第3章：病毒知識介紹

1、第3章 病毒知識介紹 知識點 病毒的定義、識別和防治 網(wǎng)絡病毒的特點及防治 典型病毒 殺毒軟件的使用 難點 病毒的識別和防治 要求 熟練掌握以下內(nèi)容： 病毒定義、識別和防治 網(wǎng)絡病毒的特點及防治 殺毒軟件的使用 了解以下內(nèi)容： 病毒的發(fā)展歷史 典型病毒 3.1 計算機病毒簡介 3.1.1 病毒的概念 計算機病毒是一個程序，一段可執(zhí)行代碼。 就像生物病毒一樣，計算機病毒有獨特的 復制能力，可以很快地蔓延，又常常難以 根除。它們能把自身附著在各種類型的文 件上。當文件被復制或從一個用戶傳送到 另一個用戶時，它們就隨同文件一起轉(zhuǎn)移。 計算機病毒（Computer Virus）在中華 人民共和國計算機

2、信息系統(tǒng)安全保護條例 中被明確定義，病毒“指編制或者在計算機 程序中插入的破壞計算機功能或者破壞數(shù) 據(jù)，影響計算機使用并且能夠自我復制的 一組計算機指令或者程序代碼”。 3.1.2 病毒的發(fā)展史 計算機病毒的產(chǎn)生是計算機技術(shù)和以計算機為核 心的社會信息化進程發(fā)展到一定階段的必然產(chǎn)物。 它產(chǎn)生的背景如下。 1制造計算機病毒是計算機犯罪的一種新的衍化 形式 制造計算機病毒是高技術(shù)犯罪，具有瞬時性、動 態(tài)性和隨機性，不易取證，風險小破壞大，從而 刺激了犯罪意識和犯罪活動，是某些人惡作劇和 報復心態(tài)在計算機應用領(lǐng)域的表現(xiàn)。 3.1.2 病毒的發(fā)展史 2計算機軟硬件產(chǎn)品的脆弱性是根本的技術(shù)原因 計算機是

3、電子產(chǎn)品。數(shù)據(jù)從輸入、存儲、處理、 輸出等環(huán)節(jié)，易誤入、篡改、丟失、作假和破壞； 程序易被刪除、改寫；計算機軟件設(shè)計的手工方 式，效率低且生產(chǎn)周期長；人們至今沒有辦法事 先了解一個程序有沒有錯誤，只能在運行中發(fā)現(xiàn)、 修改錯誤，并不知道還有多少錯誤和缺陷隱藏在 其中。這些脆弱性就為病毒的侵入提供了方便。 3.1.2 病毒的發(fā)展史 3微機的普及應用是計算機病毒產(chǎn)生的必要環(huán)境 1983年11月3日美國計算機專家首次提出了計算機 病毒的概念并進行了驗證。幾年前計算機病毒就 迅速蔓延，到我國是近年來的事。而這幾年正是 我國微型計算機普及應用熱潮。微機的廣泛普及， 操作系統(tǒng)簡單明了，軟、硬件透明度高，基本

4、上 沒有什么安全措施，能夠透徹了解它內(nèi)部結(jié)構(gòu)的 用戶日益增多，對其存在的缺點和易攻擊處也了 解得越來越清楚，不同的目的可以做出截然不同 的選擇。目前，在IBM PC系統(tǒng)及其兼容機上廣泛 流行著各種病毒就很說明這個問題。 3.1.3 病毒的特點 計算機病毒一般具有以下幾個特點。 （1）破壞性。凡是由軟件手段能觸及到計算機資源的地 方均可能受到計算機病毒的破壞。其表現(xiàn)為：占用CPU時 間和內(nèi)存開銷，從而造成進程堵塞；對數(shù)據(jù)或文件進行破 壞；打亂屏幕的顯示等。 （2）隱蔽性。病毒程序大多夾在正常程序之中，很難被 發(fā)現(xiàn)。 （3）潛伏性。病毒侵入后，一般不立即活動，需要等一 段時間，條件成熟后才作用。

5、（4）傳染性。對于絕大多數(shù)計算機病毒來講，傳染是它 的一個重要特性。它通過修改別的程序，并把自身的拷貝 包括進去，從而達到擴散的目的。 3.1.4 病毒的分類 計算機病毒一般可分成4種主要類別：系統(tǒng)引導病毒、文 件型病毒、復合型病毒和宏病毒。 1系統(tǒng)引導病毒 系統(tǒng)引導病毒又稱引導區(qū)型病毒。直到20世紀90年代中期， 引導區(qū)型病毒是最流行的病毒類型，主要通過軟盤在DOS 操作系統(tǒng)里傳播。引導區(qū)型病毒侵染軟盤中的引導區(qū)，蔓 延到用戶硬盤，并能侵染到用戶硬盤中的“主引導記錄”。 一旦硬盤中的引導區(qū)被病毒感染，病毒就試圖侵染每一個 插入計算機的從事訪問的軟盤的引導區(qū)。 引導區(qū)型病毒是這樣工作的：由于病

6、毒隱藏在軟盤的第一 扇區(qū)，使它可以在系統(tǒng)文件裝入內(nèi)存之前先進入內(nèi)存，從 而獲得對DOS的完全控制，這就使它得以傳播和造成危害。 3.1.4 病毒的分類 2文件型病毒 文件型病毒是文件侵染者，也被稱為寄生病毒。它運作在計算機存儲器 里，通常感染擴展名為COM、EXE、DRV、BIN、OVL、SYS等文件。每一次 激活它們時，感染文件把自身復制到其他文件中，并能在存儲器里保存 很長時間，直到病毒又被激活。 目前，有數(shù)千種文件型病毒，它類似于引導區(qū)型病毒，極大多數(shù)文件型 病毒活動在DOS環(huán)境中。然而，也有一些文件型病毒能很成功地感染微 軟 Windows、 IBM OS/2和 Macintosh環(huán)境

7、。 3復合型病毒 復合型病毒具有引導區(qū)型病毒和文件型病毒兩者的特征。 4宏病毒 宏病毒一般是指用 Basic書寫的病毒程序，寄存在 Microsoft Office 文檔上的宏代碼。它影響對文檔的各種操作，如打開、存儲、關(guān)閉或清 除等。當打開Office文檔時，宏病毒程序就會被執(zhí)行，即宏病毒處于活 動狀態(tài)。當觸發(fā)條件滿足時，宏病毒才開始傳染、表現(xiàn)和破壞。 3.1.5 病毒的結(jié)構(gòu) 計算機病毒一般由引導模塊、感染模塊、破壞模塊、觸發(fā)模塊四大部分組成。 1引導模塊 計算機病毒為了進行自身的主動傳播必須寄生在可以獲取執(zhí)行權(quán)的寄生對象 上。就目前出現(xiàn)的各種計算機病毒來看，其寄生對象有兩種：寄生在磁盤引

8、導扇區(qū)和寄生在特定文件中（如EXE、COM、可執(zhí)行文件、DOC、HTML等）。寄 生在它們上面的病毒程序可以在一定條件下獲得執(zhí)行權(quán)，從而得以進入計算 機系統(tǒng)，并處于激活狀態(tài)，然后進行動態(tài)傳播和破壞活動。 2感染模塊 感染是指計算機病毒由一個載體傳播到另一個載體。這種載體一般為磁盤， 它是計算機病毒賴以生存和進行傳染的媒介。但是，只有載體還不足以使病 毒得到傳播。促成病毒的傳染還有一個先決條件，可分為兩種情況：一種情 況是用戶在復制磁盤或文件時，把一個病毒由一個載體復制到另一個載體上， 或者是通過網(wǎng)絡上的信息傳遞，把一個病毒程序從一方傳遞到另一方；另一 種情況是在病毒處于激活狀態(tài)下，只要傳染條件

9、滿足，病毒程序能主動地把 病毒自身傳染給另一個載體。 3.1.5 病毒的結(jié)構(gòu) 3觸發(fā)模塊 計算機病毒在傳染或發(fā)作之前，往往要判斷某些特定條件是否滿足，滿足則傳染或發(fā) 作，否則不傳染或不發(fā)作，這個條件就是計算機病毒的觸發(fā)條件。計算機病毒頻繁的 破壞行為可能給用戶以重創(chuàng)。目前病毒采用的觸發(fā)條件主要有以下幾種。 （1）日期觸發(fā)。許多病毒采用日期作為觸發(fā)條件。日期觸發(fā)大體包括特定日期觸發(fā)、 月份觸發(fā)和前半年觸發(fā)/后半年觸發(fā)等。 （2）時間觸發(fā)。它包括特定的時間觸發(fā)、染毒后累計工作時間觸發(fā)和文件最后寫入時 間觸發(fā)等。 （3）鍵盤觸發(fā)。有些病毒監(jiān)視用戶的擊鍵動作，當發(fā)現(xiàn)病毒預定的擊鍵時，病毒被激 活，進行

10、某些特定操作。鍵盤觸發(fā)包括擊鍵次數(shù)觸發(fā)、組合鍵觸發(fā)和熱啟動觸發(fā)等。 （4）感染觸發(fā)。許多病毒的感染需要某些條件觸發(fā)，而且相當數(shù)量的病毒以與感染有 關(guān)的信息反過來作為破壞行為的觸發(fā)條件，稱為感染觸發(fā)。它包括運行感染文件個數(shù) 觸發(fā)、感染序數(shù)觸發(fā)、感染磁盤數(shù)觸發(fā)和感染失敗觸發(fā)等。 （5）啟動觸發(fā)。病毒對計算機的啟動次數(shù)計數(shù)，并將此值作為觸發(fā)條件。 （6）訪問磁盤次數(shù)觸發(fā)。病毒對磁盤I/O訪問次數(shù)進行計數(shù)，以預定次數(shù)作為觸發(fā)條 件。 （7）CPU型號/主板型號觸發(fā)。病毒能識別運行環(huán)境的CPU型號/主板型號，以預定CPU 型號/主板型號作為觸發(fā)條件，這種病毒的觸發(fā)方式奇特罕見。 3.1.5 病毒的結(jié)構(gòu)

11、4破壞模塊 破壞模塊在觸發(fā)條件滿足的情況下，病毒對系統(tǒng)或磁盤上的文件進行 破壞。這種破壞活動不一定都是刪除磁盤上的文件，有的可能是顯示 一串無用的提示信息。有的病毒在發(fā)作時，會干擾系統(tǒng)或用戶的正常 工作。而有的病毒，一旦發(fā)作，則會造成系統(tǒng)死機或刪除磁盤文件。 新型的病毒發(fā)作還會造成網(wǎng)絡的擁塞甚至癱瘓。 計算機病毒破壞行為的激烈程度取決于病毒作者的主觀愿望和他所具 有的技術(shù)能量。數(shù)以萬計、不斷發(fā)展擴張的病毒，其破壞行為千奇百 怪。病毒破壞目標和攻擊部位主要有系統(tǒng)數(shù)據(jù)區(qū)、文件、內(nèi)存、系統(tǒng) 運行速度、磁盤、CMOS、主板和網(wǎng)絡等。 3.1.6 病毒的識別與防治 只要掌握一些病毒的命名規(guī)則，就能通過殺

12、毒軟件報告中出現(xiàn)的病毒 名來判斷該病毒的一些共有特性。一般格式為：.。 病毒前綴是指一個病毒的種類，它是用來區(qū)別病毒的種族分類的。不 同種類的病毒，其前綴也是不同的。比如常見的木馬病毒的前綴是 Trojan，蠕蟲病毒的前綴是Worm等。 病毒名是指一個病毒的家族特征，用來區(qū)別和標識病毒家族的，如以 前著名的CIH病毒的家族名是統(tǒng)一的“CIH”，振蕩波蠕蟲病毒的家族 名是“Sasser”。 病毒后綴是指一個病毒的變種特征，用來區(qū)別具體某個家族病毒的某 個變種。一般都采用英文中的26個字母來表示，如 Worm.Sasser.b 就是指振蕩波蠕蟲病毒的變種b，因此一般稱為“振蕩波b變種”或者“振 蕩

13、波變種b”。如果該病毒變種非常多，可以采用數(shù)字與字母混合表 示變種標識。 1Windows操作系統(tǒng)一些常見的病毒前綴的解釋 （1）系統(tǒng)病毒 系統(tǒng)病毒的前綴為Win32、PE、Win95、W32、W95 等。這些病毒的一般共有的特性是可以感染 Windows操作系統(tǒng)的 *.exe 和 *.dll 文件，并通 過這些文件進行傳播，如CIH病毒。 （2）蠕蟲病毒 蠕蟲病毒的前綴是Worm。這種病毒的共有特性是 通過網(wǎng)絡或者系統(tǒng)漏洞進行傳播，大部分蠕蟲病 毒都能向外發(fā)送帶毒郵件、阻塞網(wǎng)絡的特性，比 如沖擊波（阻塞網(wǎng)絡）、小郵差（發(fā)帶毒郵件） 等。 （3）木馬病毒、黑客病毒 木馬病毒其前綴是Trojan

14、，黑客病毒前綴名一般為Hack。 木馬病毒的共有特性是通過網(wǎng)絡或者系統(tǒng)漏洞進入用戶的 系統(tǒng)并隱藏，然后向外界泄露用戶的信息，而黑客病毒則 有一個可視的界面，能對用戶的計算機進行遠程控制。木 馬、黑客病毒往往是成對出現(xiàn)的，即木馬病毒負責侵入用 戶的計算機，而黑客病毒則會通過該木馬病毒來進行控制。 現(xiàn)在這兩種類型都越來越趨向于整合了。一般的木馬如QQ 消息尾巴木馬 Trojan.QQ3344，還有可能遇見比較多的針 對網(wǎng)絡游戲的木馬病毒如 Trojan.LMir.PSW.60。這里補 充一點，病毒名中有PSW或者PWD的一般都表示這個病毒有 盜取密碼的功能（這些字母一般都為“密碼”的英文 “pas

15、sword”的縮寫）。一些黑客程序如網(wǎng)絡梟雄 （Hack.Nether.Client）等。 （4）腳本病毒 腳本病毒的前綴是Script。腳本病毒的共有特性 是使用腳本語言編寫，通過網(wǎng)頁進行的傳播的病 毒，如紅色代碼（Script.Redlof）。腳本病毒還 會有如下前綴：VBS、JS（表明是何種腳本編寫 的），如歡樂時光（VBS.Happytime）、十四日 （Js.Fortnight.c.s）等。 （5）宏病毒 其實宏病毒也是腳本病毒的一種，由于它的特殊性，因此 在這里單獨算成一類。宏病毒的前綴是Macro，第二前綴 是Word、Word97、Excel、Excel 97（也許還有別的）其

16、 中之一。凡是只感染W(wǎng)ord 97及以前版本W(wǎng)ord文檔的病毒 采用Word 97做為第二前綴，格式是Macro.Word 97；凡是 只感染W(wǎng)ord 97以后版本W(wǎng)ord文檔的病毒采用Word做為第 二前綴，格式是Macro.Word；凡是只感染Excel 97及以前 版本Excel文檔的病毒采用Excel 97做為第二前綴，格式 是Macro.Excel97；凡是只感染Excel 97以后版本Excel文 檔的病毒采用Excel做為第二前綴，格式是Macro.Excel， 以此類推。該類病毒的共有特性是能感染Office系列文檔， 然后通過Office通用模板進行傳播，如著名的美麗莎 （M

17、acro.Melissa）病毒。 （6）后門病毒 后門病毒的前綴是Backdoor。該類病毒的共有特性是通過 網(wǎng)絡傳播，給系統(tǒng)開后門，給用戶計算機帶來安全隱患。 （7）病毒種植程序病毒 這類病毒的共有特性是運行時會從體內(nèi)釋放出一個或幾個 新的病毒到系統(tǒng)目錄下，由釋放出來的新病毒產(chǎn)生破壞， 如冰河播種者（Dropper.BingHe2.2C）、MSN射手 （Dropper.Worm.Smibag）等。 （8）破壞性程序病毒 破壞性程序病毒的前綴是Harm。這類病毒的共有特性是本 身具有好看的圖標來誘惑用戶點擊，當用戶點擊這類病毒 時，病毒便會直接對用戶計算機產(chǎn)生破壞，如格式化C盤 （Harm.f

18、ormatC.f）、殺手命令（Harm.Command.Killer） 等。 （9）玩笑病毒 玩笑病毒的前綴是Joke，也稱惡作劇病毒。這類病毒的共 有特性是本身具有好看的圖標來誘惑用戶點擊，當用戶點 擊時，病毒會做出各種破壞操作來嚇唬用戶，其實病毒并 沒有對用戶計算機進行任何破壞，如女鬼 （Joke.Girlghost）病毒。 （10）捆綁機病毒 捆綁機病毒的前綴是Binder。這類病毒的共有特性是病毒 作者會使用特定的捆綁程序?qū)⒉《九c一些應用程序（如QQ、 IE）捆綁起來，表面上看是一個正常的文件，當用戶運行 這些捆綁病毒時，會表面上運行這些應用程序，同時隱藏 運行捆綁在一起的病毒，從而給

19、用戶造成危害，如捆綁QQ （Binder.QQPass.QQBin）、系統(tǒng)殺手（Binder.killsys） 等。 2計算機的病毒防治步驟 （1）清理 首先，安裝防病毒軟件。目前世界上較為流行的防病毒軟件有 DrSdomon的AntiVirus、McAfee的VirusScan和Symantic的 NortonAntivirus，國內(nèi)比較流行的防病毒軟件有瑞星殺毒軟件、360 安全衛(wèi)士、金山毒霸等。 其次，清理磁盤碎片。硬盤使用一段時間后，可儲存的空間在物理上 已變得不連續(xù)。當安裝應用程序或保存大型文件時，數(shù)據(jù)通常被分成 許多碎片，存入硬盤不連續(xù)的區(qū)域中。硬盤中的碎片越來越多，文件 也就分布

20、得越來越亂，那么再運行某個程序或打開某個文件時，會發(fā) 現(xiàn)機器慢得令人難以忍受。所以，要對機器進行定期的磁盤碎片清理， 也就是把那些文件碎片重新按順序在磁盤空間上連續(xù)排列。Windows操 作系統(tǒng)自帶磁片碎片整理程序，在“開始/程序/附件/系統(tǒng)工具”下可以 找到該項。Norton套裝軟件中的SpeedDisk，也是個不錯的磁盤碎片整 理程序，它不僅速度快（整理1GB的硬盤只需DiskDefagment的一半時 間），而且能把經(jīng)常需要用到的文件放在磁盤的前端（速度可大大提 升），并將那些頻繁變化的文件放到硬盤后面較空的位置上，以減少 碎片的產(chǎn)生。 （2）檢查 清理驅(qū)動器后，下一步就是檢查。通過定期

21、掃描硬盤，不斷升級軟件，經(jīng)常 查看計算機狀態(tài)，就可以防患于未然。具體做法如下。 首先，讓硬盤保持良好的狀態(tài)。硬盤的日常維護不可缺少，這些維護主要使 用磁盤掃描工具軟件來進行。磁盤掃描工具能掃描磁盤的物理表面，檢查文 件系統(tǒng)的目錄結(jié)構(gòu)，并對硬盤的可靠性進行測試。通常，如果是非正常關(guān)機， 硬盤上的文件最有可能出現(xiàn)交叉連接或簇丟失。此時若不修復，Windows將 變得不穩(wěn)定，程序執(zhí)行也會出錯。 其次，要不斷更新軟件。一般來說，軟件升級可以修復舊版本的BUG，還可 以降低應用程序或操作系統(tǒng)的出錯率。升級硬件的驅(qū)動程序則可充分地發(fā)揮 硬件的性能，使之與操作系統(tǒng)更好地交互。通過廠商的網(wǎng)站，一般都可以及 時

22、獲得最新的升級補丁或驅(qū)動程序。此外，一些知名的個人主頁也提供軟件 和驅(qū)動程序下載。 然后，深入了解PC的內(nèi)部結(jié)構(gòu)。在“開始”菜單中選擇“控制面板/系統(tǒng)/硬件/ 設(shè)備管理器”。這時可以查看到各部分硬件的詳細資料。比如，要查看MODEM 的情況，如果在MODEM的前面沒有問號，表示該設(shè)備情況正常，在它上面雙 擊會顯示更詳細的信息，包括配置是否恰當。配置設(shè)備或消除設(shè)備沖突的簡 單辦法是用Win9x的硬件沖突診斷器來完成。此外，也可使用專門的軟件來 解決硬件上的問題。 另外，提高上網(wǎng)速度。上網(wǎng)速度慢，并不是計算機本身 的原因，主要是網(wǎng)上“人多路窄”，除非選用更快的MODEM 或ISDN等高速一些的連接

23、方式。如果在連接方式上無法 變動，通過對系統(tǒng)優(yōu)化，還是可以有限地改善上網(wǎng)速度。 （3）C盤可定期清理的文件 Local Setting里面的東西可以定期刪除，影響不大。另 外，Cookie和各種臨時文件也可以定期清理一下。 3.2 網(wǎng)絡病毒及其防治 3.2.1 網(wǎng)絡病毒的特點 計算機病毒攻擊網(wǎng)絡的途徑主要是通過U盤 復制、互聯(lián)網(wǎng)上的文件傳輸、硬件設(shè)備中 的固化病毒程序等。病毒還可以利用網(wǎng)絡 的薄弱環(huán)節(jié)攻擊計算機網(wǎng)絡。 在網(wǎng)絡環(huán)境中，計算機病毒具有如下一些 新的特點。 1傳染方式多 病毒入侵網(wǎng)絡的主要途徑是通過工作站傳播到服務器硬盤， 再由服務器的共享目錄傳播到其他工作站。但病毒傳染方式 比較復

24、雜，通常有以下幾種。 （1）引導型病毒對工作站或服務器的硬盤分區(qū)表或DOS引導 區(qū)進行傳染。 （2）通過在有盤工作站上執(zhí)行帶毒程序，而傳染服務器映像 盤上的文件。由于login.exe文件是用戶登錄入網(wǎng)的一個被調(diào) 用的可執(zhí)行文件，因此該文件最易被病毒感染。而一旦 login.exe文件被病毒感染，則每個工作站在使用它登錄時使 會感染，并進一步感染服務器共享目錄。 （3）服務器上的程序若被病毒感染，則所有使用該帶毒程序 的工作站都將被感染。病毒有可能感染工作站上的硬盤分區(qū) 或DOS引導區(qū)。 （4）病毒通過工作站的拷貝操作進入服務器，進而在網(wǎng)上傳 染。 （5）利用多任務可加載模塊進行傳染。 2傳染

25、速度快 在單機上，病毒只能通過U盤或移動硬盤等從一臺計算機 傳染到另一臺計算機，而在網(wǎng)絡中病毒則可通過網(wǎng)絡通信 機制迅速擴散。 由于病毒在網(wǎng)絡中傳染速度非?？?，故其擴散范圍很大， 不但能迅速傳染局域網(wǎng)內(nèi)所有計算機，還能通過遠程工作 站將病毒在瞬間傳播到千里之外。 3清除難度大 在單機上，再頑固的病毒也可通過刪除帶病毒文件，低級 格式化硬盤等措施被清除，而網(wǎng)絡中只要一臺工作站未消 毒干凈就可令整個網(wǎng)絡全部被病毒更新感染，甚至剛剛完 成消毒工作的一臺工作站也有可能被網(wǎng)上另一臺工作站的 帶毒程序所感染。因此，僅對工作站進行殺毒處理并不能 徹底解決網(wǎng)絡病毒問題。 4破壞性強 網(wǎng)絡上的病毒將直接影響網(wǎng)絡

26、的工作，輕則降低速度，影 響工作效率，重則網(wǎng)絡系統(tǒng)的癱瘓，破壞服務系統(tǒng)的資源， 使多年工作成果毀于一旦。 5可激發(fā)性 網(wǎng)絡病毒激發(fā)的條件多樣化，可以是內(nèi)部時鐘、系統(tǒng)的日 期和用戶名，也可以是網(wǎng)絡的一次通信等。一個病毒程序 可以按照設(shè)計者的要求，在某個工作站上激活并發(fā)出攻擊。 6潛在性 網(wǎng)絡一旦感染了病毒，即使病毒已被消除，其潛在的危險 仍是巨大的。DATAQUEST公司研究發(fā)現(xiàn)，病毒在網(wǎng)絡上被 消除后，85的網(wǎng)絡會在30天內(nèi)再次被感染。 3.2.2 網(wǎng)絡病毒的傳播 網(wǎng)絡病毒一般會試圖通過以下4種不同的方式進行傳播。 （1）郵件附件。病毒經(jīng)常會附在郵件的附件里，然后起一個吸引人的名字， 誘惑人們

27、去打開附件。一旦人們執(zhí)行之后，機器就會染上附件中所附的病毒。 （2）E-mail。有些蠕蟲病毒會利用在Microsoft Security Bulletin的 MS01-020中討論過的安全漏洞將自身藏在郵件中，并向其他用戶發(fā)送一個病 毒副本來進行傳播。正如在公告中所描述的那樣，該漏洞存在于Internet Explorer之中，但是可以通過E-mail進行傳播，只需簡單地打開郵件就會使 機器感染上病毒，而并不需要打開郵件附件。 （3）Web服務器。有些網(wǎng)絡病毒攻擊IIS 4.0和IIS 5.0 Web服務器。例如 “尼姆達”病毒來舉例說明吧，主要通過兩種手段來進行攻擊。第一，它檢查 計算機是

28、否已經(jīng)被“紅色代碼II”病毒所破壞，因為“紅色代碼II”病毒會創(chuàng) 建一個“后門”，任何惡意用戶都可以利用這個“后門”獲得對系統(tǒng)的控制權(quán)。 如果“尼姆達”病毒發(fā)現(xiàn)了這樣的機器，它會簡單地使用“紅色代碼II”病毒留 下的后門來感染機器。第二，病毒會試圖利用“Web Server Folder Traversal”漏洞來感染機器。如果它成功地找到了這個漏洞，病毒會使用 它來感染系統(tǒng)。 （4）文件共享。Windows系統(tǒng)可以被配置成允許其他用戶讀寫系統(tǒng)中的文件。 允許所有人訪問自己的文件會導致很糟糕的安全性，而且默認情況下， Windows系統(tǒng)僅僅允許授權(quán)用戶訪問系統(tǒng)中的文件。然而，如果病毒發(fā)現(xiàn)系 統(tǒng)

29、被配置為其他用戶可以在系統(tǒng)中創(chuàng)建文件時，它會在其中添加文件來傳播 病毒。 3.2.3 網(wǎng)絡病毒的防治 1基于工作站的防治技術(shù) 工作站就像是計算機網(wǎng)絡的大門。只有把好這道大門，才 能有效防止病毒的侵入。工作站防治病毒的方法有3種。 一是軟件防治，即定期不定期地用反病毒軟件檢測工作站 的病毒感染情況。軟件防治可以不斷提高防治能力，但需 人為經(jīng)常去啟動防病毒軟件，因此不僅給工作人員增加了 負擔，而且很有可能在病毒發(fā)作后才能檢測到。二是在工 作站上插防病毒卡。防病毒卡可以達到實時檢測的目的， 但防病毒卡的升級不方便，從實際應用的效果看，對工作 站的運行速度有一定的影響。三是在網(wǎng)絡接口卡上安裝防 病病毒

30、芯片。它將工作站存取控制與病毒防護合二為一， 可以更加實時有效地保護工作站及通向服務器的橋梁，但 這種方法同樣也存在芯片上的軟件版本升級不便的問題， 而且對網(wǎng)絡的傳輸速度也會產(chǎn)生一定的影響。 2基于服務器的防治技術(shù) 網(wǎng)絡服務器是計算機網(wǎng)絡的中心，是網(wǎng)絡的支柱。 網(wǎng)絡癱瘓的一個重要標志就是網(wǎng)絡服務器癱瘓。 網(wǎng)絡服務器一旦被擊垮，造成的損失是災難性的， 是難以挽回和無法估量的。目前基于服務器的防 治病毒的方法大都采用防病毒可裝載模塊（NLM）， 以提供實時掃描病毒的能力。有時也結(jié)合利用在 服務器上的插防毒卡等技術(shù)，目的在于保護服務 器不受病毒的攻擊，從而切斷病毒進一步傳播的 途徑。 3個人用戶防范

31、網(wǎng)絡病毒時注意事項 （1）安裝殺毒軟件。 （2）下載常識。 （3）電子郵件。 （4）使用基于客戶端的防火墻或硬件過濾措施，可以增強計算機對 黑客和惡意代碼的攻擊的免疫力，不過不太適用于家庭用戶。 （5）欺騙性廣告。 （6）網(wǎng)頁病毒。 （7）其他形式的文檔。 （8）及時打補丁。 病毒防治，重在防范。隨著計算機技術(shù)的發(fā)展，計算機病毒的傳播途 徑和破壞手段也在逐漸的升級。作為使用者，面對紛繁復雜的網(wǎng)絡世 界時，一定要倍加小心，隨時更新自己的殺毒軟件，了解病毒發(fā)展的 最新動態(tài)，做到防患于未然。 3.2.4 網(wǎng)絡反病毒技術(shù)的特點 網(wǎng)絡反病毒技術(shù)包括預防病毒、檢測病毒和殺毒3種技術(shù)。 （1）預防病毒技術(shù)。

32、它通過自身常駐系統(tǒng)內(nèi)存，優(yōu)先獲得系統(tǒng)的控 制權(quán)，監(jiān)視和判斷系統(tǒng)中是否有病毒存在，進而阻止計算機病毒進入 計算機系統(tǒng)和對系統(tǒng)進行破壞。這類技術(shù)包括加密可執(zhí)行程序、引導 區(qū)保護、系統(tǒng)監(jiān)控與讀寫控制（如防病毒卡）等。 （2）檢測病毒技術(shù)。它是通過對計算機病毒的特征來進行判斷的技 術(shù)，如自身校驗、關(guān)鍵字、文件長度的變化等。 （3）殺毒技術(shù)。它通過對計算機病毒的分析，開發(fā)出具有刪除病毒 程序并恢復原文件的軟件。 根據(jù)眾多計算機病毒在網(wǎng)絡上傳播、破壞的情況，以及對目前計算機 網(wǎng)絡防病毒產(chǎn)品性能測試的綜合評價，不難得出，區(qū)別于單機反病毒 技術(shù)，計算機網(wǎng)絡反病毒技術(shù)至少具備如下三個特點。 1網(wǎng)絡反病毒技術(shù)的安

33、全度取決于“木桶理論” 被計算機安全界廣泛采用的著名的“木桶理論”認為， 整個系統(tǒng)的安全防護能力取決于系統(tǒng)中安全防護 能力最薄弱的環(huán)節(jié)。計算機網(wǎng)絡病毒防治是計算 機安全極為重要的一個方面，它同樣也適用于這 一理論。一個計算機網(wǎng)絡對病毒的防御能力取決 于網(wǎng)絡中病毒防護能力最薄弱的一個節(jié)點。 2網(wǎng)絡反病毒技術(shù)尤其是網(wǎng)絡病毒實時監(jiān)測技術(shù) 應符合“最小占用”原則。 3網(wǎng)絡反病毒技術(shù)的兼容性是網(wǎng)絡防毒的重點與 難點。 3.2.5 病毒防火墻反病毒的特點 病毒防火墻就是殺毒軟件里的實時監(jiān)控、自動防 護系統(tǒng)。病毒防火墻被稱為“病毒實時檢測和清除 系統(tǒng)”，是反病毒軟件的工作模式之一。當它們運 行的時候，會把病

34、毒特征監(jiān)控的程序駐留內(nèi)存中， 隨時查看系統(tǒng)的運行中是否有病毒的跡象。一旦 發(fā)現(xiàn)有攜帶病毒的文件，它們就會馬上激活殺毒 處理模塊，先禁止帶毒文件的運行或打開，再馬 上查殺帶毒的文件。 3.3 典型病毒介紹 3.3.1 宏病毒 宏病毒是一種寄存在文檔或模板的宏中的計算機病毒。 Microsoft Word中對宏定義為：“宏就是能組織到一起作 為一獨立的命令使用的一系列Word命令，它能使日常工作 變得更容易?！?Word使用宏語言WordBasic將宏作為一系列指令來編寫。 一旦打開這樣的文檔，其中的宏就會被執(zhí)行，于是宏病毒 就會被激活，轉(zhuǎn)移到計算機上，并駐留在Normal模板。從 此以后，所有自

35、動保存的文檔都會感染上這種宏病毒，而 且如果其他用戶打開了感染病毒的文檔，宏病毒又會轉(zhuǎn)移 到他的計算機上。 宏病毒具有一些共性。 （1）以往病毒只感染程序，不感染數(shù)據(jù)文件，而宏病毒專門感染數(shù) 據(jù)文件，徹底改變了人們的“數(shù)據(jù)文件不會傳播病毒”的錯誤認識。宏 病毒會感染.doc文檔文件和.dot模板文件。被它感染的.doc文檔屬性 必然會被改為模板而不是文檔，但不一定修改文件的擴展名。而用戶 在另存文檔時，就無法將該文檔轉(zhuǎn)換為任何其他方式，而只能用模板 方式存盤。這一點在多種文本編輯器需轉(zhuǎn)換文檔時是絕對不允許的。 （2）染毒文檔無法使用“另存為”修改路徑以保存到另外的磁盤/子目 錄中。 （3）病毒

36、宏的傳染通常是Word在打開一個帶宏病毒的文檔或模板時， 激活了病毒宏，病毒宏將自身復制至Word的通用模板（Normal）中， 以后在打開或關(guān)閉文件時病毒宏就會把病毒復制到該文件中。 （4）大多數(shù)宏病毒中含有AutoOpen、AutoClose、AutoNew和 AutoExit等自動宏。只有這樣，宏病毒才能獲得文檔（模板）操作控 制權(quán)。有些宏病毒還通過FileNew、FileOpen、FileSave、 FileSaveAs、FileExit等宏控制文件的操作。 （5）病毒宏中必然含有對文檔讀寫操作的宏指令。 （6）宏病毒在.doc文檔、.dot模板中是以BFF（Binary File F

37、ormat） 格式存放的，這是一種加密壓縮格式，每種Word版本格式可能不兼容。 宏病毒傳播途徑主要有：U盤交流染毒文檔 文件；硬盤染毒，處理的文檔文件必將染 毒；光盤攜帶宏病毒；Internet上下載染 毒文檔文件；BBS交流染毒文檔文件；電子 郵件的附件夾帶病毒。 為徹底清除宏病毒，一般可采取以下兩個步驟。 （1）進入“工具|宏”，查看模板Normal.dot，若發(fā)現(xiàn)有Filesave、 Filesaveas等文件操作宏或類似AAAZAO、AAAZFS怪名字的宏，說明系 統(tǒng)確實感染了宏病毒，刪除這些來歷不明的宏。對以Auto命名的， 若不是用戶自己命名的自動宏，則說明文件感染了宏病毒，需刪

38、除它 們。若是用戶自己創(chuàng)建的自動宏，可以打開它，看是否與原來創(chuàng)建時 的內(nèi)容一樣，如果存在被改變處，說明編制的自動宏已經(jīng)被宏病毒修 改。 （2）為了徹底消除宏病毒，進入“文件|新建”，選擇“模板”。正常情況 下，可以在“文件模板”處見到“Normal.dot”，如果沒有，說明文檔模 板文件Normal.dot已被病毒修改了。這時用原來備份的Normal.dot覆 蓋當前的Normal.dot；如果沒有備份，則刪掉Normal.dot，重新進入 Word，在“模板”里，重置默認字體等選項后退出Word，系統(tǒng)就會自動 創(chuàng)建一個干凈的Normal.dot。再進入Word，打開原來的文本并新建另 一個空文檔，這時新建文檔是干凈的。將原文件的全