病毒的防治應急處理

一、計算機病毒的概念

定義：計算機病毒是一段附著在其他程序上的可以實現(xiàn)自

我繁殖的程序代碼。（國外）

定義：計算機病毒是指破壞計算機功能或者數據，并能自

我復制的程序。（國內）

病毒發(fā)展史：

1977年科幻小說《TheAdolescenceofP-1》描寫計算機病毒

1983年FredAdleman首次在VAX11/750上試驗病毒；

1986年Brain病毒在全世界傳播；

1988年11月2日Cornell大學的Morris編寫的Worm病毒襲擊

美國6000臺計算機，直接損失盡億美元；

八十年代末，病毒開始傳入我國；

病毒產生的原因：

計算機病毒是高技術犯罪，具有瞬時性、動態(tài)

性和隨機性。不易取證，風險小破壞大。

1）尋求刺激：自我表現(xiàn)；惡作?。?/p>

2）出于報復心理。

病毒的特征：

傳染性；寄生性；衍生性；

隱蔽性；潛伏性；

可觸發(fā)性；奪取控制權；

破壞性與危害性；

病毒的分類：

按破壞性分為：良性；惡性。

按激活時間分為：定時；隨機

按傳染方式分為：

引導型：當系統(tǒng)引導時進入內存，控制系統(tǒng)；

文件型：病毒一般附著在可執(zhí)行文件上；

混合型：既可感染引導區(qū)，又可感染文件。

按連接方式分為：

OS型：替換OS的部分功能，危害較大；

源碼型：要在源程序編譯之前插入病毒代碼；較少;

外殼型：附在正常程序的開頭或末尾；最常見；

入侵型：病毒取代特定程序的某些模塊；難發(fā)現(xiàn)。

按照病毒特有的算法分為：

伴隨型病毒：產生EXE文件的伴隨體COM,病毒把自身

寫入COM文件并不改變EXE文件，當DOS加載文件時,

伴隨體優(yōu)先被執(zhí)行到，再由伴隨體加載執(zhí)行原來的

EXE文件。

“蠕蟲”型病毒：只占用內存，不改變文件，通過網

絡搜索傳播病毒。

寄生型病毒：除了伴隨和“蠕蟲”型以外的病毒，它

們依附在系統(tǒng)的引導扇區(qū)或文件中。

變型病毒（幽靈病毒）：使用復雜算法，每傳播一次

都具有不同內容和長度。一般的作法是一段混有無

關指令的解碼算法和被變化過的病毒體組成。

病毒的組成：

安裝模塊：提供潛伏機制；

傳播模塊：提供傳染機制；

觸發(fā)模塊：提供觸發(fā)機制；

其中，傳染機制是病毒的本質特征，防治、檢測及

殺毒都是從分析病毒傳染機制入手的。

病毒的癥狀：

啟動或運行速度明顯變慢；文件大小、日期變化；死

機增多；莫名其妙地丟失文件；磁盤空間不應有的

減少；有規(guī)律地出現(xiàn)異常信息；自動生成一些特殊

文件；無緣無故地出現(xiàn)打印故障。

計算機病毒的傳播途徑

1）通過不可移動的設備進行傳播

較少見，但破壞力很強。

2）通過移動存儲設備進行傳播

最廣泛的傳播途徑

3）通過網絡進行傳播

反病毒所面臨的新課題

4）通過點對點通訊系統(tǒng)和無線通道傳播

預計將來會成為兩大傳播渠道

病毒的破壞行為

攻擊系統(tǒng)數據區(qū)：主引導區(qū)、Boot區(qū)、FAT區(qū)、文件目錄

攻擊文件、內存、CMOS；干擾系統(tǒng)運行，使速度下降;

干擾屏幕、鍵盤、喙＞1叭、打印機；

破壞網絡資源。

病毒的發(fā)展趨勢

攻擊對象趨于混合型；

反跟蹤技術；

增強隱蔽性：避開修改中斷向量值；請求在內存中的合

法身份；維持宿主程序外部特征；不用明顯感染標志

采用加密技術，使得對病毒的跟蹤、判斷更困難；

繁衍不同的變種。

二、病毒的防治

網絡環(huán)境下的病毒防治原則與策略

防重于治，防重在管：制度；注冊、權限、屬性、

服務器安全；集中管理、報警。

綜合防護：木桶原理；防火墻與防毒軟件結合

最佳均衡原則：占用較小的網絡資源

管理與技術并重

正確選擇反毒產品

多層次防御：病毒檢測、數據保護、實時監(jiān)控

注意病毒檢測的可靠性：經常升級；兩種以上。

二、病毒的防治

防毒：預防入侵；病毒過濾、監(jiān)控、隔離

查毒：發(fā)現(xiàn)和追蹤病毒；統(tǒng)計、報警

解毒：從感染對象中清除病毒；恢復功能

病毒檢測的方法

直接觀察法：根據病毒的種種表現(xiàn)來判斷

特征代碼法：采集病毒樣本，抽取特征代碼

特點：能快速、準確檢驗已知病毒，不能發(fā)現(xiàn)未

知的病毒。

校驗和法：根據文件內容計算的校驗和與以

前的作比較。

優(yōu)點：能判斷文件細微變化，發(fā)現(xiàn)未知病毒。

缺點：當軟件升級、改口令時會產生誤報；不

能識別病毒名稱；對隱蔽性病毒無效。

行為監(jiān)測法：基于對病毒異常行為的判斷

特點：發(fā)現(xiàn)許多未知病毒；可能誤報，實施難

軟件模擬法：一種軟件分析器，用軟件方法

來模擬和分析程序的運行。

特點：可用于對付多態(tài)病毒。

反病毒軟件的選擇

1）掃描速度30秒能掃描1000個以上文件

2）識別率

3）病毒清除測試

著名殺毒軟件公司

冠群金辰KILL

瑞星RAV

北京江民KV3000

信源LANVRV

賽門鐵克NortonAntiVirus

時代先鋒（行天98）

反病毒軟件工作原理

1）病毒掃描程序

串掃描算法:與已知病毒特征匹配；文件頭、尾部

入口掃描算法：模擬跟蹤目標程序的執(zhí)行

類屬解密法：對付多態(tài)、加密病毒

2）內存掃描程序：搜索內存駐留文件和引導記錄病毒

3）完整性檢查器：能發(fā)現(xiàn)新的病毒；但對于已被感染

的系統(tǒng)使用此方法，可能會受到欺騙。

4）行為監(jiān)測器：是內存駐留程序，監(jiān)視病毒對可執(zhí)行

文件的修改。防止未知的病毒

三、幾種常見的病毒

宏病毒

宏（Macro）：為避免重復操作而設計的一組命令。

在打開文件時，先執(zhí)行“宏”，然后載入文件內容。

因此如果“宏”帶有病毒，則在編輯文件時病毒自

動載入。

宏病毒的癥狀：

1）用Word或Excel打開文件時，出現(xiàn)“文檔未打開”、

“內存不夠"、"WordBasicErr=514”等；

2）保存文件時，強制將文件按-dot”類型存儲，或

強制在指定目錄存放。

3）宏病毒的版本兼容問題

幾種宏病毒：

AAAZAOMacro：Concept病毒，第一個宏病毒；

TaiwanN0.1：第一個中文word病毒；

RainbowMacro：能改變桌面顏色；

Formate：格式化C盤，第一個木馬型宏病毒；

HotMacro：第一個調用WindowsAPI的宏病毒；

NuclearMacro:第一個干擾打印機、硬盤的宏病毒。

宏病毒分類：

公用宏病毒：以Auto開頭的宏，附在normal.dot或

Personal.xls等模板上。

私用宏病毒：

宏病毒的危害

1）傳播迅速：因為文件交流頻繁；

2）制造及變種方便：WordBasic編程容易

3）危害大：WordBasic可調用WindowsAPI、DLL、DDE

宏病毒的防治

除殺毒軟件以外，還可嘗試下列方法：

1）按住〈Shift〉鍵再啟動Word,禁止宏自動運行；

2）工具3宏，檢查并刪除所有可能帶病毒的宏；

3）使用DisableAutoMacros宏

4）將模板文件如normal.dot的屬性設為只讀。

三、幾種常見的病毒

CIH病毒

臺灣陳盈豪編寫，一般每月26日發(fā)作。

不僅破壞硬盤的引導扇區(qū)和分區(qū)表，還破壞系統(tǒng)

FlashBIOS芯片中的系統(tǒng)程序，導致主板損壞。

病毒長1KB,由于使用VXD技術，只感染32位

Windows系統(tǒng)可執(zhí)行文件中的,PE格式文件。

修復硬盤分區(qū)表：信源公司()的

免費軟件VRVFIX.EXE；

CIH疫苗:CIH作者的Ant-CIHvl.O；

美國Symantec公司的Kill_CIH

四、網絡病毒

含義1:在網上傳播、并對網絡進行破壞的病毒。

含義2：專指HTML、E-mail、Java等Internet病毒。

例：蠕蟲病毒，木馬程序等。

2001年9月18日，Nimdaworm在Internet上迅

速傳播。該病毒感染Windows系列多種計算機

系統(tǒng)，其傳播速度之快、影響范圍之廣、破壞

力之強都超過其前不久發(fā)現(xiàn)的CodeRedIL

特點：網上蔓延，危害更大。

1）網上傳染方式多，工作站、服務器交叉感染

2）混合特征：集文件感染、蠕蟲、木馬等于一身

3）利用網絡脆弱性、系統(tǒng)漏洞

4）更注重欺騙性

5）清除難度大，破壞性強。

網絡病毒的防范：

具體實現(xiàn)方法包括對網絡服務器中的文件進行頻

繁地掃描和監(jiān)測；在工作站上用防病毒芯片和

對網絡目錄及文件設置訪問權限等。

相對于單機病毒的防護來說，網絡病毒的防治具有

更大的難度，網絡病毒防治應與網絡管理集成。管

理功能就是管理全部的網絡設備：從Hub、交換機、

服務器到PC,軟盤的存取、局域網上的信息互通及

與Internet的連接等，所有病毒能夠進來的地方。

為實現(xiàn)計算機病毒的防治，可在計算機網絡系統(tǒng)上

安裝網絡病毒防治服務器；在內部網絡服務器上安

裝網絡病毒防治軟件；在單機上安裝單機環(huán)境的反

病毒軟件。

從以下方面控制網絡病毒：

服務器郵件系統(tǒng)WEB站點

數據庫系統(tǒng)網關

局域網病毒防御體系

1）服務器網絡病毒防殺模塊

監(jiān)視各節(jié)點，保護網絡操作系統(tǒng)安全;

動態(tài)告警、殺滅各節(jié)點的病毒；

配置系統(tǒng)整體的檢測計劃、時間；

對病毒事件進行記錄、審計、跟蹤；

提供技術支持，升級；

2）客戶端單機病毒防殺模塊

單機版殺毒軟件；響應升級要求

安裝網絡防毒軟件的方案

1）在網關和防火墻上安裝防毒軟件

缺點：對每個文件的檢測將影響網絡性能。

2）在工作站上安裝防毒軟件

缺點：管理、協(xié)調、升級困難。

3）在電子郵件服務器上安裝防毒軟件

僅能防止郵件病毒的傳播。

4）在所有文件服務器上安裝防毒軟件

對于備份服務器，備份與反毒有可能沖突。

網絡反毒的新特征：

與OS結合更緊密；實時化；檢測壓縮文件病

毒

病毒防火墻技術：能阻止病毒的擴散

在網絡服務器上安裝病毒防火墻系統(tǒng)，例如:

InterScanVirusWall

關鍵技術：

OS底層接口技術：實時過濾，并少占用資源;

網絡及應用程序的底層接口技術：各種協(xié)議

充分利用OS的多任務、多線程機制；

優(yōu)化算法，減少系統(tǒng)開銷；

網絡應急響應

網絡安全事件：違反明顯的或隱含的安全策略的一次

活動，即對系統(tǒng)正常運行有負面影響的活動。包括：

非授權訪問；系統(tǒng)崩潰；拒絕服務；對系統(tǒng)的篡改。

時間長短；規(guī)模大??；

安全級別：A:影響公共安全、社會秩序

B:系統(tǒng)停頓，業(yè)務無法運作

C:業(yè)務中斷，影響系統(tǒng)效率

D:業(yè)務短暫故障，可立即修復

CERT/CC(計算機緊急事件響應小組/協(xié)調中心)發(fā)出

安全警報：00年26次，01年41次。中國計算機網絡應

急處理協(xié)調中心CNCERT/CC(WWW.CERT.ORG.CN)

網絡安全事件的緊急程度：

一般：

緊急：

對人身安全的威脅；

對Internet體系的攻擊（如對DNS、根名服務

器、網絡接入點的攻擊）

對Internet的大范圍自動化攻擊

新型的攻擊及新的嚴重漏洞。

網絡安全事件的應急準備

分析關鍵業(yè)務；后援；應急組織與計劃；評估；演練。

網絡安全事件的應急處理流程

1）發(fā)現(xiàn)網絡安全事件

2）確定影響范圍，評估可能損失

3）執(zhí)行預定的應急措

4）安全事件通報、求援

安全事件通報內容：

發(fā)生安全事件的聯(lián)系資料：

發(fā)生時間、地點；受影響主機資料；

事件描述（程度、來源、工具、損失）；

采取的措施；期望的援助。

CERT/CC提供的基本服務

CERT/CC是實現(xiàn)信息安全保障的核心,

提供以下服務：

安全事件的熱線響應；

檢查入侵來源；

恢復系統(tǒng)正常工作；

事故分析；

發(fā)布安全警報、公告、建議；

咨詢；安全培訓教育；

風險評估。

Web站臺

咨詢組

事

系

件