四章安全与计算机病毒

第四章计算机安全与计算机病毒一、计算机病毒（ComputerVirus

）国外按照生物界对病毒的定义，把计算机病毒定义为：

能够侵入计算机系统并给计算机系统带来故障的且具有自我复制能力的指令序列。

可见计算机病毒是

一种人为设计的危害计算机系统和网络的计算机程序。

计算机病毒在《中华人民共和国计算机信息系统安全保护条例》中被明确定义为：“编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。

计算机病毒的发展★

“计算机病毒”这一概念是1977年由美国著名的科普作家“雷恩”在一部科幻小说《P1的青春》中提出。★

1983年，美国计算机安全专家考因（F.Cohen）首次通过实验证明了病毒的可实现性。★

1987年，世界各地的计算机用户几乎同时发现了形形色色的计算机病毒，如大麻、IBM圣诞树、黑色星期五等等。

面对计算机病毒的突然袭击，众多计算机用户甚至专业人员都会惊慌失措。★1989年，全世界的计算机病毒攻击十分猖獗，我国也未幸免。其中“米开朗基罗”病毒给许多计算机用户造成极大损失。★1996年，出现针对微软公司Office的“宏病毒”。1997年被公认计算机反病毒界的“宏病毒”年。“宏病毒”主要感染WORD、EXCEL等文件，★自1996年9月开始在国内出现并逐渐流行的病毒。已经见过的如：

Nimda(尼姆达)、CodeRedII(红色代码2)、Happytime(欢乐时光)、Worm_Klez.A(求职信)、LoveLetter(爱神)、Worm_Goner(将死者)、Navidad(圣诞节)、Onthefly(库尔尼克娃)、DiskKiller(磁盘杀手)、Worm_Killonce.A(杀手十三)、Dasher(黛蛇)、以及大量的

蠕虫病毒和木马病毒的变种……★

1998年出现针对Windows95/98系统的病毒，如CIH，1998年被公认为计算机反病毒界的CIH病毒年。CIH的作者陈盈豪计算机病毒的结构

通过对目前出现的计算机病毒的分析发现，几乎所有计算机病毒都是由三部分组成：

1、引导模块

2、传染模块

3、表现模块1、引导模块

计算机病毒的引导模块负责将病毒引导到内存，对相应的存储空间实施保护，以防被其它程序覆盖，并且修改一些必要的系统参数，为激活病毒做准备。2、传染模块计算机病毒的传染模块负责将病毒传染给其它计算机程序。它是整个病毒程序的核心，也是判断一个计算机程序是否是计算机病毒的一个先决条件。计算机病毒的传染模块由两部分组成，一是传染条件判断部分，二是传染部分。3、表现模块

计算机病毒的表现模块也分为两部分，一是病毒触发条件判断部分，二是病毒的具体表现部分。计算机病毒的表现又分为良性表现与恶性表现两种，相应地有良性病毒与恶性病毒之分。★良性病毒是指在病毒的表现模块中的表现部分对系统不构成严重的威胁，它一般只表示一个计算机病毒的存在。主要目的是表现病毒设计者的才华，或者这种表现只是降低了系统的效率，并不破坏系统资源。★恶性病毒的表现部分对系统具有严重的破坏作用，它可以破坏系统的数据资源，甚至将系统文件与应用文件及数据全部删除。计算机病毒是人为编制的程序。计算机病毒一般具有以下八个特点：破坏性、隐蔽性、潜伏性、传染性、而执行、依附性、针对性、不可预见性。计算机病毒的特点1、破坏性

任何病毒只要侵入系统，都会对系统及应用程序产生程度不同的影响。轻者会降低计算机工作效率，占用系统资源，重者可导致系统崩溃。另外还有些病毒，有明确的目的，或破坏数据、删除文件或加密磁盘、格式化磁盘，有的对数据造成不可挽回的破坏。2、隐蔽性

病毒一般是具有很高编程技巧、短小精悍的程序。通常附在正常程序中或磁盘较隐蔽的地方，也有个别的以隐含文件形式的出现。病毒程序与正常程序是不容易区别的。一般在没有防护措施的情况下，计算机病毒程序取得系统控制权后，可以在很短的时间里传染大量程序。而且受到传染后，计算机系统通常仍能正常运行，使用户不会感到任何异常。正是由于隐蔽性，计算机病毒得以在用户没有察觉的情况下扩散到上百万台计算机中。3、潜伏性

大部分的病毒感染系统之后一般不会马上发作，它可长期隐藏在系统中，只有在满足其特定条件时才启动其表现（破坏）模块。只有这样它才可进行广泛地传播。如著名的“黑色星期五”在逢13号的星期五发作。当然，最令人难忘的便是26日发作的CIH。这些病毒在平时会隐藏得很好，只有在发作日才会露出本来面目。4、传染性传染性是病毒的基本特征。计算机病毒会通过各种渠道从已被感染的计算机扩散到未被感染的计算机。正常的计算机程序一般是不会将自身的代码强行链接到其他程序之上的。而病毒却能使自身的代码强行传染到一切符合其传染条件的未受到传染的程序上。因此，是否具有传染性是判别一个程序是否为计算机病毒的最重要条件。5、而执行

一般正常的程序是由用户调用，再由系统分配资源，完成用户交给的任务。其目的对用户是可见的、透明的。而病毒具有正常程序的一切特性，它隐藏在正常程序中，当用户调用正常程序时窃取系统的控制权，先于正常程序执行，病毒的动作、目的对用户是未知的，是未经用户允许的。6、依附性计算机病毒程序只有依附在系统内某个合法的可执行程序上，才可能被执行。7、针对性

计算机病毒发挥作用是有一定环境要求的，一种病毒并不是对任何计算机系统都能传染的。由于病毒是一段计算机程序，它的正常工作也需要一定的软/硬件环境。如攻击UNIX操作系统的病毒对DOS系统也是无效的。8、不可预见性

不同种类的病毒代码千差万别，但有些操作是共有的（如驻内存，改中断）。利用病毒的这种共性，制作了声称可查所有病毒的程序。这种程序的确可查出一些新病毒，但由于目前的软件种类极其丰富，且某些正常程序也使用了类似病毒的操作甚至借鉴了某些病毒技术。病毒的制作技术也在不断地提高，病毒对反病毒软件永远是超前的。

计算机病毒的长期性

计算机操作系统的弱点往往是被病毒利用，提高系统的安全性是防病毒的一个重要方面，但完美的系统是不存在的。提高一定的安全性将使系统多数时间用于病毒检查，系统失去了可用性与实用性，另一方面，信息保密的要求让人在泄密和抓住病毒之间无法选择。

计算机病毒的产生

病毒不是来源于突发或偶然的原因。

病毒是人为的特制程序

计算机病毒的分类

病毒按其危害程度，分为弱危害性（良性）病毒和强危害性（恶性）病毒；按其侵害的对象来分，可以分为：

引导型（BootVirus)、文件型(FileVirus)、

木马型(TrojanhorseVirus)。

激活条件

发作条件传染激活传染媒介触发表现传染源（感染的病毒）

病毒的工作过程（如：网络钓鱼）

例如

微软于2005年11月8日向用户发出警告称，在较新版本的Windows操作系统中发现了一个“严重级”新漏洞，黑客可以通过在数码图片中植入恶毒软件代码，从而对此漏洞发动攻击，并最终控制计算机系统。

WindowsXP、WindowsServer和Windows2000及更新版本较易受到攻击，因此，这些操作系统的用户应当及时打上补丁。病毒预报

(2006.11.20-2006.11.26)

微软公司发布了六个操作系统的漏洞补丁程序，其中五个补丁程序的危害级别为“严重”，另一个为“重要”。这五个危害级别“严重”的系统漏洞补丁程序有四个是针对Windows操作系统上存在的漏洞。在这五个“严重”的补丁程序中以下三个提醒计算机用户注意，它们分别是：

（一）MS06-067：InternetExplorer积累性补丁，微软浏览器InternetExplorer存在漏洞，恶意攻击者可能利用此漏洞在计算机用户系统上执行任意程序。如果这些计算机用户在浏览互联网络上某些网页时，可能会导致自己计算机系统IE浏览器崩溃，进而导致无法正常使用浏览器。（二）MS06-070：MicrosoftWindowsWorkstation可远程执行代码漏洞，MicrosoftWindows的Workstation（工作站）服务组件中存在栈溢出漏洞，恶意攻击者可能利用此漏洞在计算机用户服务器上执行任意程序。

（三）MS06-071：InternetExplorerXML中可能允许远程执行代码漏洞，微软公司的浏览器InternetExplorerXML（一种标识语言）语法分析器中存在漏洞。恶意攻击者可以通过构建特制的网页来利用此漏洞，如果计算机用户访问该网页或单击恶意攻击者发来的电子邮件中的网址链接，该漏洞就可能允许恶意攻击在计算机用户的系统上远程执行任意代码程序，成功利用此漏洞的攻击者可以完全控制受影响的计算机系统。国家计算机安全应急中心病毒预报

（病毒预报（2006.11.13-2006.11.19）

()

近期，计算机病毒疫情较为平稳，传播范围广、危害性强的病毒疫情没有出现过。一些企业和计算机个人用户受到病毒危害比较集中在蠕虫和木马程序上，这些蠕虫和木马程序大多出现的变种很多，有的会在短时间内就出现很多新变种，让计算机用户防范起来十分困难，措手不及。

（2006.11.6-2006.11.12）

近日，木马（Trojan_DL.delf）出现新变种，该变种在受感染的计算机系统中运行后，将其自身伪装成计算机系统的正常文件存于系统目录中，使得计算机用户很难察觉到，并通过互联网络从指定网站或是服务器上下载恶意程序，同时修改计算机用户浏览器的设置，使其访问浏览网页时会转向浏览指定的恶意网站。并且，该变种还会在计算机用户操作系统中的桌面、开始菜单、快速启动栏、收藏夹等位置上添加一些网站的广告信息，给计算机用户的正常操作带来不便。

另外，近期在互联网络上专门盗取用户网络游戏账号、密码的木马程序传播比较严重。该木马程序专门窃取网络游戏玩家的信息（如：账号、密码、服务器信息等）并发送给植入木马程序的攻击者。建议网络游戏的玩家在上网时务必升级自己系统中的防病毒软件，打开防病毒软件的实时监控功能。

国家计算机安全应急中心病毒预报

（病毒预报（

2012.11.19-2012.11.25）

国家计算机病毒应急处理中心通过对互联网的监测发现，近期出现一种木马下载器Trojan_Generic.PJV,该恶意木马程序通过Web网页挂马进行传播，并具有以下特点，一是以驱动程序的方式释放恶意木马程序进程文件到受感染的操作系统中，并感染系统的主引导记录（MBR）扇区，实现随操作系统开机自启动功能；二是实时监测防病毒软件运行情况，如果发现受感染操作系统中的防病毒软件正在运行，该木马程序会自动关闭软件的进程文件,防止其被查杀。

近期，微软公司发布了10月的几个操作系统的漏洞补丁程序，其中有几个补丁程序是对Windows操作系统和Office办公软件中存在的一些漏洞进行了修复。并且这次发布的漏洞补丁程序其中有四个安全级别是“严重”，值得计算机用户关注留意，他们分别是：

（一）MS06-058：MicrosoftPowerPoint远程代码执行漏洞，MicrosoftPowerPoint是非常流行的电子文稿演示工具。PowerPoint在处理包含有畸形字符串的电子文稿文件时存在漏洞，可能允许恶意攻击者执行任意指令。

（二）MS06-059：Excel中可能允许远程执行代码漏洞，Excel在解析文件和处理畸形的类型记录时存在缓冲区溢出漏洞，恶意攻击者可能利用此漏洞在计算机用户系统上执行任意指令。

（三）MS06-060：Word中可能允许远程执行代码漏洞，当Word解析包含有畸形数据串的文件时，恶意攻击者可能会将此类特制文件放置在电子邮件附件中或恶意网站上，一旦计算机用户点击或是访问就会受到控制，进而受到病毒的入侵感染。（四）MS06-062：Office可能允许远程执行代码漏洞，Office中存在一个远程代码执行漏洞，当Office解析带有畸形字符串的文件时，恶意攻击者可能利用此漏洞在计算机用户系统上执行任意指令。如果用户使用管理用户权限登录，成功利用此漏洞的恶意攻击者便可完全控制受影响的系统。

提醒计算机用户及时下载安装这些系统安全漏洞补丁程序，特别是危害级别严重的四个补丁程序，阻止恶意攻击者利用这些漏洞进行攻击，保护好自己的计算机系统免受病毒的入侵破坏。

2006年10月2日起出现一个新的蠕虫变种Worm_Stration.WO，该蠕虫通过邮件传播，并且将自身拷贝作为邮件附件，该附件可能是压缩文件（.zip或.rar）、文本文件(.txt)或是可执行文件(.exe)等，大小约为115k。计算机用户一旦收取并点击邮件附件就会受到感染，感染后的计算机系统会使用系统内置的SMTP邮件引擎向邮件地址簿里的所有收件人发送带有病毒体自身拷贝的邮件，实现蠕虫的进一步传播扩散。并且蠕虫还会添加注册表项，使得自身能够在计算机系统启动时自动运行。

另外，上周发现的微软操作系统浏览器IE严重漏洞，本周时间微软公司发布了该漏洞的补丁程序，它是：

MS06-055：矢量标记语言中可能允许远程执行代码的漏洞，微软操作系统中矢量标记语言(VML)运行中存在一个远程可执行代码的漏洞。恶意攻击者可以利用该漏洞来构建带有恶意代码的网页或高级标注语言(HTML)电子邮件，如果计算机用户访问该网页或查看该电子邮件，那么该攻击者就有可能控制受感染的计算机系统。病毒名称：“网络天空”变种(Worm_Netsky.D)

危害程度：该病毒通过邮件传播，使用UPX压缩。运行后，在%Windows％目录下生成自身的拷贝，名称为Winlogon.exe。（其中，%Windows%是Windows的默认文件夹，通常是C:\Windows或C:\WINNT），病毒使用Word的图标，并在共享文件夹中生成自身拷贝。病毒创建注册表项，使得自身能够在系统启动时自动运行。病毒邮件的发信人、主题、内容和附件都是不固定的。病毒名称：“高波”（Worm_AgoBot）蠕虫病毒危害程度：该病毒是常驻内存的蠕虫病毒，利用RPCDCOM缓冲区溢出漏洞、IIS5/WEBDAV缓冲区溢出漏洞和RPCLocator漏洞进行传播，还可通过弱密码攻击远程系统进行主动传播以及利用mIRC软件进行远程控制和传播。病毒运行后，在%System％文件夹下生成自身的拷贝nvchip4.exe。添加注册表项，使得自身能够在系统启动时自动运行。病毒名称：“Worm_Mytob.X”

危害程度：病毒是Worm_Mytob变种，并利用自身的SMTP引擎按照邮件地址列表中的邮件地址向外发送病毒邮件。该病毒还可以通过网络的共享文件夹进行搜索并尝试在这些文件夹中产生自身的拷贝文件。还具有后门功能，会使用不同的端口连接到指定的服务器上面，该服务器监听来自远程恶意用户的指令，利用这个指令远程用户可以控制受感染机器。同时，该变种利用一个任意的端口建立一个FTP服务器，远程用户可以下载或上传文件或是恶意程序。病毒名称：“魔波”（Worm_Mocbot.A）危害程度：它可以利用微软公司在8月8日刚刚发布的MS06-040（MicrosoftWindowsServer服务远程缓冲区溢出漏洞）安全公告公布的缓冲区漏洞进行传播。该蠕虫可以通过系统存在的漏洞在计算机用户不知情的情况下主动进行传播，一旦感染该蠕虫有可能会被恶意攻击者远程控制，会影响到系统中一些服务的正常运行，有可能会导致网络连接的中断，甚至可能会造成计算机系统中一些进程崩溃。

“黛蛇（Dasher）”蠕虫病毒

CNCERT/CC项目组（中国蜜网项目组）于2005年12月15日截获一个可利用微软视窗操作系统最新高危漏洞——微软MS05-051传播的名为“黛蛇”（Dasher.B）的蠕虫。该蠕虫主要针对Windows2000操作系统、部分WindowsXP系统和部分WindowsServer2003操作系统，通过攻击TCP/1025端口获得远程执行命令的权限；此外，该蠕虫还可以针对微软MS04-045、MS04-039漏洞或利用SQL溢出工具进行攻击。蠕虫感染成功后将安装键盘记录程序暗中记录用户的按键操作，从而使用户面临泄密的危险。

CNCERT/CC被黑网页统计报告

2012年肆虐我国的十大计算机病毒1、鬼影病毒鬼影病毒是当之无愧的2012年度毒王，它主要依靠带毒游戏外挂或色播传播，年内出现数个变种：包括鬼影5、鬼影6、鬼影6变种（CF三尸蛊）等，它和杀毒软件的技术对抗也达到了一个新的高度。目前，主流的杀毒软件均能防御鬼影病毒，经常下载使用带毒游戏外挂的电脑用户是感染鬼影病毒的高危群体。2、AV终结者末日版AV终结者末日版是一个恶意对抗杀软的病毒，从整个手法来看作者是有意在炫耀自己的技术。它释放ADS流病毒，原理是利用NTFS数据流来隐藏病毒；它释放3个驱动破坏杀毒软件并保护自身，如隐藏文件、进程等；它刷网站流量，在中毒机器上开启3389端口用于接受黑客控制；它发现一旦发现进程中存在“PowerTool.exe”,“XueTr.exe”则通知驱动删除系统的文件，从而破坏整个系统。3、网购木马网购木马的全称是网购交易劫持木马，12年流行网购木马的特点：利用组策略禁止主流安全软件运行，在系统无保护的情况下，网购木马即可在买家网购付款环节轻易篡改交易信息。使买家要购买的东西没有支付，却替病毒作者购买了游戏或手机充值卡。4、456游戏木马

456游戏木马指捆绑在456游戏大厅中并利用456游戏加载的远控木马或盗号木马。年度流行的456游戏木马变种主要通过捆绑456游戏大厅传播，通过劫持456游戏的dzip32.dll执行第三方loader(存在漏洞软件的exe可执行文件）加载启动病毒dll，然后在内存中解密一个gh0st远程控制木马程序并执行。5、连环木马（后门）这是一个木马后门程序，中此木马的用户电脑会成为远控者的一个肉鸡，它指受控制端的指令来执行各种网络攻击，同时也具有下载其它程序的功能。6、QQ粘虫木马QQ粘虫木马是指以透明窗体覆盖QQ登录框或伪造QQ登录/重新登录框的盗号木马。7、新淘宝客病毒新淘宝客病毒是利用驱动过滤劫持淘宝网搜索结果的病毒，它使用了游戏捆绑，加数字签名，驱动隐藏过滤，驱动切断云扫描等方法，使得病毒的隐藏能力大大增强。8、浏览器劫持病毒该病毒主要通过互联网下载以及局域网和移动存储设备感染进行传播，会劫持浏览器主页和其它网址导航类网站，强制推广病毒合作网站，以此来提高指定网站流量，让病毒作者从中获利9、传奇私服劫持者该病毒捆绑于传奇私服登陆器，属于流量劫持木马，它通过DNS劫持/hosts劫持/驱动劫持等方式把大量的私服网站解析到固定的一个私服网站，以达到流量劫持的目的。10、QQ群蠕虫病毒QQ群蠕虫病毒是指利用QQ群共享漏洞传播流氓软件和劫持IE主页的蠕虫病毒，QQ群电脑用户一旦感染QQ群蠕虫病毒，又会向其他群QQ群内上传该病毒，以“一传十，十传百”式放大效应传播。三、病毒的传播途径

在计算机应用的早期，软盘是传播病毒的最主要方式，当使用染毒的软盘引导系统启动，或者是复制文件时病毒趁机感染系统。随着网络的飞速发展和软盘趋于淘汰，网络这个载体给病毒的传播插上了翅膀。

四、计算机病毒的预防

预防计算机病毒要注意以下几个环节：

（1）创建紧急引导盘和最新紧急修复盘。（2）尽量少用外来软盘，一旦必须用时，要先杀毒再使用。（3）为计算机安装病毒检测软件，随时杀去病毒或防止有病毒的程序进入计算机，并注意及时升级杀病毒软件。（4）将无毒盘用于其他计算机时，要注意打开写保护。

（5）为计算机安装专门用于杀毒、防毒的软件或必需硬件。（6）重要文件，要做备份（Backup），一旦计算机感染病毒，对重要数据不会造成影响。（7）在上网时，尽量减少可执行代码交换，能脱网单机工作时尽量脱网工作。

计算机网络的安全口令加密和保密

互连网防火墙

目前普遍采用的安全机制主要有以下几种：当用户想要访问被保护的资源时，就被要求输入口令。很多计算机系统采用口令机制来控制对系统资源的访问。口令目前主要使用的几种加密技术：

（1）对称密钥加密（2）公开密钥加密

（3）数字签名的鉴定

加密和保密用于保护一个单