详解计算机病毒知识与预防.doc

详解 计算机病毒知识与预防【简介】随着电脑的普及，几乎所有的电脑用户都已知道计算机病毒这一名词。对于大多数计算机用户来说，谈到计算机病毒似乎觉得它深不可测，无法琢磨。以下对它作一简要介绍今天你有否病毒随着电脑的普及，几乎所有的电脑用户都已知道计算机病毒这一名词。对于大多数计算机用户来说，谈到计算机病毒似乎觉得它深不可测，无法琢磨。以下对它作一简要介绍：病毒历史自从1946年第一台冯-诺依曼型计算机ENIAC出世以来，计算机已被应用到人类社会的各个领域。然而，1988年发生在美国的蠕虫病毒事件，给计算机技术的发展罩上了一层阴影。蠕虫病毒是由美国CORNELL大学研究生莫里斯编写。虽然并无恶意，但在当时，蠕虫在INTERNET上大肆传染，使得数千台连网的计算机停止运行，并造成巨额损失，成为一时的舆论焦点。在国内，最初引起人们注意的病毒是80年代末出现的黑色星期五，米氏病毒，小球病毒等。因当时软件种类不多，用户之间的软件交流较为频繁且反病毒软件并不普及，造成病毒的广泛流行。后来出现的word宏病毒及win95下的CIH病毒，使人们对病毒的认识更加深了一步。最初对病毒理论的构思可追溯到科幻小说。在70年代美国作家雷恩出版的P1的青春一书中构思了一种能够自我复制，利用通信进行传播的计算机程序，并称之为计算机病毒。病毒定义计算机病毒为什么叫做病毒。首先，与医学上的病毒不同，它不是天然存在的，是某些人利用计算机软、硬件所固有的脆弱性，编制具有特殊功能的程序。由于它与生物医学上的病毒同样有传染和破坏的特性，因此这一名词是由生物医学上的病毒概念引申而来。从广义上定义，凡能够引起计算机故障，破坏计算机数据的程序统称为计算机病毒。依据此定义，诸如逻辑炸弹，蠕虫等均可称为计算机病毒。在国内，专家和研究者对计算机病毒也做过不尽相同的定义，但一直没有公认的明确定义。直至1994年2月18日，我国正式颁布实施了中华人民共和国计算机信息系统安全保护条例，在条例第二十八条中明确指出：计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。此定义具有法律性、权威性。(此节内容摘自计算机安全管理与实用技术一书)病毒的产生那么究竟它是如何产生的呢?其过程可分为：程序设计-传播-潜伏-触发、运行-实行攻击。究其产生的原因不外乎以下几种：1.开个玩笑，一个恶作剧。某些爱好计算机并对计算机技术精通的人士为了炫耀自己的高超技术和智慧，凭借对软硬件的深入了解，编制这些特殊的程序。这些程序通过载体传播出去后，在一定条件下被触发。如显示一些动画，播放一段音乐，或提一些智力问答题目等，其目的无非是自我表现一下。这类病毒一般都是良性的，不会有破坏操作。2.产生于个别人的报复心理。每个人都处于社会环境中，但总有人对社会不满或受到不公证的待遇。如果这种情况发生在一个编程身上，那么他有可能会编制一些危险的程序。在国外有这样的事例：某公司职员在职期间编制了一段代码隐藏在其公司的系统中，一旦检测到他的名字在工资报表中删除，该程序立即发作，破坏整个系统。类似案例在国内亦出现过。3.用于版权保护。计算机发展初期，由于在法律上对于软件版权保护还没有象今天这样完善。很多商业软件被非法复制，有些开发商为了保护自己的利益制作了一些特殊程序，附在产品中。如：巴基斯坦病毒，其制作者是为了追踪那些非法拷贝他们产品的用户。用于这种目的的病毒目前已不多见。4.用于特殊目的。某组织或个人为达到特殊目的，对政府机构、单位的特殊系统进行宣传或破坏。或用于军事目的。病毒特征这种特殊程序有以下几种特征：1.传染性是病毒的基本特征。在生物界，通过传染病毒从一个生物体扩散到另一个生物体。在适当的条件下，它可得到大量繁殖，并使被感染的生物体表现出病症甚至死亡。同样，计算机病毒也会通过各种渠道从已被感染的计算机扩散到未被感染的计算机，在某些情况下造成被感染的计算机工作失常甚至瘫痪。与生物病毒不同的是，计算机病毒是一段人为编制的计算机程序代码，这段程序代码一旦进入计算机并得以执行，它会搜寻其他符合其传染条件的程序或存储介质，确定目标后再将自身代码插入其中，达到自我繁殖的目的。只要一台计算机染毒，如不及时处理，那么病毒会在这台机子上迅速扩散，其中的大量文件(一般是可执行文件)会被感染。而被感染的文件又成了新的传染源，再与其他机器进行数据交换或通过网络接触，病毒会继续进行传染。正常的计算机程序一般是不会将自身的代码强行连接到其它程序之上的。而病毒却能使自身的代码强行传染到一切符合其传染条件的未受到传染的程序之上。计算机病毒可通过各种可能的渠道，如软盘、计算机网络去传染其它的计算机。当你在一台机器上发现了病毒时，往往曾在这台计算机上用过的软盘已感染上了病毒，而与这台机器相联网的其它计算机也许也被该病毒侵染上了。是否具有传染性是判别一个程序是否为计算机病毒的最重要条件。未经授权而执行。一般正常的程序是由用户调用，再由系统分配资源，完成用户交给的任务。其目的对用户是可见的、透明的。而病毒具有正常程序的一切特性，它隐藏再正常程序中，当用户调用正常程序时窃取到系统的控制权，先于正常程序执行，病毒的动作、目的对用户时未知的，是未经用户允许的。2.隐蔽性。病毒一般是具有很高编程技巧、短小精悍的程序。通常附在正常程序中或磁盘较隐蔽的地方，也有个别的以隐含文件形式出现。目的是不让用户发现它的存在。如果不经过代码分析，病毒程序与正常程序是不容易区别开来的。一般在没有防护措施的情况下，计算机病毒程序取得系统控制权后，可以在很短的时间里传染大量程序。而且受到传染后，计算机系统通常仍能正常运行，使用户不会感到任何异常。试想，如果病毒在传染到计算机上之后，机器马上无法正常运行，那么它本身便无法继续进行传染了。正是由于隐蔽性，计算机病毒得以在用户没有察觉的情况下扩散到上百万台计算机中。大部分的病毒的代码之所以设计得非常短小，也是为了隐藏。病毒一般只有几百或1k字节，而PC机对DOS文件的存取速度可达每秒几百KB以上，所以病毒转瞬之间便可将这短短的几百字节附着到正常程序之中，使人非常不易被察觉。3.潜伏性。大部分的病毒感染系统之后一般不会马上发作，它可长期隐藏在系统中，只有在满足其特定条件时才启动其表现(破坏)模块。只有这样它才可进行广泛地传播。如PETER-2在每年2月27日会提三个问题，答错后会将硬盘加密。著名的黑色星期五在逢13号的星期五发作。国内的上海一号会在每年三、六、九月的13日发作。当然，最令人难忘的便是26日发作的CIH。这些病毒在平时会隐藏得很好，只有在发作日才会露出本来面目。4.破坏性。任何病毒只要侵入系统，都会对系统及应用程序产生程度不同的影响。轻者会降低计算机工作效率，占用系统资源，重者可导致系统崩溃。由此特性可将病毒分为良性病毒与恶性病毒。良性病度可能只显示些画面或出点音乐、无聊的语句，或者根本没有任何破坏动作，但会占用系统资源。这类病毒较多，如：GENP、小球、W-BOOT等。恶性病毒则有明确得目的，或破坏数据、删除文件或加密磁盘、格式化磁盘，有的对数据造成不可挽回的破坏。这也反映出病毒编制者的险恶用心。从对病毒的检测方面来看，病毒还有不可预见性。不同种类的病毒，它们的代码千差万别，但有些操作是共有的(如驻内存，改中断)。有些人利用病毒的这种共性，制作了声称可查所有病毒的程序。这种程序的确可查出一些新病毒，但由于目前的软件种类极其丰富，且某些正常程序也使用了类似病毒的操作甚至借鉴了某些病毒的技术。使用这种方法对病毒进行检测势必会造成较多的误报情况。而且病毒的制作技术也在不断的提高，病毒对反病毒软件永远是超前的。病毒分类从第一个病毒出世以来，究竟世界上有多少种病毒，说法不一。无论多少种，病毒的数量仍在不断增加。据国外统计，计算机病毒以10种/周的速度递增，另据我国公安部统计，国内以4种/月的速度递增。如此多的种类，做一下分类可更好地了解它们。按传染方式分为：引导型病毒、文件型病毒和混合型病毒。文件型病毒一般只传染磁盘上的可执行文件(COM，EXE)。在用户调用染毒的可执行文件时，病毒首先被运行，然后病毒驻留内存伺机传染其他文件或直接传染其他文件。其特点是附着于正常程序文件，成为程序文件的一个外壳或部件。这是较为常见的传染方式。混合型病毒兼有以上两种病毒的特点，既染引导区又染文件，因此扩大了这种病毒的传染途径(如97年国内流行较广的TPVO-3783(SPY)。按连接方式分为：源码型病毒、入侵型病毒、操作系统型病毒、外壳型病毒。源码病毒较为少见，亦难以编写。因为它要攻击高级语言编写的源程序，在源程序编译之前插入其中，并随源程序一起编译、连接成可执行文件。此时刚刚生成的可执行文件便已经带毒了。入侵型病毒可用自身代替正常程序种的部分模块或堆栈区。因此这类病毒只攻击某些特定程序，针对性强。一般情况下也难以被发现，清除起来也较困难。操作系统病毒可用其自身部分加入或替代操作系统的部分功能。因其直接感染操作系统，这类病毒的危害性也较大。外壳病毒将自身附在正常程序的开头或结尾，相当于给正常程序加了个外壳。大部份的文件型病毒都属于这一类。按破坏性可分为：良性病毒，恶性病毒。前面已介绍过。新兴一族：宏病毒。宏病毒是近两年才出现的，如分类它可算做文件型。在此对其专门介绍。病毒命名对病毒命名，各个反毒软件亦不尽相同，有时对一种病毒不同的软件会报出不同的名称。如SPY病毒，KILL起名为SPY，KV300则叫TPVO-3783。给病毒起名的方法不外乎以下几种：按病毒出现的地点，如ZHENJIANG_JES其样本最先来自镇江某用户。按病毒中出现的人名或特征字符，如ZHANGFANG-1535，DISK KILLER，上海一号。按病毒发作时的症状命名，如火炬，蠕虫。按病毒发作的时间，如NOVEMBER 9TH在11月9日发作。有些名称包含病毒代码的长度，如PIXEL.xxx系列,KO.xxx等。病毒初步分析计算机病毒的种类虽多，但对病毒代码进行分析、比较可看出，它们的主要结构是类似的，有其共同特点。整个病毒代码虽短小但也包含三部分：引导部分，传染部分，表现部分。引导部分的作用是将病毒主体加载到内存，为传染部分做准备(如驻留内存，修改中断，修改高端内存，保存原中断向量等操作)。传染部分的作用是将病毒代码复制到传染目标上去。不同类型的病毒在传染方式，传染条件上各有不同。表现部分是病毒间差异最大的部分，前两个部分也是为这部分服务的。大部分的病毒都是有一定条件才会触发其表现部分的。如：以时钟、计数器作为触发条件的或用键盘输入特定字符来触发的。这一部分也是最为灵活的部分，这部分根据编制者的不同目的而千差万别，或者根本没有这部分。病毒的初步识别与预防想要知道自己的计算机中是否染有病毒，最简单的方法是实用较新的反病毒软件对磁盘进行全面的检测。但反病毒软件对于病毒来说总是致后的。如何及早地发现新病毒呢?用户可做以下简单判断：无论如何高明的病毒，在其侵入系统后总会留下一些蛛丝马迹。首先应注意内存情况，绝大部分的病毒是要驻留内存的。对于DOS用户可用C盘启动机器，然后用MEM命令查看全部基本内存是否为640K(因为大多数引导型病毒驻留内存时会更改此数)。如果有病毒可能会被改为638K，637K，有些机器在正常情况下639K亦是正常的(如某些COMPAQ机)。还应注意被占用的内存数是否无故减少。其次应注意常用的可执行文件(如COMMAND.COM)的字节数。绝大多数的病毒在对文件进行传染后会使文件的长度增加。在查看文件字节数时应首先用干净系统盘启动。对于软盘，则应注意是否无故出现坏块(有些病毒会在盘上做坏簇标记，以便将其自身部分隐藏其中)。其他如出现软件运行速度变慢(磁盘读盘速度影响除外)，输出端口异常等现象都有可能是病毒造成的。最准确的方法是查看中断向量及引导扇区是否被无故改变，当然这需要对系统及磁盘格式有一定的了解。病毒杂谈什么是病毒，怎样预防及消灭病毒?关于这个话题，众说纷纭。有人说，只要拥有了一套功能强大的杀毒软件便万事大吉；有人说，只要不上网就可抗拒病毒的侵害；还有人认为，只要定期格式化硬盘就能把病毒扼制在萌芽状态面对种种说法，笔者感到他们把病毒看得太神奇，或者说对病毒的了解不是很清楚，对病毒的预防与剿灭不是很了解。认识病毒病毒，是指能够破坏计算机系统，影响计算机工作并能实现自我复制的一段程序或指令代码。随着计算机工业的发展，病毒程序层出不穷，到了21世纪的今天它的种类已经达到千万种。虽然病毒的类型有很多，变型的病毒更无法计算，但是就其传染对象来分只不过四类：BIOS、硬盘引导区、操作系统与应用程序病毒。在知道了病毒的定义与分类以后，我们再来看看电脑感染了病毒后会出现哪些异常现象：BIOS病毒现象1、开机运行几秒后突然黑屏2、外部设备无法找到3、硬盘无法找到4、电脑发出异样声音硬盘引导区病毒现象1、无法正常启动硬盘2、引导时出现死机现象3、执行C盘时显示Not ready error drive AAbort，Retry，Fail?操作系统病毒现象1、引导系统时间变长2、计算机处理速度比以前明显放慢3、系统文件出现莫名其妙的丢失，或字节变长，日期修改等现象4、系统生成一些特殊的文件5、驱动程序被修改使得某些外设不能正常工作6、软驱、光驱丢失7、计算机经常死机或重新启动应用程序病毒现象1、启动应用程序出现非法错误对话框2、应用程序文件变大3、应用程序不能被复制、移动、删除4、硬盘上出现大量无效文件5、某些程序运行时载入时间变长预防病毒计算机感染病毒后会给我们带来很多不必要的麻烦，因此如何预防病毒是一件刻不容缓的工作。下面笔者将介绍一些预防病毒的措施：一、杜绝传染渠道病毒的传染无非是两种方式：一是网络，二是软盘与光盘。如今由于电子邮件的盛行，通过互联网传递的病毒要远远高于后者。为此，我们要特别注意在网上的行为。1、不要轻易下载小网站的软件与程序。2、不要光顾那些很诱惑人的小网站，因为这些网站很有可能就是网络陷阱。3、不要随便打开某些来路不明的E-mail与附件程序。4、安装正版杀毒软件公司提供的防火墙，比如赛门铁克的个人防火墙软件，并注意时时打开着。5、不要在线启动、阅读某些文件，否则您很有可能成为网络病毒的传播者。6、经常给自己发封E-mail，看看是否会收到第二封未属标题及附带程序的邮件。对于软盘，光盘传染的病毒，我想预防的方法就是不要随便打开程序或安装软件。可以先复制到硬盘上，接着用杀毒软件检查一遍，再执行安装或打开命令。二、设置传染对象的属性病毒其实是一段程序或指令代码，它主要针对的是以EXE与COM结尾的文件，由于它天生的局限性，因此预防病毒的另一种方法便是设置传染对象的属性，即：把所有以EXE与COM为扩展名的文件设定只读。这样一来就算病毒程序被激活，也无法对其他程序进行写操作，也就不能感染可执行程序了，因此病毒的破坏功能受到了很大的限制。关于宏病毒不夸张地说，几乎所有使用Word的朋友都曾经与宏病毒狭路相逢过。宏病毒的产生主要是因为Word本身配有内置语言，简单地说就是具备编程功能，因此有很多别有用心的人就利用了它的这一功能制作出宏病毒。宏病毒的破坏性虽不大，但对于靠笔杆为生的人的来说确实是一种负担，为此笔者特意借此文告诉大家一些检测、预防宏病毒的方法。一、检测宏病毒宏病毒的检测其实非常简单，只要点击Word界面上菜单栏的工具宏宏，接着在宏名列表中查看是否有AutoExce与AutoOpen两个自动宏便可。二、预防宏病毒宏病毒通常是驻留在文档或模板的宏中，如果打开这样的文档或模板，就会激活宏病毒，并使病毒进入Normal.dot模板文件中。为此要预防宏病毒，可以采用以下方法：1、利用Word本身具有清除宏(病毒)的功能。当Word识别出一个打开的文档中具有自动执行宏时，它会出现一个对话框，让用户选择是否打开宏，为了预防宏病毒一般我们选择取消宏按钮。2、在Normal.dot模板文件中创建一个自己的宏(AutoExce)，具体代码为：Sub Main DisableAutoMacros 1End Sub这样就能禁止其他自动宏的运行，预防宏病毒的感染。另外注意一点，此程序是在Word的工具/宏/Visual Basic编辑器中完成。3、将文件保存为TXT(纯文本文件)或RTF形式(文本文件，但可以包括其他一些非文本文件信息，例如：图片，表格等)。其实大可不必对病毒感到非常恐惧，甚至闻风丧胆，因为毕竟创造病毒的还是人不是神，只要大家对病毒有所认识并加以预防，我想它就不会如此嚣张跋扈。另外，现在众多的杀毒软件厂商都为我们提供了功能齐备的软件，你要做的仅仅是定期升级、定期查杀即可。但愿此文能给善良的电脑爱好者以帮助，彻底消除病毒带给我们的困扰与烦恼！病毒的本质1994年2月18日，我国正式颁布实施了中华人民共和国计算机信息系统安全保护条例，其中第二十八条中明确指出：计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。随着Internet技术的发展，计算机病毒的定义正在逐步发生着变化，与计算机病毒的特征和危害有类似之处的特洛伊木马和蠕虫从广义的角度而言也可归为计算机病毒。计算机病毒就是指能够通过某种途径潜伏在计算机存储介质(或程序)里，当达到某种条件时，即被激活的具有对计算机资源进行破坏作用的一组计算机指令或者程序代码。从这个定义中我们看到，所谓计算机病毒，事实上它也是一段程序或者指令，与我们平时所使用的各种软件程序从本质上看并没有什么区别，它也是人们通过一定的语言编写出来的，只不过正常的程序或软件是用来帮助人们解决某些问题的，而病毒程序是专门用来搞破坏的。也就是说病毒程序是一种有害的程序。既然人们能够编写出病毒程序，那么人们也就可以研究出杀灭病毒的程序。所以说，认清了计算机病毒的本质，就可以从理论上建立起病毒不可怕的坚实思想基础。病毒的分类尽管病毒的数量非常多，表现形式也多种多样，但是通过适当的标准可以把它们分门别类地归纳成几种类型，从而更好地来了解和掌握它们。根据计算机病毒的特点和特性，计算机病毒有多种分类方法，例如按照攻击的系统分类、按照病毒的破坏情况分类、按照病毒的寄生部位或感染对象分类、按照病毒的链接分类、按照病毒的激活时间分类等，根据不同的分类标准，一种病毒可能有多种叫法，例如一种病毒可能有攻击Windows系统的病毒、外壳型病毒、恶性计算机病毒、可执行程序传染的计算机病毒等多个称谓。但一般情况下，人们习惯把计算机病毒按照病毒的寄生方式和传染途径来进行分类。根据寄生方式的不同，分为引导型病毒和文件型病毒；根据传染途径的不同，分为驻留内存型和不驻留内存型。引导型病毒：通过感染磁盘上的引导扇区或改写磁盘分区表(FAT)来感染系统，它是一种开机即可启动的病毒，先于操作系统而存在，所以用软盘引导启动的电脑容易感染这种病毒。该病毒几乎常驻内存，激活时即可发作，破坏性大。文件型病毒：以感染COM、EXE、OVL等可执行文件为主，病毒以这些可执行文件为载体，当你运行可执行文件时就可以激活病毒。文件型病毒大多数也是常驻内存的。混合型病毒：兼有文件型病毒和引导型病毒的特点，所以它的破坏性更大，传染的机会也更多，杀灭也更困难。宏病毒：是一种新型的文件型病毒，它寄存于Word文档中，一打开隐藏有该种病毒的文档，宏病毒即被激活，该病毒还可衍生出各种变形变种病毒，由于Word的广泛应用，所以宏病毒的流行非常广泛。病毒的特点传染性病毒通过自身复制来感染正常文件，达到破坏电脑正常运行的目的，但是它的感染是有条件的，也就是病毒程序必须被执行之后它才具有传染性，才能感染其他文件。破坏性任何病毒侵入计算机后，都会或大或小地对计算机的正常使用造成一定的影响，轻者降低计算机的性能，占用系统资源，重者破坏数据导致系统崩溃，甚至损坏硬件隐藏性。病毒程序一般都设计得非常小巧，当它附带在文件中或隐藏在磁盘上时，不易被人觉察，有些更是以隐藏文件的形式出现，不经过仔细地查看，一般用户是不会发现的。潜伏性一般病毒在感染文件后并不是立即发作，而是隐藏在系统中，在满足条件时才激活。一般都是某个特定的日期，例如黑色星期五就是在每逢13号的星期五才会发作。可触发性病毒如果没有被激活，它就像其他没执行的程序一样，安静地呆在系统中，没传染性也不具有杀伤力，但是一旦遇到某个特定的文件，它就会被触发，具有传染性和破坏力，对系统产生破坏作用。这些特定的触发条件一般都是病毒制造者设定的，它可能是时间、日期、文件类型或某些特定数据等。不可预见性病毒种类多种多样，病毒代码千差万别，而且新的病毒制作技术也不断涌现，因此，我们对于已知病毒可以检测、查杀，而对于新的病毒却没有未卜先知的能力，尽管这些新式病毒有某些病毒的共性，但是它采用的技术将更加复杂，更不可预见。寄生性病毒嵌入到载体中，依靠载体而生存，当载体被执行时，病毒程序也就被激活，然后进行复制和传播。新病毒的特征ExeBug是引导型、分体式Stealth型病毒，挂接Int 13h，自身存放于硬盘MBR和软盘Boot扇区。分体式病毒在EXE文件头只存放一个引导部分(Dropper)，其他的病毒在EXE文件头覆盖一段木马程序。运行感染的文件会删除硬盘某些扇区，它的传播方式主要依靠引导，属于恶性病毒。比如ExeBug.a对于有缺陷的老版本BIOS会修改CMOS数据使系统找不到软驱，只有当病毒被激活时才可以使用软驱，也就是说，当使用干净的软盘启动系统却发现软驱不存在，系统就会自动从硬盘启动，于是病毒就被激活了，然后病毒程序会打开软驱，这样就很难达到清除的目的。隐形病毒是一个典型的混合型病毒，它可以通过电子邮件传播，会在邮件附件存在名为FREE_xxx_sites.TXT.pif、YOU_are_FAT！.TXT.pif或SEICHO-NO-IE.EXE等文件名的文件，同时兼具蠕虫一样的行为，还有着像特洛伊木马一样的驻留方式，此类病毒会修改WSOCK32.DLL文件，当用户发送邮件的时候，该病毒会将自己作为一个附件插入到邮件中，而且附件的名称也会随机变化。另外，它还会自复制到Windows目录下，名字为WIN32.DLL和IE_PACK.EXE，在Windows目录下生成一个隐藏文件MTX_.EXE，每次启动Windows时都会自动运行，此类病毒会导致计算机系统运行速度变慢，对邮件服务器造成极大的破坏。Win2k.Stream病毒是一种采用新技术的Win 2000病毒，这种病毒开创了病毒技术新纪元，它利用Win 2000的NTFS中单个文件多数据流的特性，采用流共伴技术，独立于可执行文件模块而作为其他服务模块与可执行文件共存。采用流共伴技术会使病毒体极难被侦测和清除，因为目前的大多数的反病毒软件只对可执行文件的主流模块进行扫描，对附加流模块视而不见。MiniZip是一种能够删除用户硬盘上信息的ExploreZip病毒，这种新版本的ExploreZip病毒，也被称作ExploreZip.worm.pak，文件大小为120KB，它可以通过电子邮件传播，包含MiniZip的电子邮件会包含有一个文件名为zipped_files.exe的附件，一旦该压缩文件被解压后，MiniZip就会释放原始的Worm.ExploreZip程序，它会把自己复制到c：windowssystem目录，使用Explore.exe做文件名，然后修改win.ini文件，让病毒能够在每次Windows启动的时候发作。病毒的传播机理计算机病毒要想完成一次完整的传播破坏过程，必须经过以下几个环节：传染源：病毒程序或病毒感染的文件。传播途径：病毒传播的载体，例如软盘、硬盘、光盘、网络服务器等。病毒传染：当执行被感染的文件或程序时，病毒就会被激活同时进行自我复制感染其他文件。病毒发作：当病毒遇到设定的触发条件时，例如某个特定的日期，病毒就会发作，进行各种破坏活动。变形病毒的发展趋势计算机病毒具有一些基本的特性，这些基本特性主要指的是病毒的传染性、破坏性、恶作剧等，这是普通病毒所具备的基本特性，而能用变化自身代码和形状来对抗反病毒手段的变形病毒才是下一代病毒首要的基本特征。变形病毒的特征主要是：病毒传染到目标后，病毒自身代码和结构在空间上、时间上具有不同的变化。以下主要以变形病毒的变化能力将其划分为四类。1、具备普通病毒所具有的基本特性，然而，病毒每感染一个目标后，其自身代码与前一被感染目标中的病毒代码几乎没有三个连续的字节是相同的，但这些代码其相对空间的排列位置是不变动的。这里称其为一维变形病毒。2、除了具备一维变形病毒的特性外，并且那些变化的代码相互间的排列距离(相对空间位置)也是变化的，有的感染文件的字节数不定。这里称其为二维变形病毒。3、具备二维变形病毒的特性，并且能分裂后分别潜藏在几处，随便某一处的子病毒被激发后都能自我恢复成一个完整的病毒。病毒在附着体上的空间位置是变化的，即潜藏的位置不定。比如：可能一部分藏在第一台机器硬盘的主引导区，另外几部分也可能潜藏在可执行文件中，也可能潜藏在覆盖文件中，也可能潜藏在系统引导区，也可能另开垦一块区域潜藏等等。而在下一台被感染的机器内，病毒又改变了其潜藏的位置。这里称其为三维变形病毒。4、具备三维变形病毒的特性，并且，这些特性随时间动态变化。比如，在染毒的机器中，刚开机时病毒在内存里变化为一个样子，一段时间后又变成了另一个样子，再次开机后病毒在内存里又是一个不同的样子。这里称其为四维变形病毒。目前变形病毒已发展到了一维、二维、三维，四维变形病毒必将出现，也就是说：病毒主要朝着能对抗反病毒手段的方向发Linux病毒作为一个操作系统，Linux对病毒的抵抗能力是人所共知的。这主要得力于其优秀的技术设计，这不仅使它的作业系统难以宕机，而且也使其难以被滥用。Unix经过25年的发展和完善，已经变得非常坚固，而Linux基本上继承了它的优点。在Linux里，如果不是用户，那么恶意感染系统文件的程序将很难得逞。当然，这并不是说Linux就无懈可击。事实上，Linux病毒的存在已有时日。发现于