病毒的防治應(yīng)急處理

一、計算機(jī)病毒的概念

定義：計算機(jī)病毒是一段附著在其他程序上的可以實現(xiàn)自

我繁殖的程序代碼。（國外）

定義：計算機(jī)病毒是指破壞計算機(jī)功能或者數(shù)據(jù)，并能自

我復(fù)制的程序。（國內(nèi)）

病毒發(fā)展史：

1977年科幻小說《TheAdolescenceofP-1》描寫計算機(jī)病毒

1983年FredAdleman首次在VAX11/750上試驗病毒；

1986年Brain病毒在全世界傳播；

1988年11月2日Cornell大學(xué)的Morris編寫的Worm病毒襲擊

美國6000臺計算機(jī)，直接損失盡億美元；

八十年代末，病毒開始傳入我國；

病毒產(chǎn)生的原因：

計算機(jī)病毒是高技術(shù)犯罪，具有瞬時性、動態(tài)

性和隨機(jī)性。不易取證，風(fēng)險小破壞大。

1）尋求刺激：自我表現(xiàn)；惡作??；

2）出于報復(fù)心理。

病毒的特征：

傳染性；寄生性；衍生性；

隱蔽性；潛伏性；

可觸發(fā)性；奪取控制權(quán)；

破壞性與危害性；

病毒的分類：

按破壞性分為：良性；惡性。

按激活時間分為：定時；隨機(jī)

按傳染方式分為：

引導(dǎo)型：當(dāng)系統(tǒng)引導(dǎo)時進(jìn)入內(nèi)存，控制系統(tǒng)；

文件型：病毒一般附著在可執(zhí)行文件上；

混合型：既可感染引導(dǎo)區(qū)，又可感染文件。

按連接方式分為：

OS型：替換OS的部分功能，危害較大；

源碼型：要在源程序編譯之前插入病毒代碼；較少;

外殼型：附在正常程序的開頭或末尾；最常見；

入侵型：病毒取代特定程序的某些模塊；難發(fā)現(xiàn)。

按照病毒特有的算法分為：

伴隨型病毒：產(chǎn)生EXE文件的伴隨體COM,病毒把自身

寫入COM文件并不改變EXE文件，當(dāng)DOS加載文件時,

伴隨體優(yōu)先被執(zhí)行到，再由伴隨體加載執(zhí)行原來的

EXE文件。

“蠕蟲”型病毒：只占用內(nèi)存，不改變文件，通過網(wǎng)

絡(luò)搜索傳播病毒。

寄生型病毒：除了伴隨和“蠕蟲”型以外的病毒，它

們依附在系統(tǒng)的引導(dǎo)扇區(qū)或文件中。

變型病毒（幽靈病毒）：使用復(fù)雜算法，每傳播一次

都具有不同內(nèi)容和長度。一般的作法是一段混有無

關(guān)指令的解碼算法和被變化過的病毒體組成。

病毒的組成：

安裝模塊：提供潛伏機(jī)制；

傳播模塊：提供傳染機(jī)制；

觸發(fā)模塊：提供觸發(fā)機(jī)制；

其中，傳染機(jī)制是病毒的本質(zhì)特征，防治、檢測及

殺毒都是從分析病毒傳染機(jī)制入手的。

病毒的癥狀：

啟動或運(yùn)行速度明顯變慢；文件大小、日期變化；死

機(jī)增多；莫名其妙地丟失文件；磁盤空間不應(yīng)有的

減少；有規(guī)律地出現(xiàn)異常信息；自動生成一些特殊

文件；無緣無故地出現(xiàn)打印故障。

計算機(jī)病毒的傳播途徑

1）通過不可移動的設(shè)備進(jìn)行傳播

較少見，但破壞力很強(qiáng)。

2）通過移動存儲設(shè)備進(jìn)行傳播

最廣泛的傳播途徑

3）通過網(wǎng)絡(luò)進(jìn)行傳播

反病毒所面臨的新課題

4）通過點(diǎn)對點(diǎn)通訊系統(tǒng)和無線通道傳播

預(yù)計將來會成為兩大傳播渠道

病毒的破壞行為

攻擊系統(tǒng)數(shù)據(jù)區(qū)：主引導(dǎo)區(qū)、Boot區(qū)、FAT區(qū)、文件目錄

攻擊文件、內(nèi)存、CMOS；干擾系統(tǒng)運(yùn)行，使速度下降;

干擾屏幕、鍵盤、喙＞1叭、打印機(jī)；

破壞網(wǎng)絡(luò)資源。

病毒的發(fā)展趨勢

攻擊對象趨于混合型；

反跟蹤技術(shù)；

增強(qiáng)隱蔽性：避開修改中斷向量值；請求在內(nèi)存中的合

法身份；維持宿主程序外部特征；不用明顯感染標(biāo)志

采用加密技術(shù)，使得對病毒的跟蹤、判斷更困難；

繁衍不同的變種。

二、病毒的防治

網(wǎng)絡(luò)環(huán)境下的病毒防治原則與策略

防重于治，防重在管：制度；注冊、權(quán)限、屬性、

服務(wù)器安全；集中管理、報警。

綜合防護(hù)：木桶原理；防火墻與防毒軟件結(jié)合

最佳均衡原則：占用較小的網(wǎng)絡(luò)資源

管理與技術(shù)并重

正確選擇反毒產(chǎn)品

多層次防御：病毒檢測、數(shù)據(jù)保護(hù)、實時監(jiān)控

注意病毒檢測的可靠性：經(jīng)常升級；兩種以上。

二、病毒的防治

防毒：預(yù)防入侵；病毒過濾、監(jiān)控、隔離

查毒：發(fā)現(xiàn)和追蹤病毒；統(tǒng)計、報警

解毒：從感染對象中清除病毒；恢復(fù)功能

病毒檢測的方法

直接觀察法：根據(jù)病毒的種種表現(xiàn)來判斷

特征代碼法：采集病毒樣本，抽取特征代碼

特點(diǎn)：能快速、準(zhǔn)確檢驗已知病毒，不能發(fā)現(xiàn)未

知的病毒。

校驗和法：根據(jù)文件內(nèi)容計算的校驗和與以

前的作比較。

優(yōu)點(diǎn)：能判斷文件細(xì)微變化，發(fā)現(xiàn)未知病毒。

缺點(diǎn)：當(dāng)軟件升級、改口令時會產(chǎn)生誤報；不

能識別病毒名稱；對隱蔽性病毒無效。

行為監(jiān)測法：基于對病毒異常行為的判斷

特點(diǎn)：發(fā)現(xiàn)許多未知病毒；可能誤報，實施難

軟件模擬法：一種軟件分析器，用軟件方法

來模擬和分析程序的運(yùn)行。

特點(diǎn)：可用于對付多態(tài)病毒。

反病毒軟件的選擇

1）掃描速度30秒能掃描1000個以上文件

2）識別率

3）病毒清除測試

著名殺毒軟件公司

冠群金辰KILL

瑞星RAV

北京江民KV3000

信源LANVRV

賽門鐵克NortonAntiVirus

時代先鋒（行天98）

反病毒軟件工作原理

1）病毒掃描程序

串掃描算法:與已知病毒特征匹配；文件頭、尾部

入口掃描算法：模擬跟蹤目標(biāo)程序的執(zhí)行

類屬解密法：對付多態(tài)、加密病毒

2）內(nèi)存掃描程序：搜索內(nèi)存駐留文件和引導(dǎo)記錄病毒

3）完整性檢查器：能發(fā)現(xiàn)新的病毒；但對于已被感染

的系統(tǒng)使用此方法，可能會受到欺騙。

4）行為監(jiān)測器：是內(nèi)存駐留程序，監(jiān)視病毒對可執(zhí)行

文件的修改。防止未知的病毒

三、幾種常見的病毒

宏病毒

宏（Macro）：為避免重復(fù)操作而設(shè)計的一組命令。

在打開文件時，先執(zhí)行“宏”，然后載入文件內(nèi)容。

因此如果“宏”帶有病毒，則在編輯文件時病毒自

動載入。

宏病毒的癥狀：

1）用Word或Excel打開文件時，出現(xiàn)“文檔未打開”、

“內(nèi)存不夠"、"WordBasicErr=514”等；

2）保存文件時，強(qiáng)制將文件按-dot”類型存儲，或

強(qiáng)制在指定目錄存放。

3）宏病毒的版本兼容問題

幾種宏病毒：

AAAZAOMacro：Concept病毒，第一個宏病毒；

TaiwanN0.1：第一個中文word病毒；

RainbowMacro：能改變桌面顏色；

Formate：格式化C盤，第一個木馬型宏病毒；

HotMacro：第一個調(diào)用WindowsAPI的宏病毒；

NuclearMacro:第一個干擾打印機(jī)、硬盤的宏病毒。

宏病毒分類：

公用宏病毒：以Auto開頭的宏，附在normal.dot或

Personal.xls等模板上。

私用宏病毒：

宏病毒的危害

1）傳播迅速：因為文件交流頻繁；

2）制造及變種方便：WordBasic編程容易

3）危害大：WordBasic可調(diào)用WindowsAPI、DLL、DDE

宏病毒的防治

除殺毒軟件以外，還可嘗試下列方法：

1）按住〈Shift〉鍵再啟動Word,禁止宏自動運(yùn)行；

2）工具3宏，檢查并刪除所有可能帶病毒的宏；

3）使用DisableAutoMacros宏

4）將模板文件如normal.dot的屬性設(shè)為只讀。

三、幾種常見的病毒

CIH病毒

臺灣陳盈豪編寫，一般每月26日發(fā)作。

不僅破壞硬盤的引導(dǎo)扇區(qū)和分區(qū)表，還破壞系統(tǒng)

FlashBIOS芯片中的系統(tǒng)程序，導(dǎo)致主板損壞。

病毒長1KB,由于使用VXD技術(shù)，只感染32位

Windows系統(tǒng)可執(zhí)行文件中的,PE格式文件。

修復(fù)硬盤分區(qū)表：信源公司()的

免費(fèi)軟件VRVFIX.EXE；

CIH疫苗:CIH作者的Ant-CIHvl.O；

美國Symantec公司的Kill_CIH

四、網(wǎng)絡(luò)病毒

含義1:在網(wǎng)上傳播、并對網(wǎng)絡(luò)進(jìn)行破壞的病毒。

含義2：專指HTML、E-mail、Java等Internet病毒。

例：蠕蟲病毒，木馬程序等。

2001年9月18日，Nimdaworm在Internet上迅

速傳播。該病毒感染W(wǎng)indows系列多種計算機(jī)

系統(tǒng)，其傳播速度之快、影響范圍之廣、破壞

力之強(qiáng)都超過其前不久發(fā)現(xiàn)的CodeRedIL

特點(diǎn)：網(wǎng)上蔓延，危害更大。

1）網(wǎng)上傳染方式多，工作站、服務(wù)器交叉感染

2）混合特征：集文件感染、蠕蟲、木馬等于一身

3）利用網(wǎng)絡(luò)脆弱性、系統(tǒng)漏洞

4）更注重欺騙性

5）清除難度大，破壞性強(qiáng)。

網(wǎng)絡(luò)病毒的防范：

具體實現(xiàn)方法包括對網(wǎng)絡(luò)服務(wù)器中的文件進(jìn)行頻

繁地掃描和監(jiān)測；在工作站上用防病毒芯片和

對網(wǎng)絡(luò)目錄及文件設(shè)置訪問權(quán)限等。

相對于單機(jī)病毒的防護(hù)來說，網(wǎng)絡(luò)病毒的防治具有

更大的難度，網(wǎng)絡(luò)病毒防治應(yīng)與網(wǎng)絡(luò)管理集成。管

理功能就是管理全部的網(wǎng)絡(luò)設(shè)備：從Hub、交換機(jī)、

服務(wù)器到PC,軟盤的存取、局域網(wǎng)上的信息互通及

與Internet的連接等，所有病毒能夠進(jìn)來的地方。

為實現(xiàn)計算機(jī)病毒的防治，可在計算機(jī)網(wǎng)絡(luò)系統(tǒng)上

安裝網(wǎng)絡(luò)病毒防治服務(wù)器；在內(nèi)部網(wǎng)絡(luò)服務(wù)器上安

裝網(wǎng)絡(luò)病毒防治軟件；在單機(jī)上安裝單機(jī)環(huán)境的反

病毒軟件。

從以下方面控制網(wǎng)絡(luò)病毒：

服務(wù)器郵件系統(tǒng)WEB站點(diǎn)

數(shù)據(jù)庫系統(tǒng)網(wǎng)關(guān)

局域網(wǎng)病毒防御體系

1）服務(wù)器網(wǎng)絡(luò)病毒防殺模塊

監(jiān)視各節(jié)點(diǎn)，保護(hù)網(wǎng)絡(luò)操作系統(tǒng)安全;

動態(tài)告警、殺滅各節(jié)點(diǎn)的病毒；

配置系統(tǒng)整體的檢測計劃、時間；

對病毒事件進(jìn)行記錄、審計、跟蹤；

提供技術(shù)支持，升級；

2）客戶端單機(jī)病毒防殺模塊

單機(jī)版殺毒軟件；響應(yīng)升級要求

安裝網(wǎng)絡(luò)防毒軟件的方案

1）在網(wǎng)關(guān)和防火墻上安裝防毒軟件

缺點(diǎn)：對每個文件的檢測將影響網(wǎng)絡(luò)性能。

2）在工作站上安裝防毒軟件

缺點(diǎn)：管理、協(xié)調(diào)、升級困難。

3）在電子郵件服務(wù)器上安裝防毒軟件

僅能防止郵件病毒的傳播。

4）在所有文件服務(wù)器上安裝防毒軟件

對于備份服務(wù)器，備份與反毒有可能沖突。

網(wǎng)絡(luò)反毒的新特征：

與OS結(jié)合更緊密；實時化；檢測壓縮文件病

毒

病毒防火墻技術(shù)：能阻止病毒的擴(kuò)散

在網(wǎng)絡(luò)服務(wù)器上安裝病毒防火墻系統(tǒng)，例如:

InterScanVirusWall

關(guān)鍵技術(shù)：

OS底層接口技術(shù)：實時過濾，并少占用資源;

網(wǎng)絡(luò)及應(yīng)用程序的底層接口技術(shù)：各種協(xié)議

充分利用OS的多任務(wù)、多線程機(jī)制；

優(yōu)化算法，減少系統(tǒng)開銷；

網(wǎng)絡(luò)應(yīng)急響應(yīng)

網(wǎng)絡(luò)安全事件：違反明顯的或隱含的安全策略的一次

活動，即對系統(tǒng)正常運(yùn)行有負(fù)面影響的活動。包括：

非授權(quán)訪問；系統(tǒng)崩潰；拒絕服務(wù)；對系統(tǒng)的篡改。

時間長短；規(guī)模大小；

安全級別：A:影響公共安全、社會秩序

B:系統(tǒng)停頓，業(yè)務(wù)無法運(yùn)作

C:業(yè)務(wù)中斷，影響系統(tǒng)效率

D:業(yè)務(wù)短暫故障，可立即修復(fù)

CERT/CC(計算機(jī)緊急事件響應(yīng)小組/協(xié)調(diào)中心)發(fā)出

安全警報：00年26次，01年41次。中國計算機(jī)網(wǎng)絡(luò)應(yīng)

急處理協(xié)調(diào)中心CNCERT/CC(WWW.CERT.ORG.CN)

網(wǎng)絡(luò)安全事件的緊急程度：

一般：

緊急：

對人身安全的威脅；

對Internet體系的攻擊（如對DNS、根名服務(wù)

器、網(wǎng)絡(luò)接入點(diǎn)的攻擊）

對Internet的大范圍自動化攻擊

新型的攻擊及新的嚴(yán)重漏洞。

網(wǎng)絡(luò)安全事件的應(yīng)急準(zhǔn)備

分析關(guān)鍵業(yè)務(wù)；后援；應(yīng)急組織與計劃；評估；演練。

網(wǎng)絡(luò)安全事件的應(yīng)急處理流程

1）發(fā)現(xiàn)網(wǎng)絡(luò)安全事件

2）確定影響范圍，評估可能損失

3）執(zhí)行預(yù)定的應(yīng)急措

4）安全事件通報、求援

安全事件通報內(nèi)容：

發(fā)生安全事件的聯(lián)系資料：

發(fā)生時間、地點(diǎn)；受影響主機(jī)資料；

事件描述（程度、來源、工具、損失）；

采取的措施；期望的援助。

CERT/CC提供的基本服務(wù)

CERT/CC是實現(xiàn)信息安全保障的核心,

提供以下服務(wù)：

安全事件的熱線響應(yīng)；

檢查入侵來源；

恢復(fù)系統(tǒng)正常工作；

事故分析；

發(fā)布安全警報、公告、建議；

咨詢；安全培訓(xùn)教育；

風(fēng)險評估。

Web站臺

咨詢組

事

系

件