第6章計(jì)算機(jī)病毒與惡意軟件

第6章計(jì)算機(jī)病毒與惡意軟件6.1計(jì)算機(jī)病毒概述6.2典型的病毒分析6.3惡意軟件概述概述本章介紹計(jì)算機(jī)病毒和惡意軟件。在國(guó)外，有時(shí)將計(jì)算機(jī)病毒當(dāng)作惡意軟件來(lái)處理。而在我國(guó)，惡意軟件沒(méi)有明確的法律定義，只在互聯(lián)網(wǎng)協(xié)會(huì)對(duì)惡意軟件做了介紹，其中并不包括計(jì)算機(jī)病毒。6.1計(jì)算機(jī)病毒概述6.1.1計(jì)算機(jī)病毒的概念計(jì)算機(jī)病毒：與醫(yī)學(xué)上的“病毒”不同，它不是天然存在的，是某些人利用計(jì)算機(jī)軟、硬件所固有的脆弱性，編制具有特殊功能的程序。它能通過(guò)某種途徑潛伏在計(jì)算機(jī)存儲(chǔ)介質(zhì)（或程序）里，當(dāng)達(dá)到某種條件時(shí)即被激活，它用修改其他程序的方法將自己的精確拷貝或者可能演化的形式放入其他程序中，從而感染它們，對(duì)計(jì)算機(jī)資源進(jìn)行破壞的這樣一組程序或指令集合。6.1計(jì)算機(jī)病毒概述1994年2月18日，我國(guó)正式頒布實(shí)施了《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》，在《條例》第二十八條中明確指出：

“計(jì)算機(jī)病毒，是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼?！贝硕x具有法律性、權(quán)威性。6.1計(jì)算機(jī)病毒概述6.1.2計(jì)算機(jī)病毒產(chǎn)生的原因病毒產(chǎn)生的過(guò)程：程序設(shè)計(jì)－＞傳播－＞潛伏－＞觸發(fā)－＞運(yùn)行－＞實(shí)行攻擊。

究其產(chǎn)生的原因不外乎以下幾種：6.1計(jì)算機(jī)病毒概述1.開個(gè)玩笑，一個(gè)惡作劇某些程序通過(guò)載體傳播出去后，在一定條件下被觸發(fā)。如顯示一些動(dòng)畫，播放一段音樂(lè)，或提一些智力問(wèn)答題目等，其目的無(wú)非是自我表現(xiàn)一下。這類病毒一般都是良性的，不會(huì)有破壞操作。例：小球病毒、1575/1591病毒、救護(hù)車病毒、揚(yáng)基病毒、Dabi病毒等等6.1計(jì)算機(jī)病毒概述2.產(chǎn)生于個(gè)別人的報(bào)復(fù)心理國(guó)外的案例：

某公司職員在職期間編制了一段代碼隱藏在其公司的系統(tǒng)中，一旦檢測(cè)到他的名字在工資報(bào)表中刪除，該程序立即發(fā)作，破壞整個(gè)系統(tǒng)。6.1計(jì)算機(jī)病毒概述3.用于版權(quán)保護(hù)計(jì)算機(jī)發(fā)展初期，很多商業(yè)軟件被非法復(fù)制，有些開發(fā)商為了保護(hù)自己的利益制作了一些特殊程序，附在產(chǎn)品中。如：巴基斯坦病毒，其制作者是為了追蹤那些非法拷貝他們產(chǎn)品的用戶。用于這種目的的病毒目前已不多見(jiàn)。4.用于特殊目的某組織或個(gè)人為達(dá)到特殊目的，對(duì)政府機(jī)構(gòu)、單位的特殊系統(tǒng)進(jìn)行宣傳或破壞，或軍事目的。6.1計(jì)算機(jī)病毒概述6.1.3計(jì)算機(jī)病毒的歷史1988年發(fā)生在美國(guó)的“蠕蟲病毒”事件，給計(jì)算機(jī)技術(shù)的發(fā)展罩上了一層陰影。

莫里斯蠕蟲病毒是由美國(guó)CORNELL大學(xué)研究生莫里斯編寫。雖然并沒(méi)有惡意，但在當(dāng)時(shí)，“蠕蟲”在INTERNET上大肆傳染，使得數(shù)千臺(tái)聯(lián)網(wǎng)的計(jì)算機(jī)停止運(yùn)行，并造成巨額損失，成為一時(shí)的輿論焦點(diǎn)。蠕蟲病毒破壞發(fā)展趨勢(shì)6.1計(jì)算機(jī)病毒概述6.1.4計(jì)算機(jī)病毒的特征1.傳染性傳染性是病毒的基本特征。計(jì)算機(jī)病毒會(huì)通過(guò)各種渠道從已被感染的計(jì)算機(jī)擴(kuò)散到未被感染的計(jì)算機(jī)，在某些情況下造成被感染的計(jì)算機(jī)工作失常甚至癱瘓。6.1.4計(jì)算機(jī)病毒的特征與生物病毒的區(qū)別：

計(jì)算機(jī)病毒是一段人為編制的計(jì)算機(jī)程序代碼，這段程序代碼一旦進(jìn)入計(jì)算機(jī)并得以執(zhí)行，它會(huì)搜尋其他符合其傳染條件的程序或存儲(chǔ)介質(zhì)，確定目標(biāo)后再將自身代碼插入其中，達(dá)到自我繁殖的目的。6.1計(jì)算機(jī)病毒概述2.隱蔽性病毒一般是具有很高編程技巧、短小精悍的程序。通常附在正常程序或磁盤較隱蔽的地方，也有個(gè)別的以隱含文件形式出現(xiàn)，目的是不讓用戶發(fā)現(xiàn)它的存在。計(jì)算機(jī)病毒程序取得系統(tǒng)控制權(quán)后，可以在很短的時(shí)間里傳染大量程序。而且受到傳染后，計(jì)算機(jī)系統(tǒng)通常仍能正常運(yùn)行，使用戶不會(huì)感到任何異常。6.1計(jì)算機(jī)病毒概述3.潛伏性大部分的病毒感染系統(tǒng)之后一般不會(huì)馬上發(fā)作，它可長(zhǎng)期隱藏在系統(tǒng)中，只有在滿足其特定條件時(shí)才啟動(dòng)其破壞模塊。

如“PETER-2”在每年2月27日會(huì)提三個(gè)問(wèn)題，答錯(cuò)后會(huì)將硬盤加密。著名的“黑色星期五”在逢13號(hào)的星期五發(fā)作。國(guó)內(nèi)的“上海一號(hào)”會(huì)在每年三、六、九月的13日發(fā)作。當(dāng)然，最令人難忘的是26日發(fā)作的CIH。6.1計(jì)算機(jī)病毒概述4.破壞性根據(jù)病毒對(duì)計(jì)算機(jī)系統(tǒng)的破壞性可將病毒分為良性病毒與惡性病毒。

良性病度可能只顯示些畫面或出點(diǎn)音樂(lè)、無(wú)聊的語(yǔ)句，或者根本沒(méi)有任何破壞動(dòng)作，但會(huì)占用系統(tǒng)資源。這類病毒較多，如：GENP、小球、W-BOOT等。

惡性病毒則有明確的目的，或破壞數(shù)據(jù)、刪除文件或加密磁盤、格式化磁盤，有的對(duì)數(shù)據(jù)造成不可挽回的破壞。6.1計(jì)算機(jī)病毒概述6.1.5計(jì)算機(jī)病毒的命名反病毒公司為了方便管理，會(huì)按照病毒的特性，將病毒進(jìn)行分類命名。雖然每個(gè)反病毒公司的命名規(guī)則都不太一樣，但大體都是采用一個(gè)統(tǒng)一的命名規(guī)則。一般格式為：<病毒前綴>.<病毒名>.<病毒后綴>6.1計(jì)算機(jī)病毒概述病毒前綴是指一個(gè)病毒的種類，用來(lái)區(qū)別病毒的種族分類。比如我們常見(jiàn)的木馬病毒的前綴Trojan，蠕蟲病毒的前綴是Worm等等。病毒名是指一個(gè)病毒的家族特征，用來(lái)區(qū)別和標(biāo)識(shí)病毒家族。如：CIH病毒的家族名都是統(tǒng)一的“CIH”。病毒后綴是指一個(gè)病毒的變種特征，用來(lái)區(qū)別具體某個(gè)家族病毒的某個(gè)變種，一般都采用26個(gè)字母表示。如：Worm.Sasser.b指振蕩波蠕蟲病毒的變種B。6.1計(jì)算機(jī)病毒概述常見(jiàn)的病毒前綴：1.系統(tǒng)病毒系統(tǒng)病毒的前綴為：Win32、PE、Win95、W32、W95等。

這些病毒的一般公有特性是可以感染windows操作系統(tǒng)的*.exe和*.dll文件，并通過(guò)這些文件進(jìn)行傳播。如CIH病毒。6.1計(jì)算機(jī)病毒概述2.蠕蟲病毒蠕蟲病毒的前綴是：Worm。

這種病毒的公有特性是通過(guò)網(wǎng)絡(luò)或者系統(tǒng)漏洞進(jìn)行傳播，很大一部分蠕蟲病毒都有向外發(fā)送帶毒郵件，阻塞網(wǎng)絡(luò)的特性。如：沖擊波（阻塞網(wǎng)絡(luò)），小郵差（發(fā)帶毒郵件）等。6.1計(jì)算機(jī)病毒概述3.木馬病毒、黑客病毒木馬病毒前綴是：Trojan，黑客病毒前綴一般為：Hack。

木馬病毒的公有特性是通過(guò)網(wǎng)絡(luò)或者系統(tǒng)漏洞進(jìn)入用戶的系統(tǒng)并隱藏，然后向外界泄露用戶的信息；黑客病毒則有一個(gè)可視的界面，能對(duì)用戶的電腦進(jìn)行遠(yuǎn)程控制。

如：QQ消息尾巴木馬Trojan.QQ3344，針對(duì)網(wǎng)絡(luò)游戲的木馬病毒Trojan.LMir.PSW.60。6.1計(jì)算機(jī)病毒概述4.腳本病毒腳本病毒的前綴是：Script。腳本病毒還會(huì)有如下前綴：VBS、JS（表明是何種腳本編寫的），如歡樂(lè)時(shí)光（VBS.Happytime）、十四日（Js.Fortnight.c.s）等。

腳本病毒的公有特性是使用腳本語(yǔ)言編寫，通過(guò)網(wǎng)頁(yè)進(jìn)行傳播，如紅色代碼（Script.Redlof）。6.1計(jì)算機(jī)病毒概述

5.宏病毒宏病毒的前綴是：Macro，第二前綴是：Word、Word97、Excel、Excel97等。宏病毒是一種寄存在文檔或模板的宏中的計(jì)算機(jī)病毒。一旦打開這樣的文檔，其中的宏就會(huì)被執(zhí)行，于是宏病毒就會(huì)被激活，轉(zhuǎn)移到計(jì)算機(jī)上，并駐留在Normal模板上，從此以后，所有自動(dòng)保存的文檔都會(huì)“感染”上這種宏病毒。如：著名的美麗莎(Macro.Melissa)。6.1計(jì)算機(jī)病毒概述凡是只感染W(wǎng)ORD97及以前版本W(wǎng)ORD文檔的病毒采用Word97做為第二前綴，格式是：Macro.Word97；凡是只感染W(wǎng)ORD97以后版本W(wǎng)ORD文檔的病毒采用Word做為第二前綴，格式是：Macro.Word；凡是只感染EXCEL97及以前版本EXCEL文檔的病毒采用Excel97做為第二前綴，格式是：Macro.Excel97；

凡是只感染EXCEL97以后版本EXCEL文檔的病毒采用Excel做為第二前綴，格式是：Macro.Excel，依此類推。6.1計(jì)算機(jī)病毒概述6.后門病毒后門病毒的前綴是：Backdoor。該類病毒的公有特性是通過(guò)網(wǎng)絡(luò)傳播，給系統(tǒng)開后門，給用戶電腦帶來(lái)安全隱患。如IRC后門Backdoor.IRCBot。7、病毒種植程序病毒這類病毒的公有特性是運(yùn)行時(shí)會(huì)從體內(nèi)釋放出一個(gè)或幾個(gè)新的病毒到系統(tǒng)目錄下，由釋放出來(lái)的新病毒產(chǎn)生破壞。如：冰河播種者（Dropper.BingHe2.2C）、MSN射手(Dropper.Worm.Smibag)等。6.1計(jì)算機(jī)病毒概述8．破壞性程序病毒

破壞性程序病毒的前綴是：Harm。

這類病毒的公有特性是本身具有好看的圖標(biāo)來(lái)誘惑用戶點(diǎn)擊，當(dāng)用戶點(diǎn)擊這類病毒時(shí)，病毒便會(huì)直接對(duì)用戶計(jì)算機(jī)產(chǎn)生破壞。

如：格式化C盤(Harm.formatC.f)、殺手命令(Harm.Command.Killer)等。6.1計(jì)算機(jī)病毒概述9．玩笑病毒玩笑病毒的前綴是：Joke，也稱惡作劇病毒。

這類病毒的公有特性是本身具有好看的圖標(biāo)來(lái)誘惑用戶點(diǎn)擊，當(dāng)用戶點(diǎn)擊這類病毒時(shí)，病毒會(huì)做出各種破壞操作來(lái)嚇唬用戶，其實(shí)病毒并沒(méi)有對(duì)用戶電腦進(jìn)行任何破壞。

如：女鬼（Joke.Girlghost）病毒。6.1計(jì)算機(jī)病毒概述10．捆綁機(jī)病毒捆綁機(jī)病毒的前綴是：Binder。

這類病毒的公有特性是使用特定的捆綁程序?qū)⒉《九c一些應(yīng)用程序如QQ、IE捆綁起來(lái)，表面上看是一個(gè)正常的文件，當(dāng)用戶運(yùn)行這些文件時(shí)，表面上運(yùn)行這些應(yīng)用程序，實(shí)際隱藏運(yùn)行捆綁在一起的病毒，從而給用戶造成危害。如：捆綁QQ（Binder.QQPass.QQBin）、系統(tǒng)殺手（Binder.killsys）等。6.1計(jì)算機(jī)病毒概述瑞星公司病毒命名規(guī)則：<主行為類型>.<子行為類型>.<宿主文件類型>.<主名稱>.<版本信息>.<主名稱變種號(hào)>參見(jiàn)：/virus/help/name_virus.htm病毒信息查詢參見(jiàn)：/6.2典型的病毒分析U盤病毒ARP病毒熊貓燒香病毒手機(jī)病毒6.2典型的病毒分析6.2典型的病毒分析6.2.1U盤“runauto..”文件夾病毒及清除方法1.“runauto..”文件夾病毒經(jīng)常在計(jì)算機(jī)硬盤里會(huì)發(fā)現(xiàn)名為“runauto..”的一個(gè)文件夾，在正常模式或安全模式下都無(wú)法刪除，粉碎也不可以。如圖所示為runauto..文件夾。6.2典型的病毒分析2.病毒清除方法假設(shè)這個(gè)文件夾在C盤，則刪除辦法是：在桌面點(diǎn)擊“開始”→“運(yùn)行”，輸入“cmd”，再輸入“C:”輸入“rd/s/qrunauto...\”。就可以了，如圖所示為刪除runauto..文件夾的方法。6.2典型的病毒分析6.2.2U盤autorun.inf文件病毒及清除方法1.autorun.inf文件病毒目前幾乎所有U盤類的病毒的最大特征都是利用autorun.inf這個(gè)來(lái)侵入的，而事實(shí)上autorun.inf相當(dāng)于一個(gè)傳染途徑，經(jīng)過(guò)這個(gè)途徑入侵的病毒，理論上可以是“任何”病毒。6.2典型的病毒分析autorun.inf這個(gè)文件是很早就存在的，在WinXP以前的其他windows系統(tǒng)（如Win98，2000等），需要讓光盤、U盤插入到機(jī)器自動(dòng)運(yùn)行的話，就要靠autorun.inf。這個(gè)文件是保存在驅(qū)動(dòng)器的根目錄下的，是一個(gè)隱藏的系統(tǒng)文件。它保存著一些簡(jiǎn)單的命令，告訴系統(tǒng)這個(gè)新插入的光盤或硬件應(yīng)該自動(dòng)啟動(dòng)什么程序，也可以告訴系統(tǒng)讓系統(tǒng)將它的盤符圖標(biāo)改成某個(gè)路徑下的icon。所以，這本身是一個(gè)常規(guī)且合理的文件和技術(shù)。6.2典型的病毒分析執(zhí)行方式：一種是假回收站方式：病毒通常在U盤中建立一個(gè)“RECYCLER”的文件夾，然后把病毒藏在里面很深的目錄中，一般人以為這就是回收站了，而事實(shí)上，回收站的名稱是“Recycled”，而且兩者的圖標(biāo)是不同的如圖所示。6.2典型的病毒分析6.2典型的病毒分析

2.病毒清除方法對(duì)于autorun.inf病毒的解決方案如下：(1)如果發(fā)現(xiàn)U盤有autorun.inf，且不是你自己創(chuàng)建生成的，請(qǐng)刪除它，并且盡快查毒。(2)如果有貌似回收站、瑞星文件等文件，而你又能通過(guò)對(duì)比硬盤上的回收站名稱、正版的瑞星名稱，同時(shí)確認(rèn)該內(nèi)容不是你創(chuàng)建生成的，請(qǐng)刪除它。(3)一般建議插入U(xiǎn)盤時(shí)，不要雙擊U盤，另外有一個(gè)更好的技巧：插入U(xiǎn)盤前，按住Shift鍵，然后插入U(xiǎn)盤，建議按鍵的時(shí)間長(zhǎng)一點(diǎn)。插入后，用右鍵點(diǎn)擊U盤，選擇“資源管理器”來(lái)打開U盤。

6.2典型的病毒分析6.2.3U盤RavMonE.exe病毒及清除方法1.病毒描述經(jīng)常有人發(fā)現(xiàn)自己的U盤有病毒，殺毒軟件報(bào)出一個(gè)RavMonE.exe病毒文件，這個(gè)也是經(jīng)典的一個(gè)U盤病毒。如圖所示為RavMonE.exe病毒運(yùn)行后出現(xiàn)在進(jìn)程里。6.2典型的病毒分析2.解決方法(1)打開任務(wù)管理器（ctrl+alt+del或者任務(wù)欄右鍵點(diǎn)擊也可），終止所有RavmonE.exe進(jìn)程。(2)進(jìn)入病毒目錄，刪除其中的ravmone.exe。(3)打開系統(tǒng)注冊(cè)表依次點(diǎn)開HK_Loacal_Machine\software\Microsoft\windows\CurrentVersion\Run\，在右邊可以看到一項(xiàng)數(shù)值是c:\windows\ravmone.exe的，把他刪除掉。(3)完成后，重新啟動(dòng)計(jì)算機(jī)，病毒就被清除了。6.2典型的病毒分析6.2.4ARP病毒1.病毒描述ARP地址欺騙類病毒（以下簡(jiǎn)稱ARP病毒）一般屬于木馬(Trojan)病毒，不具備主動(dòng)傳播的特性，不會(huì)自我復(fù)制。

由于其發(fā)作的時(shí)候會(huì)向全網(wǎng)發(fā)送偽造的ARP數(shù)據(jù)包，干擾全網(wǎng)的運(yùn)行，因此它的危害比一些蠕蟲還要嚴(yán)重得多。該病毒位居2007年病毒排行榜第二位，如表6.1所示。6.2典型的病毒分析6.2.4ARP病毒1.病毒描述6.2典型的病毒分析2.解決方法可以使用360ARP防火墻，這個(gè)防火墻可以在上下載。安裝完成后，可以在綜合設(shè)置里面設(shè)置對(duì)ARP病毒的防護(hù)，如圖所示。6.2典型的病毒分析6.2.5“熊貓燒香”病毒2006年底，中國(guó)互聯(lián)網(wǎng)上大規(guī)模爆發(fā)“熊貓燒香”病毒及其變種，盜取用戶游戲賬號(hào)、ＱＱ賬號(hào)等。

截至案發(fā)為止，已有上百萬(wàn)個(gè)人用戶、網(wǎng)吧及企業(yè)局域網(wǎng)用戶遭受感染和破壞，引起社會(huì)各界高度關(guān)注，被稱為2006年中國(guó)大陸地區(qū)的“毒王”。6.2典型的病毒分析據(jù)警方調(diào)查，“熊貓燒香”病毒的制作者為湖北省武漢市的李俊，另外雷磊等五名犯罪嫌疑人通過(guò)改寫、傳播“熊貓燒香”等病毒，構(gòu)建“僵尸網(wǎng)絡(luò)”，通過(guò)盜竊各種游戲和QQ賬號(hào)等方式非法牟利。目前，6名犯罪嫌疑人已被刑事拘留。圖為“熊貓燒香”病毒的制作者李俊。6.2典型的病毒分析6.2.6QQ與MSN病毒目前，網(wǎng)上利用QQ、MSN等聊天工具進(jìn)行病毒傳播，下圖為通過(guò)QQ自動(dòng)傳播的病毒和通過(guò)MSN傳播的網(wǎng)頁(yè)病毒。另外黑客給QQ、MSN加木馬，以盜取QQ、MSN的密碼等信息。6.2典型的病毒分析

可以ping一下它的網(wǎng)址，如圖所示。通過(guò)這種方式可以看到它的IP。6.2典型的病毒分析看到IP為7，再到網(wǎng)站上查找會(huì)發(fā)現(xiàn)這個(gè)網(wǎng)站實(shí)際上在香港。6.2典型的病毒分析2.QQ、MSN病毒防治方法對(duì)于QQ和MSN病毒的防治，可以采用專殺工具。例如，對(duì)于QQ病毒可以下載QQkav專殺工具，進(jìn)行查殺。它的主界面如圖所示。6.2典型的病毒分析6.2.7典型手機(jī)病毒介紹隨著智能手機(jī)的不斷普及，手機(jī)病毒成為了病毒發(fā)展的下一個(gè)目標(biāo)?，F(xiàn)在手機(jī)病毒已經(jīng)從過(guò)去的利用手機(jī)系統(tǒng)漏洞進(jìn)行攻擊的類型，向針對(duì)開放式智能手機(jī)操作系統(tǒng)的類似電腦病毒的程序型轉(zhuǎn)變，目前為止已經(jīng)出現(xiàn)了三十多種針對(duì)智能手機(jī)的病毒。本文將向你介紹典型手機(jī)病毒的特征、防治方法和殺毒軟件。6.2典型的病毒分析1.Cabir手機(jī)病毒介紹下面將介紹一種Cabir手機(jī)病毒。它的別名包括：EPOC.Cabir，Worm.Symbian.Cabir.a，EPOC/Cabir.A，EPOC_CABIR.A，Symbian/Cabir等。目標(biāo)手機(jī)主要是SymbianOSS60平臺(tái)手機(jī)。主要危害包括干擾藍(lán)牙通訊，加大電力消耗等。6.2典型的病毒分析1.Cabir手機(jī)病毒介紹下面將介紹一種Cabir手機(jī)病毒。它的別名包括：EPOC.Cabir，Worm.Symbian.Cabir.a，EPOC/Cabir.A，EPOC_CABIR.A，Symbian/Cabir等。目標(biāo)手機(jī)主要是SymbianOSS60平臺(tái)手機(jī)。主要危害包括干擾藍(lán)牙通訊，加大電力消耗等。6.2典型的病毒分析當(dāng)文件被執(zhí)行后，手機(jī)的屏幕上會(huì)提示“InstallCaribe？”，如圖所示。6.2典型的病毒分析一旦開始安裝，手機(jī)屏幕上會(huì)顯示“Caribe-VZ/29a”，如圖所示。6.2典型的病毒分析病毒安裝過(guò)程中，會(huì)對(duì)Symbian操作系統(tǒng)進(jìn)行修改。此后用戶每次打開手機(jī)時(shí)，Cabir也隨之啟動(dòng)。Cabir會(huì)在手機(jī)上創(chuàng)建以下文件夾，如圖所示。6.2典型的病毒分析2.Cabir手機(jī)病毒防治對(duì)于Cabir病毒最好的防治方法是：在不用藍(lán)牙功能時(shí)，將手機(jī)的藍(lán)牙設(shè)置為隱藏（不可被搜索到）或者直接關(guān)閉6.3惡意軟件概述惡意軟件俗稱流氓軟件，是對(duì)破壞系統(tǒng)正常運(yùn)行的軟件的統(tǒng)稱。惡意軟件介于病毒軟件和正規(guī)軟件之間，同時(shí)具備正常功能（下載、媒體播放等）和惡意行為（彈廣告、開后門），給用戶帶來(lái)實(shí)質(zhì)危害。目前，互聯(lián)網(wǎng)上有許多惡意軟件，如一搜工具條、完美網(wǎng)譯通、博采網(wǎng)摘、百度搜霸、3721上網(wǎng)助手、很棒小秘書、網(wǎng)絡(luò)豬、劃詞搜索等。6.3惡意軟件概述6.3.1惡意軟件的概述2006年，中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)反惡意軟件協(xié)調(diào)工作組在充分聽(tīng)取成員單位意見(jiàn)的基礎(chǔ)上，最終確定了“惡意軟件”定義并向社會(huì)公布：惡意軟件俗稱“流氓軟件”，是指在未明確提示用戶或未經(jīng)用戶許可的情況下，在用戶計(jì)算機(jī)或其他終端上安裝運(yùn)行，侵害用戶合法權(quán)益的軟件，但不包含我國(guó)法律法規(guī)規(guī)定的計(jì)算機(jī)病毒。6.3惡意軟件概述具有下列特征之一的軟件可以被認(rèn)為是惡意軟件：強(qiáng)制安裝：指未明確提示用戶或未經(jīng)用戶許可，在用戶計(jì)算機(jī)或其他終端上安裝軟件的行為。難以卸載：指未提供通用的卸載方式，或在不受其他軟件影響、人為破壞的情況下，卸載后仍然有活動(dòng)程序的行為。瀏覽器劫持：指未經(jīng)用戶許可，修改用戶瀏覽器或其他相關(guān)設(shè)置，迫使用戶訪問(wèn)特定網(wǎng)站或?qū)е掠脩魺o(wú)法正常上網(wǎng)的行為。廣告彈出：未明確提示用戶或未經(jīng)用戶許可，利用安裝在用戶計(jì)算機(jī)或其他終端上的軟件彈出廣告的行為。6.3惡意軟件概述惡意收集用戶信息：指未明確提示用戶或未經(jīng)用戶許可，惡意收集用戶信息的行為。惡意卸載：指未明確提示用戶、未經(jīng)用戶許可，或誤導(dǎo)、欺騙用戶卸載其他軟件的行為。惡意捆綁：指在軟件中捆綁已被認(rèn)定為惡意軟件的行為。其他侵害用戶軟件安裝、使用和卸載知情權(quán)、選擇權(quán)的惡意行為。6.3惡意軟件概述6.3.2惡意軟件的類型根據(jù)惡意軟件的表現(xiàn)，可以分為以下9類。1.廣告軟件（Adware）指未經(jīng)用戶允許，下載并安裝或與其他軟件捆綁并通過(guò)彈出式廣告或以其他形式進(jìn)行商業(yè)廣告宣傳的程序。2.間諜軟件（Spyware）能夠在使用者不知情的情況下，在用戶電腦上安裝后門程序的軟件。6.3惡意軟件概述3.瀏覽器劫持：

指未經(jīng)用戶許可，修改用戶瀏覽器或其他相關(guān)設(shè)置，迫使用戶訪問(wèn)特定網(wǎng)站或?qū)е掠脩魺o(wú)法正常上網(wǎng)的行為。4.行為記錄軟件（TrackWare）指未經(jīng)用戶許可竊取、分析用戶隱私數(shù)據(jù)，記錄用戶使用電腦、訪問(wèn)網(wǎng)絡(luò)習(xí)慣的軟件。5.惡意共享軟件(MaliciousShareware)

指采用不正當(dāng)?shù)睦壔虿煌该鞯姆绞綇?qiáng)制安裝在用戶的計(jì)算機(jī)上，使軟件很難被卸載或采用一些非法手段強(qiáng)制用戶購(gòu)買的免費(fèi)、共享軟件。6.3惡意軟件概述6.搜索引擎劫持搜索引擎劫持是指未經(jīng)用戶授權(quán)，自動(dòng)修改第三方搜索引擎結(jié)果的軟件。7.自動(dòng)撥號(hào)軟件指未經(jīng)用戶允許，自動(dòng)撥叫軟件中設(shè)定的電話號(hào)碼的程序。8.網(wǎng)絡(luò)釣魚(Phishing)

網(wǎng)絡(luò)釣魚一詞，是“Fishing”和“Phone”的綜合體，由于黑客始祖起初是以電話作案，所以用“Ph”來(lái)取代“F”，創(chuàng)造了Phishing，Phishing發(fā)音與Fishing相同。9.ActiveX控件

指使無(wú)論任何語(yǔ)言產(chǎn)生的軟件在網(wǎng)絡(luò)環(huán)境中能夠?qū)崿F(xiàn)互操作性的一組技術(shù)。6.3惡意軟件概述6.3.3惡意軟件的清除防止惡意軟件入侵可以采取如下方法：養(yǎng)成良好健康的上網(wǎng)習(xí)慣，不訪問(wèn)不良網(wǎng)站，不隨便點(diǎn)擊小廣告。下載安裝軟件盡量到該軟件的官方網(wǎng)站，或者信任度高的下載站點(diǎn)進(jìn)行下載。安裝軟件的時(shí)候每個(gè)安裝步驟最好能仔細(xì)看清楚，防止捆綁軟件入侵。安裝如360安全衛(wèi)士等安全類軟件，定時(shí)對(duì)系統(tǒng)做診斷，查殺惡意軟件。如圖所示為360安全衛(wèi)士的主界面。6.3惡意軟件概述如圖所示為360安全衛(wèi)士的主界面。思考題什么是計(jì)算機(jī)病毒，它怎么產(chǎn)生的？計(jì)算機(jī)病毒的特征有哪些？如何清除U盤里的autorun.inf病毒？什么是惡意軟件？惡意軟件有哪些類型？莫里斯蠕蟲病毒由美國(guó)康乃爾大學(xué)一年級(jí)研究生羅伯特·莫里斯編寫。程序只有99行，利用了Unix系統(tǒng)中的漏洞，用Finger命令查找聯(lián)機(jī)用戶名單，破譯用戶口令，再用Mail系統(tǒng)復(fù)制、傳播本身的源程序，再編譯生成代碼。最初的網(wǎng)絡(luò)蠕蟲設(shè)計(jì)目的是當(dāng)網(wǎng)絡(luò)空閑時(shí)，程序就在計(jì)算機(jī)間“游蕩”而不帶來(lái)任何損害。當(dāng)有機(jī)器負(fù)荷過(guò)重時(shí)，該程序可以從空閑計(jì)算機(jī)“借取資源”而達(dá)到網(wǎng)絡(luò)的負(fù)載平衡。莫里斯蠕蟲不是“借取資源”，而是“耗盡所有資源”。莫里斯蠕蟲病毒是通過(guò)互聯(lián)網(wǎng)傳播的第一種蠕蟲病毒，也是依據(jù)美國(guó)1986年的《計(jì)算機(jī)欺詐及濫用法案》而定罪的第一宗案件。莫里斯蠕蟲病毒影響

1990年5月5日，紐約地方法庭根據(jù)羅伯特·莫里斯設(shè)計(jì)病毒程序，造成包括國(guó)家航空和航天局、軍事基地和主要大學(xué)的計(jì)算機(jī)停止運(yùn)行的重大事故，判處莫里斯三年緩刑，罰款一萬(wàn)美金，義務(wù)為新區(qū)服務(wù)400小時(shí)。莫里斯事件震驚了美國(guó)社會(huì)乃至整個(gè)世界。而比事件影響更大、更深遠(yuǎn)的是：黑客從此真正變黑，黑客倫理失去約束，黑客傳統(tǒng)開始中斷，大眾對(duì)黑客的印象永遠(yuǎn)不可能恢復(fù)。而且，計(jì)算機(jī)病毒從此步入主流。愛(ài)蟲病毒

2000年5月4日，一種名為“我愛(ài)你”的電腦病毒開始在全球各地迅速傳播。這個(gè)病毒通過(guò)MicrosoftOutlook電子郵件系統(tǒng)傳播，郵件的主題為“ILOVEYOU”，并包含一個(gè)附件。一旦在MicrosoftOutlook里打開這個(gè)郵件，系統(tǒng)就會(huì)自動(dòng)復(fù)制并向地址簿中的所有郵件地址發(fā)送這個(gè)病毒。這個(gè)病毒可以改寫本地及網(wǎng)絡(luò)硬盤上面的某些文件。用戶機(jī)器染毒以后，郵件系統(tǒng)將會(huì)變慢，并可能導(dǎo)致整個(gè)網(wǎng)絡(luò)系統(tǒng)崩潰。

“愛(ài)蟲”病毒的襲擊對(duì)象并不是普通的計(jì)算機(jī)用戶，而是那些具有高價(jià)值IT資源的電腦系統(tǒng)：據(jù)稱：“愛(ài)蟲”病毒是迄今為止發(fā)現(xiàn)的傳染速度最快而且傳染面積最廣的計(jì)算機(jī)病毒，它已對(duì)全球包括股票經(jīng)紀(jì)、食品、媒體、汽車和技術(shù)公司以及大學(xué)甚至