病毒的防治应急处理

一、计算机病毒的概念

定义：计算机病毒是一段附着在其他程序上的可以实现自

我繁殖的程序代码。（国外）

定义：计算机病毒是指破坏计算机功能或者数据，并能自

我复制的程序。（国内）

病毒发展史：

1977年科幻小说《TheAdolescenceofP-1》描写计算机病毒

1983年FredAdleman首次在VAX11/750上试验病毒；

1986年Brain病毒在全世界传播；

1988年11月2日Cornell大学的Morris编写的Worm病毒袭击

美国6000台计算机，直接损失尽亿美元；

八十年代末，病毒开始传入我国；

病毒产生的原因：

计算机病毒是高技术犯罪，具有瞬时性、动态

性和随机性。不易取证，风险小破坏大。

1）寻求刺激：自我表现；恶作剧；

2）出于报复心理。

病毒的特征：

传染性；寄生性；衍生性；

隐蔽性；潜伏性；

可触发性；夺取控制权；

破坏性与危害性；

病毒的分类：

按破坏性分为：良性；恶性。

按激活时间分为：定时；随机

按传染方式分为：

引导型：当系统引导时进入内存，控制系统；

文件型：病毒一般附着在可执行文件上；

混合型：既可感染引导区，又可感染文件。

按连接方式分为：

OS型：替换OS的部分功能，危害较大；

源码型：要在源程序编译之前插入病毒代码；较少;

外壳型：附在正常程序的开头或末尾；最常见；

入侵型：病毒取代特定程序的某些模块；难发现。

按照病毒特有的算法分为：

伴随型病毒：产生EXE文件的伴随体COM,病毒把自身

写入COM文件并不改变EXE文件，当DOS加载文件时,

伴随体优先被执行到，再由伴随体加载执行原来的

EXE文件。

“蠕虫”型病毒：只占用内存，不改变文件，通过网

络搜索传播病毒。

寄生型病毒：除了伴随和“蠕虫”型以外的病毒，它

们依附在系统的引导扇区或文件中。

变型病毒（幽灵病毒）：使用复杂算法，每传播一次

都具有不同内容和长度。一般的作法是一段混有无

关指令的解码算法和被变化过的病毒体组成。

病毒的组成：

安装模块：提供潜伏机制；

传播模块：提供传染机制；

触发模块：提供触发机制；

其中，传染机制是病毒的本质特征，防治、检测及

杀毒都是从分析病毒传染机制入手的。

病毒的症状：

启动或运行速度明显变慢；文件大小、日期变化；死

机增多；莫名其妙地丢失文件；磁盘空间不应有的

减少；有规律地出现异常信息；自动生成一些特殊

文件；无缘无故地出现打印故障。

计算机病毒的传播途径

1）通过不可移动的设备进行传播

较少见，但破坏力很强。

2）通过移动存储设备进行传播

最广泛的传播途径

3）通过网络进行传播

反病毒所面临的新课题

4）通过点对点通讯系统和无线通道传播

预计将来会成为两大传播渠道

病毒的破坏行为

攻击系统数据区：主引导区、Boot区、FAT区、文件目录

攻击文件、内存、CMOS；干扰系统运行，使速度下降;

干扰屏幕、键盘、喙＞1叭、打印机；

破坏网络资源。

病毒的发展趋势

攻击对象趋于混合型；

反跟踪技术；

增强隐蔽性：避开修改中断向量值；请求在内存中的合

法身份；维持宿主程序外部特征；不用明显感染标志

采用加密技术，使得对病毒的跟踪、判断更困难；

繁衍不同的变种。

二、病毒的防治

网络环境下的病毒防治原则与策略

防重于治，防重在管：制度；注册、权限、属性、

服务器安全；集中管理、报警。

综合防护：木桶原理；防火墙与防毒软件结合

最佳均衡原则：占用较小的网络资源

管理与技术并重

正确选择反毒产品

多层次防御：病毒检测、数据保护、实时监控

注意病毒检测的可靠性：经常升级；两种以上。

二、病毒的防治

防毒：预防入侵；病毒过滤、监控、隔离

查毒：发现和追踪病毒；统计、报警

解毒：从感染对象中清除病毒；恢复功能

病毒检测的方法

直接观察法：根据病毒的种种表现来判断

特征代码法：采集病毒样本，抽取特征代码

特点：能快速、准确检验已知病毒，不能发现未

知的病毒。

校验和法：根据文件内容计算的校验和与以

前的作比较。

优点：能判断文件细微变化，发现未知病毒。

缺点：当软件升级、改口令时会产生误报；不

能识别病毒名称；对隐蔽性病毒无效。

行为监测法：基于对病毒异常行为的判断

特点：发现许多未知病毒；可能误报，实施难

软件模拟法：一种软件分析器，用软件方法

来模拟和分析程序的运行。

特点：可用于对付多态病毒。

反病毒软件的选择

1）扫描速度30秒能扫描1000个以上文件

2）识别率

3）病毒清除测试

著名杀毒软件公司

冠群金辰KILL

瑞星RAV

北京江民KV3000

信源LANVRV

赛门铁克NortonAntiVirus

时代先锋（行天98）

反病毒软件工作原理

1）病毒扫描程序

串扫描算法:与已知病毒特征匹配；文件头、尾部

入口扫描算法：模拟跟踪目标程序的执行

类属解密法：对付多态、加密病毒

2）内存扫描程序：搜索内存驻留文件和引导记录病毒

3）完整性检查器：能发现新的病毒；但对于已被感染

的系统使用此方法，可能会受到欺骗。

4）行为监测器：是内存驻留程序，监视病毒对可执行

文件的修改。防止未知的病毒

三、几种常见的病毒

宏病毒

宏（Macro）：为避免重复操作而设计的一组命令。

在打开文件时，先执行“宏”，然后载入文件内容。

因此如果“宏”带有病毒，则在编辑文件时病毒自

动载入。

宏病毒的症状：

1）用Word或Excel打开文件时，出现“文档未打开”、

“内存不够"、"WordBasicErr=514”等；

2）保存文件时，强制将文件按-dot”类型存储，或

强制在指定目录存放。

3）宏病毒的版本兼容问题

几种宏病毒：

AAAZAOMacro：Concept病毒，第一个宏病毒；

TaiwanN0.1：第一个中文word病毒；

RainbowMacro：能改变桌面颜色；

Formate：格式化C盘，第一个木马型宏病毒；

HotMacro：第一个调用WindowsAPI的宏病毒；

NuclearMacro:第一个干扰打印机、硬盘的宏病毒。

宏病毒分类：

公用宏病毒：以Auto开头的宏，附在normal.dot或

Personal.xls等模板上。

私用宏病毒：

宏病毒的危害

1）传播迅速：因为文件交流频繁；

2）制造及变种方便：WordBasic编程容易

3）危害大：WordBasic可调用WindowsAPI、DLL、DDE

宏病毒的防治

除杀毒软件以外，还可尝试下列方法：

1）按住〈Shift〉键再启动Word,禁止宏自动运行；

2）工具3宏，检查并删除所有可能带病毒的宏；

3）使用DisableAutoMacros宏

4）将模板文件如normal.dot的属性设为只读。

三、几种常见的病毒

CIH病毒

台湾陈盈豪编写，一般每月26日发作。

不仅破坏硬盘的引导扇区和分区表，还破坏系统

FlashBIOS芯片中的系统程序，导致主板损坏。

病毒长1KB,由于使用VXD技术，只感染32位

Windows系统可执行文件中的,PE格式文件。

修复硬盘分区表：信源公司()的

免费软件VRVFIX.EXE；

CIH疫苗:CIH作者的Ant-CIHvl.O；

美国Symantec公司的Kill_CIH

四、网络病毒

含义1:在网上传播、并对网络进行破坏的病毒。

含义2：专指HTML、E-mail、Java等Internet病毒。

例：蠕虫病毒，木马程序等。

2001年9月18日，Nimdaworm在Internet上迅

速传播。该病毒感染Windows系列多种计算机

系统，其传播速度之快、影响范围之广、破坏

力之强都超过其前不久发现的CodeRedIL

特点：网上蔓延，危害更大。

1）网上传染方式多，工作站、服务器交叉感染

2）混合特征：集文件感染、蠕虫、木马等于一身

3）利用网络脆弱性、系统漏洞

4）更注重欺骗性

5）清除难度大，破坏性强。

网络病毒的防范：

具体实现方法包括对网络服务器中的文件进行频

繁地扫描和监测；在工作站上用防病毒芯片和

对网络目录及文件设置访问权限等。

相对于单机病毒的防护来说，网络病毒的防治具有

更大的难度，网络病毒防治应与网络管理集成。管

理功能就是管理全部的网络设备：从Hub、交换机、

服务器到PC,软盘的存取、局域网上的信息互通及

与Internet的连接等，所有病毒能够进来的地方。

为实现计算机病毒的防治，可在计算机网络系统上

安装网络病毒防治服务器；在内部网络服务器上安

装网络病毒防治软件；在单机上安装单机环境的反

病毒软件。

从以下方面控制网络病毒：

服务器邮件系统WEB站点

数据库系统网关

局域网病毒防御体系

1）服务器网络病毒防杀模块

监视各节点，保护网络操作系统安全;

动态告警、杀灭各节点的病毒；

配置系统整体的检测计划、时间；

对病毒事件进行记录、审计、跟踪；

提供技术支持，升级；

2）客户端单机病毒防杀模块

单机版杀毒软件；响应升级要求

安装网络防毒软件的方案

1）在网关和防火墙上安装防毒软件

缺点：对每个文件的检测将影响网络性能。

2）在工作站上安装防毒软件

缺点：管理、协调、升级困难。

3）在电子邮件服务器上安装防毒软件

仅能防止邮件病毒的传播。

4）在所有文件服务器上安装防毒软件

对于备份服务器，备份与反毒有可能冲突。

网络反毒的新特征：

与OS结合更紧密；实时化；检测压缩文件病

毒

病毒防火墙技术：能阻止病毒的扩散

在网络服务器上安装病毒防火墙系统，例如:

InterScanVirusWall

关键技术：

OS底层接口技术：实时过滤，并少占用资源;

网络及应用程序的底层接口技术：各种协议

充分利用OS的多任务、多线程机制；

优化算法，减少系统开销；

网络应急响应

网络安全事件：违反明显的或隐含的安全策略的一次

活动，即对系统正常运行有负面影响的活动。包括：

非授权访问；系统崩溃；拒绝服务；对系统的篡改。

时间长短；规模大小；

安全级别：A:影响公共安全、社会秩序

B:系统停顿，业务无法运作

C:业务中断，影响系统效率

D:业务短暂故障，可立即修复

CERT/CC(计算机紧急事件响应小组/协调中心)发出

安全警报：00年26次，01年41次。中国计算机网络应

急处理协调中心CNCERT/CC(WWW.CERT.ORG.CN)

网络安全事件的紧急程度：

一般：

紧急：

对人身安全的威胁；

对Internet体系的攻击（如对DNS、根名服务

器、网络接入点的攻击）

对Internet的大范围自动化攻击

新型的攻击及新的严重漏洞。

网络安全事件的应急准备

分析关键业务；后援；应急组织与计划；评估；演练。

网络安全事件的应急处理流程

1）发现网络安全事件

2）确定影响范围，评估可能损失

3）执行预定的应急措

4）安全事件通报、求援

安全事件通报内容：

发生安全事件的联系资料：

发生时间、地点；受影响主机资料；

事件描述（程度、来源、工具、损失）；

采取的措施；期望的援助。

CERT/CC提供的基本服务

CERT/CC是实现信息安全保障的核心,

提供以下服务：

安全事件的热线响应；

检查入侵来源；

恢复系统正常工作；

事故分析；

发布安全警报、公告、建议；

咨询；安全培训教育；

风险评估。

Web站台

咨询组

事

系

件