系统启动扇区,在计算机启动时首

先取得控制权,减少系统内存,修改磁盘读写中断,影响系统工作效率,在系统存取磁盘时进行传播；1988年11月2日，美国六千多台计算机被病毒感染，造成

Internet不能正常运行。这是一次非常典型的计算机病毒入侵计算机网络的事件，迫使美国政府立即作出反响，国防部成立了计算机应急行动小组。这次事件中遭受攻击的包括

5个计算机中心和

12个地区结点，连接着政府、大学、研究所和拥有政府合同的

250,000台计算机。这次病毒事件，计算机系统直接经济损失达9600万美元。这个病毒程序设计者是罗伯特·莫里斯

(Robert

T.Morris)，当年23岁，是在康乃尔(Cornell)大学攻读学位的研究生。1989年,可执行文件型病毒出现,它们利用DOS系统加载执行文件的机制工作,代表为“耶路撒冷〞,“星期天〞病毒,病毒代码在系统执行文件时取得控制权修改DOS中断,在系统调用时进行传染,并将自己附加在可执行文件中,使文件长

度增加。病毒的开展史1990年,开展为复合型病毒,可感染COM和EXE文件。1992年,伴随型病毒出现,它们利用DOS加载文件的优先顺序进行工作，感染EXE文件时生成一个和EXE同名但扩展名为COM的伴随体；它感染文件

时,改原来的COM文件为同名的EXE文件,再产生一个原名的伴随体,文件扩展名为COM，这样,在DOS加载文件时,病毒就取得控制权.这类病毒的特点是不改变原来的文件内容,日期及属性,解除病毒时只要将其伴随体删除即可。1994年,随着汇编语言的开展,实现同一功能可以用不同的方式进行完成,这些方式的组合使一段看似随机的代码产生相同的运算结果。多形型病毒是一种综合性病毒,它既能感染引导区又能感染程序区,多数具有解码算法,一种病毒往往要两段以上的子程序方能解除。病毒的开展史“耶路撒冷〞这个古董级病毒其实有个更广为人知的别称，叫做“黑色星

期五〞。为什么会有这么有趣的别称？道理很简单:因为只要每逢十三号又是星期五的日子，这个病毒就会发作。而发作时将会终止所有使用者所执行的程序。“星期天〞病毒首次在台湾发现。当用户在星期天使用电脑时，屏幕上会出现：“今天是星期天，为什么你还这样拼命工作？〞等信息，同时这些信息会不断的存入你的磁盘，使原有数据大量丧失。“幽灵〞型病毒就是一类新出现的病毒的统称,其特点是每种病每可变化出6万到4000亿个变型,像幽灵一样无所不在,危害极大。由于一般开发较早的查毒软件无法识别,使用户系统一直处于威胁包围之中。每感染一次就产生不同的代码。例如“一半〞病毒就是产生一段有上亿种可能的解码运算程序,病毒体被隐藏在解码前的数据中,查解这类病毒就必须能对这段数据进行解码,加大了查毒的难度。猴子〔Monkey〕据说是第一个"引导型"的病毒，只要你使用被Monkey感染过的系统软盘开机，病毒就会入侵到你的电脑中，然后伺机移走硬盘的分区表，让你一开机就会出现"Invalid

drive

specification"的信息。病毒的开展史视窗时代的病毒1996年,随着Windows和Windows95的日益普及,利用Windows进行工作的病毒开始开展,它们修改(NE,PE)文件,这类病毒的机制更为复杂,它们利用保护模式和API调用接口工作,解除方法也比较复杂。1997年,随着因特网的开展,各种病毒也开始利用因特网进行传播,一些携带病毒的数据包和邮件越来越多,如果不小心翻开了这些邮件,机器就有可能中毒；1997年,随着万维网〔WoldWideWeb〕上Java的普及,利用Java语言进行传播和资料获取的病毒开始出现还有一些利用邮件效劳器进行传播和破坏的病毒，它会严重影响因特网的效率。1998年Back

Orifice让骇客透过互联网在未授权的情况下遥距操控另一部电脑，此病毒的命名也开了微软旗下的Microsoft"sBackOffice产品一个玩笑。病毒的开展史1999年梅莉莎为首种混合型的巨集病毒该年四月，CIH病毒爆发，全球超过6000万台电脑被破坏。2000年拒绝效劳〔Denial

of

Service〕和恋爱邮件〔Love

Letters〕“ILoveYou〞拒绝效劳袭击规模很大，致使雅虎、亚马逊书店等主要网站效劳瘫痪。同年，附著“I

Love

You〞电邮传播的Visual

Basic脚本病毒档更被广泛传播，终令不少电脑用户明白到小心处理可疑电邮的重要性。2002年强劲多变的混合式病毒爆发，它除了会像传统病毒般感染电脑档案外，同时亦拥有蠕虫〔worm〕及木马程式的特徵。2003年冲击波〔Blaster〕and大无极〔SOBIG〕由于防毒软件也不能过滤这种病毒，病毒迅速蔓延至多个国家，造成大批电脑瘫痪和网络连接速度减慢。2004年悲惨命运〔MyDoom〕、网络天空〔NetSky〕及震荡波〔Sasser〕2007年熊猫烧香、、u盘病毒病毒的开展史木马 特洛伊木马〔以下简称木马)，英文叫做“Trojanhorse〞，其名称取自希腊神话的特洛伊木马记。古希腊传说，特洛伊王子帕里斯访问希腊，诱走了王后海伦，希腊人因此远征特洛伊。围攻9年后，到第10年，希腊将领奥德修斯献了一

计，就是把一批勇士埋伏在一匹巨大的木马腹内，放在城外后，佯作退

兵。特洛伊人以为敌兵已退，就把木马作为战利品搬入城中。到了夜间，埋伏在木马中的勇士跳出来，翻开了城门，希腊将士一拥而入攻下了城

池。在计算机领域中，它是一种基于远程控制的黑客工具，具有隐蔽性和非授权性的特点。蠕虫 蠕虫藉由身体的肌肉收缩而作蠕形运动，故通称为蠕虫。蠕虫病毒是一种常见的计算机病毒。它的传染机理是利用网络进行复制和传播，传染途径是通过网络、电子邮件以及优盘、移动硬盘等移动存储设备。病毒的开展史宏病毒〔宏－word中多个操作指令的集合,类似于批处理〕是一种存放在文档或模板的宏中的计算机病毒。一旦翻开这样的文档，其中的宏就会被执行，于是宏病毒就会被激活，转移到计算机上，并驻留在Normal模板上。从此以后，所有自动保存的文档都会“感染〞上这种宏病毒，而且如果其

他用户翻开了感染病毒的文档，宏病毒又会转移到他的计算机上。CIH病毒

1999年4月26日大规模爆发的病毒，与此前的病毒不同之处

在于它可以改写bios数据，导致主板无法启动开机

黑屏。在此病毒爆发之

后，主板厂商增加了很多bios保护措施，如写保护选项、开关、双bios等。病毒作者是台湾人ChenIngHau

(陈盈豪〕，cih是姓名拼音首个字母简写。第一个破坏硬件的病毒。病毒的开展史“欢乐时光〞(Happy time)，

“欢乐时光〞属于VBS／HTM蠕虫类病毒，通过邮件传播，但不作为邮件的附件，而是作为邮件内容。当感染“欢乐时光〞的计算机内的时间是日＋月＝13时，该病毒将逐步删除硬盘中的exe，dll文件，最后导致系统瘫痪。因此该病毒第一次爆发时间应是5月8日。

desktop.inidel

forlder.htt“爱虫病毒〞

２０００年5月4日，一种名为“我爱你〞〔“i

love

you〞〕的电脑病毒开始在全球各地迅速传播。这个病毒是通过Microsoft

Out

ook电子邮件系统传播的，邮件的主题为“I

LOVE

YOU〞，并包含一个附件。一旦在

Microsoft

Ou

tlook里翻开这个邮件，系统就会自动复制并向地址簿中的所有邮件电址发送这个病毒。这是一种蠕虫病毒，它与1999年的“Melissa〞病毒非常

相似。这个病毒可以改写本地及网络硬盘上面的某些文件。用户机器染毒以后，邮件系统将会变慢，并可能导致整个网络系统崩溃。“库尔尼科娃〞病毒，这是一个典型的蠕

虫病毒。该病毒以主题为：“Here

you

have

o 〞的电子邮件传播，邮件内容只有简短的：

“HiCheckThis 〞。邮件附加文件为：AnnaKournikova．jpg．vbs。接到这个文件的人还以为能看到库尔尼科娃的照片，一旦翻开文件便大祸临头。病毒的开展史求职信〔Klez〕，“求职信〞系列变种病毒利用微软系统的漏洞，可以自动感染，无须翻开附件，因此危害性很大。除开可以在网络上利用邮件进行传播外，这些变种病毒还可以利用局域网上的共享文件夹进行传染能够绕开一些流行杀毒软件的监控，甚至专门针对一些杀毒软件进行攻

击。“冲击波〞病毒，运行时会不停地利用IP扫描技术寻找网络上系统为Win2K或XP的计算机，找到后就利用DCOM

RPC缓冲区漏洞攻击该系统，

一旦攻击成功，病毒体将会被传送到对方计算机中进行感染，使系统操作异常、不停重启、甚至导致系统崩溃。“

I

just

want

to

say

LOVE

YOU

SAN!!billy

gates

why

do

you

makethis

possible?Stop

making

money

and

fix

your

software!!〞(比

尔·盖茨,你为什么要使这种攻击成为可能?不要再挣更多的钱了,好好修正你发行的软件吧。)“震荡波〞病毒,“震荡波〞病毒的发作特点，类似于造成大规模电脑系统瘫痪的“冲击波〞病毒，那就是造成电脑反复重启。病毒的开展史“熊猫烧香〞

该病毒采用“熊猫烧香〞头像作为图标,诱使用户运行。会占用局域网带宽，使得电脑变得缓慢，计算时机出现以下病症：熊猫烧香病毒会在网络共享文件夹中生成一个名为的病毒文件；结束某些应用程序以及防毒软件的进程，导致应用程序异常，或不能正常执行，或速度变慢；硬盘分区或者U盘不能访问使用；exe程序无法使用程序图

标变成熊猫烧香图标；硬盘的

根目录出现文件

；同时浏览器会莫名其妙地开启或关闭。“落雪病毒〞，，是有大约14个文件组成的庞大的木马病毒文件队伍，一旦中毒，病毒文件就象落雪一样下到电脑中，这也是如此命名它的原因。明显的特征就是系统自动运行或1在c:\windows目录下除了之外，还有很多隐藏*

文件，和。在D:\下面会有和pagfile的快捷方式，在c:\windows\down有，ystem32里面有update的文件夹，里面全是，还有一些隐藏的文件，名字都很特别。〔和autorun.inf)系统病毒系统病毒的前缀为：Win32、PE、Win95、W32、W95等。这些病毒的一般共有的特性是可以感染windows操作系统的

*.exe和*.dll文件，并通过这些文件进行传播。如CIH病毒。蠕虫病毒蠕虫病毒的前缀是：Worm。这种病毒的共有特性是通过网络或者系统漏洞进行传播，很大局部的蠕虫病毒都有向外发送带毒邮件，阻塞网络的特性。比方冲击波〔阻塞网络〕，小邮差〔发带毒邮件〕等。木马病毒、黑客病毒木马病毒其前缀是：Trojan，黑客病毒前缀名一般为

Hack。木马病毒的

共有特性是通过网络或者系统漏洞进入用户的系统并隐藏，然后向外界泄露用

户的信息，而黑客病毒那么有一个可视的界面，能对用户的电脑进行远程控制。木马、黑客病毒往往是成对出现的，即木马病毒负责侵入用户的电脑，而黑客

病毒那么会通过该木马病毒来进行控制。现在这两种类型都越来越趋向于整合

了。一般的木马如QQ消息尾巴木马

Trojan.QQ3344，还有大家可能遇见比较多的针对网络游戏的木马病毒如

Trojan.LMir.PSW.60。这里补充一点，病毒名中有PSW或者什么PWD之类的一般都表示这个病毒有盗取密码的功能〔这些字母一般都为“密码〞的英文“password〞的缩写〕一些黑客程序如：网络枭雄〔〕等。病毒前缀的解释脚本病毒脚本病毒的前缀是：Script。脚本病毒的共有特性是使用脚本语言编写，通过网页进行的传播的病毒，如红色代码〔〕。脚本病毒还会有如下前缀：VBS、JS〔说明是何种脚本编写的〕，如欢乐时光〔〕、十四日〔〕等。宏病毒其实宏病毒是也是脚本病毒的一种，由于它的特殊性，因此在这里单独算成一类。宏病毒的前缀是：Macro，第二前缀是：Word、Word97、Excel、Excel97〔也许还有别的〕其中之一。但凡只感染WORD97及以前版本WORD文档的病毒采用Word97做为第二前缀，格式是：；但凡只感染WORD97以后版本WORD文档的病毒采用Word做为第二前缀，格式是：；但凡只感染

EXCEL97及以前版本EXCEL文档的病毒采用Excel97做为第二前缀，格式是：；但凡只感染EXCEL97以后版本

EXCEL文档的病毒采用Excel做为第二前缀，格式是：，以此类推。该类病毒的共有特性是能感染OFFICE系列文档，然后通过OFFICE通用模板进行传播，如：着名的美丽莎〔〕。病毒前缀的解释后门病毒后门病毒的前缀是：Backdoor。该类病毒的共有特性是通过网络传播，给系统开后门，给用户电脑带来平安隐患。病毒种植程序病毒这类病毒的共有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下，由释放出来的新病毒产生破坏。如：冰河播种者〔〕、MSN射手〔〕等。破坏性程序病毒破坏性程序病毒的前缀是：Harm。这类病毒的共有特性是本身具有好看的图标来诱惑用户点击，当用户点击这类病毒时，病毒便会直接对用户计算机产生破坏。如：格式化C盘〔〕、杀手命令〔〕等。玩笑病毒玩笑病毒的前缀是：Joke。也称恶作剧病毒。这类病毒的共有特性是本身具有好看的图标来诱惑用户点击，当用户点击这类病毒时，病毒会做出各种破坏操作来吓唬用户，其实病毒并没有对用户电脑进行任何破坏。如：女鬼〔Joke.Girl

ghost〕病毒。病毒前缀的解释(10)捆绑机病毒捆绑机病毒的前缀是：Binder。这类病毒的共有特性是病毒作者会使用特定的捆绑程序将病毒与一些应用程序如QQ、IE捆绑起来，外表上看是一

个正常的文件，当用户运行这些捆绑病毒时，会外表上运行这些应用程序，然后隐藏运行捆绑在一起的病毒，从而给用户造成危害。如：捆绑QQ〔〕、系统杀手〔〕等。以上为比较常见的病毒前缀，有时候我们还会看到一些其他的，但比较少见，这里简单提一下：DoS：会针对某台主机或者效劳器进行DoS攻击；Exploit：会自动通过溢出对方或者自己的系统漏洞来传播自身，或者他本身就是一个用于Hacking的溢出工具；HackTool：黑客工具，也许本身并不破坏你的机子，但是会被别人加以利用来用你做替身去破坏别人。病毒前缀的解释计算机病毒的传染通过哪些途径?计算