計算機病毒與防護

第5章計算機病毒與防護5.1病毒定義

計算機病毒是是一種特殊計算機程序，一段可執(zhí)行碼。計算機病毒有獨特的復制能力。計算機病毒可以很快地蔓延，又常常難以根除。計算機病毒能把自身附著在各種類型的文件上,還常常寄生在別的程序中。當文件被復制或從一個用戶傳送到另一個用戶時，它們就隨同文件一起蔓延開來。計算機病毒具有惡意目的、并能自我復制。

5.2計算機病毒的特點程序性（可執(zhí)行性）計算機病毒與其他程序一樣，是一段可執(zhí)行程序，但不是一個完整的程序，必須寄生在其他可執(zhí)行程序上。在病毒運行時，與合法程序爭奪系統(tǒng)的控制權。計算機病毒只有在計算機合法程序得以運行時，才具有傳染性和破壞性等活性。反病毒技術就是要提前取得計算機系統(tǒng)的控制權，識別出計算機病毒的代碼和行為，阻止其取得系統(tǒng)控制權。

傳染性

傳染性是病毒的基本特征。病毒會通過各種渠道擴散到未被感染的計算機。病毒代碼一旦進入計算機被執(zhí)行后，它就會搜尋符合其傳染條件的程序或存儲介質(zhì)，確定目標后再將自身代碼插入其中，達到自我繁殖的目的。而被感染的文件又成了新的傳染源，再與其他機器進行數(shù)據(jù)交換或通過網(wǎng)絡接觸，病毒會繼續(xù)進行傳染。是否具有傳染性是判別一個程序是否為計算機病毒的最重要條件。病毒程序通過修改磁盤扇區(qū)信息或文件內(nèi)容并把自身嵌入到其中的方法達到病毒的傳染和擴散。

潛伏性

病毒程序進入系統(tǒng)之后一般不會馬上發(fā)作，先隱藏在合法文件中，對其他系統(tǒng)進行傳染，而不被人發(fā)現(xiàn)。第一種表現(xiàn)是指：病毒程序不用專用檢測程序是檢查不出來的，可能是幾天，甚至幾年。第二種表現(xiàn)是指：計算機病毒的內(nèi)部往往有一種觸發(fā)機制，不滿足條件時計算機病毒除了傳染外不做什么破壞。

破壞性計算機病毒程序一旦給執(zhí)行后都有一個共同的危害－－降低計算機系統(tǒng)的工作效率，占用系統(tǒng)資源。其破壞性主要取決于計算機病毒設計者的目的，一旦病毒發(fā)作后，屏幕上顯示信息、圖形或特殊標識，甚至破壞系統(tǒng)，如格式化磁盤、刪除文件、對數(shù)據(jù)文件做加密、封鎖鍵盤以及使系統(tǒng)死鎖等。

攻擊的主動性－－程序控制的，非操作者主觀目的。病毒的針對性－－針對不同類型計算機，如IBM-PC。病毒的非授權性－－優(yōu)先級高于正常程序，用戶不知道病毒的隱蔽性－－一般用戶無法發(fā)現(xiàn)和識別病毒的寄生性（依附性）病毒的持久性－－恢復困難，反復傳播

5.3病毒類型及傳播途徑病毒類型 引導型病毒－－－感染系統(tǒng)引導區(qū) 文件型病毒－－－感染可執(zhí)行文件 蠕蟲病毒－－－占用網(wǎng)絡資源

宏病毒－－－直接對系統(tǒng)構成威脅

木馬病毒－－－自動運行服務器程序

傳播途徑 計算機硬件設備； 移動存儲介質(zhì)； 計算機網(wǎng)絡；其中第一種情況較少，主要途徑是第二種和第三種。

20年來破壞力最大的10種計算機病毒1.

CIH

(1998年)

感染

Win95/98

中的可執(zhí)行性文件,

這種病毒在Windows環(huán)境下傳播,

其實時性和隱蔽性都特別強,

變種可以重寫

BIOS。在世界范圍內(nèi)造成了兩千萬到八千萬美元的損失。2.梅利莎

(Melissa,1999年)

Melissa病毒是一種迅速傳播的宏病毒,

通過電子郵件的附件傳播,

盡管其不會毀壞文件或其它資源,

但是它可能會使企業(yè)或其它郵件服務端程序停止運行,

因為它發(fā)出大量的郵件形成了極大的電子郵件信息流。造成三千萬到六千萬美元的損失。3.

愛蟲

(I

love

you,

2000年)

和

Melissa

一樣通過電子郵件傳播,

而其破壞性要比

Melissa

強的多,

可以刪除本地部分圖片和文本,

大約造成了一千萬到一千五百萬美元的損失。

4.

紅色代碼

(Code

Red,

2001年)

Code

Red

是一種蠕蟲病毒,

本質(zhì)上是利用了緩存區(qū)溢出攻擊方式,

使用服務器的端口80進行傳播,

Code

Red

并不將病毒信息寫入被攻擊服務器的硬盤,

它只是駐留在被攻擊服務器的內(nèi)存中。大約造成了二百八十萬美元的損失。

5.

SQL

Slammer

(2003年)

Slammer

是一款DOS惡意程序,

透過一種全新的傳染途徑,

采取分布式阻斷服務攻擊感染服務器,

和

Code

Red

一樣,

它只是駐留在被攻擊服務器的內(nèi)存中.

大約在世界范圍內(nèi)造成了五十萬臺服務器趴窩,

讓韓國整個網(wǎng)絡癱瘓了12個小時。6.

沖擊波

(Blaster,

2003年)

沖擊波病毒是利用操作系統(tǒng)RPC

漏洞進行傳播的,

表現(xiàn)：系統(tǒng)資源被大量占用,

有時會彈出

RPC

服務終止的對話框,

系統(tǒng)反復重啟,

不能收發(fā)郵件、不能正常復制文件、無法正常瀏覽網(wǎng)頁,

復制粘貼等操作受到嚴重影響。

是國內(nèi)比較熟悉一個大范圍影響的病毒了。大約造成了二百萬到一千萬美元的損失,

受影響的電腦則是成千上萬,

不計其數(shù)。7.

大無極.F

(Sobig.F,

2003年)

這是

Sobig

蠕蟲的第5個變種,

具有非常強的感染能力,

導致龐大的電子郵件傳輸,

使全球各地的電子郵件服務器死機,

由于其特性,

還將會極其危險的泄漏本地數(shù)據(jù)。大約造成了五百萬到一千萬美元的損失,

有超過一百萬臺電腦受感染。

8.

貝革熱

(Bagle,

2004年)

是一種透過電子郵件散布的蠕蟲病毒,

它通過遠程訪問網(wǎng)站利用電子郵件系統(tǒng)進行散布,

并在

Windows

系統(tǒng)建立

backdoor,

至今為止,

這個蠕蟲可能是程度最嚴重,

傳播范圍最廣泛的蠕蟲病毒,

其影響仍然處于上升趨勢。目前已經(jīng)造成了上千萬美元的損失,

而且仍然在繼續(xù)。9.

MyDoom

(2004年)

該病毒采用的是病毒和垃圾郵件相結合的戰(zhàn)術,

可以迅速在企業(yè)電子郵件系統(tǒng)中傳播開來,

導致郵件數(shù)量暴增,

從而阻塞網(wǎng)絡。在MyDoom病毒發(fā)作的高峰時刻,

每10封郵件中就有一封被此病毒感染。

10.

震蕩波

(Sasser,

2004年)

震蕩波病毒會在網(wǎng)絡上自動搜索系統(tǒng)有漏洞的電腦,

并直接引導這些電腦下載病毒文件并執(zhí)行,

只要電腦沒有安裝補丁程序并接入互聯(lián)網(wǎng),

就有可能被感染。其發(fā)作特點很像當年的沖擊波,

會讓系統(tǒng)文件崩潰,

造成電腦反復重啟。大約造成了上千萬美元的損失。5.4殺毒軟件江民殺毒軟件KV2007功能查看掃描報告和歷史記錄，自動在線升級；備份引導區(qū)和主引導區(qū)；制作硬盤修復王和DOS殺毒伴侶；密碼保護和聯(lián)機技術支持；多界面、語言選擇及瀏覽器修復；重裝機備份和新裝機恢復；NortonAntiVirus2007功能 各種病毒和威脅防護功能； 自動防護功能，實時監(jiān)測； 免費更新病毒防護一年； 檢測和修復壓縮文件內(nèi)的病毒； 電子郵件防護； 即時消息附件防護。當然還有很多殺毒軟件，如瑞星、金山毒霸、卡巴斯基等等。360安全衛(wèi)士3.6360安全衛(wèi)士是一款安全類上網(wǎng)輔助軟件，它擁有查殺惡意軟件，插件管理，病毒查殺、診斷及修復,保護等數(shù)個強勁功能，同時還提供彈出插件免疫，清理使用痕跡以及系統(tǒng)還原等特定輔助功能。