计算机病毒及防范的措施.doc

计算机病毒及防范的措施 随着计算机在社会生活各个领域的广泛运用，计算机病毒攻击与防范技术也在不断拓展。据报道，世界各国遭受计算机病毒感染和攻击的事件数以亿计，严重地干扰了正常的人类社会生活，给计算机网络和系统带来了巨大的潜在威胁和破坏。与此同时，病毒技术在战争领域也曾广泛的运用，在海湾战争、近期的科索沃战争中，双方都曾利用计算机病毒向敌方发起攻击，破坏对方的计算机网络和武器控制系统，达到了一定的政治目的与军事目的。可以预见，随着计算机、网络运用的不断普及、深入，防范计算机病毒将越来越受到各国的高度重视。 一、什么是计算机病毒 计算机病毒不是我们说熟悉的生物病毒，计算机病毒是一个程序，一段可执行代码。但是，计算机病毒就像生物病毒一样，有独特的复制能力。同生物病毒一样计算机病毒可以很快地蔓延，而且常常难以根除。它们能把自身附着在各种类型的文件上。当文件被复制或从一个用户传送到另一个用户时，它们就随同文件一起蔓延开来。 除复制能力外，计算机病毒还有其它一些和生物病毒一样的共同特性：一个被病毒污染的程序能够传送病毒载体，如同传染病。当你看到病毒载体似乎仅仅表现在文字和图象上时，它们可能也已毁坏了文件、再格式化了你的硬盘，删除了驱动或造成了其它各种类型的灾害。若是病毒并不寄生于单独一个被污染的程序，它还然能通过占据存贮空间给你带来麻烦，并降低你的计算机的全部性能。和生物病毒在传播上的特性的相似是“计算机病毒”名称的由来。1. 病毒定义 计算机病毒为什么叫做病毒。首先，与医学上的病毒不同，它不是天然存在的，是某些人利用计算机软、硬件所固有的脆弱性，编制具有特殊功能的程序。由于它与生物医学上的病毒同样有传染和破坏的特性，因此这一名词是由生物医学上的病毒概念引申而来。 从广义上定义，凡能够引起计算机故障，破坏计算机数据的程序统称为计算机病毒。依据此定义，诸如逻辑炸弹，蠕虫等均可称为计算机病毒。在国内，专家和研究者对计算机病毒也做过不尽相同的定义，但一直没有公认的明确定义。 直至1994年2月18日，我国正式颁布实施了中华人民共和国计算机信息系统安全保护条例，在条例第二十八条中明确指出：计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据， 影响计算机使用，并能自我复制的一组计算机指令或者程序代码。此定义具有法律性、权威性。（此节内容摘自计算机安全管理与实用技术一书）2.病毒的产生 那么究竟它是如何产生的呢？其过程可分为：程序设计-传播-潜伏-触发、运行-实行攻击。究其产生的原因不外乎以下几种： 开个玩笑，一个恶作剧。某些爱好计算机并对计算机技术精通的人士为了炫耀自己的高超技术和智慧，凭借对软硬件的深入了解，编制这些特殊的程序。这些程序通过载体传播出去后，在一定条件下被触发。如显示一些动画，播放一段音乐，或提一些智力问答题目等，其目的无非是自我表现一下。这类病毒一般都是良性的，不会有破坏操作。产生于个别人的报复心理。每个人都处于社会环境中，但总有人对社会不满或受到不公证的待遇。如果这种情况发生在一个编程高手身上，那么他有可能会编制一些危险的程序。在国外有这样的事例：某公司职员在职期间编制了一段代码隐藏在其公司的系统中，一旦检测到他的名字在工资报表中删除，该程序立即发作，破坏整个系统。类似案例在国内亦出现过。 用于版权保护。计算机发展初期，由于在法律上对于软件版权保护还没有象今天这样完善。很多商业软件被非法复制，有些开发商为了保护自己的利益制作了一些特殊程序，附在产品中。如：巴基斯坦病毒，其制作者是为了追踪那些非法拷贝他们产品的用户。用于这种目的的病毒目前已不多见。 用于特殊目的。某组织或个人为达到特殊目的，对政府机构、单位的特殊系统进行宣传或破坏。或用于军事目的。 计算机病毒是一组通过复制自身来感染其它软件的程序。当程序运行时，嵌入的病毒也随之运行并感染其它程序。一些病毒不带有恶意攻击性编码，但更多的病毒携带毒码，一旦被事先设定好的环境激发，即可感染和破坏。自80年代莫里斯编制的第一个“蠕虫”病毒程序至今，世界上已出现了多种不同类型的病毒。在今年，又产生了以下几种主要病毒：一、2008上半年电脑病毒数量统计 2008年上半年瑞星公司共截获新病毒133717个，其中木马病毒83119个，后门病毒31204个，两者之和超过11万，相当于去年同期截获的新病毒总和。这两类病毒都以侵入用户电脑，窃取个人资料、银行账号等信息为目的，带有直接的经济利益特征。从统计数据看来，今年上半年的病毒数量比去年同期增加11.9%。二、毒王、十大病毒和疫情介绍 根据瑞星公司的统计分析，今年上半年全国约有3500多万台电脑曾经被病毒感染，占到上网电脑数量的一半以上，中国大陆地区已经成为全球电脑病毒危害最严重的地区。 其中，以U盘为主要传播途径的“帕虫”病毒成为新的毒王，“威金”病毒和“熊猫烧香”分列第二、第三位。在各省疫情方面，广东省以368余万台次的数量领先，山东、北京等省市紧随其后。本次统计的前五个省市，染毒计算机都超过了200万台次。十大病毒排名如下：1. 帕虫（Worm.Pabug；金山：AV终结者；江民：U盘寄生虫） “帕虫（worm.pabug)”病毒，这种病毒不但会破坏几十种常用的杀毒软件，还会使QQ等常用程序无法运行。据介绍，“帕虫”病毒主要通过MP3（或者U盘）进行传播，由于现在使用MP3（U盘）交换歌曲和电影文件的用户非常多，使得该病毒传播极广。“帕虫”病毒目前已有几十个变种，全国已有八万多名用户遭到此病毒的侵害。2. 威金蠕虫（Worm.Viking） “威金蠕虫（Worm.viking）”病毒接连出现多个变种，这些病毒主要通过局域网进行传播，侵入用户的电脑之后，会从网上疯狂下载多个木马、QQ尾巴等安装在中毒电脑中，窃取用户的网络游戏密码等个人资料。并且这些病毒很难清除，根据用户反馈的信息，某些反病毒产品杀毒后会造成某些软件失效。 3.熊猫烧香（Worm.Nimaya；又称尼姆亚） “尼姆亚（也称熊猫烧香）”病毒的攻击重点正在转向企业局域网和网站，广大企业和网站应提高警惕紧密防范。瑞星反病毒专家介绍说，该病毒会在中毒电脑中所有的网页文件尾部添加病毒代码。一些网站编辑人员的电脑如果被该病毒感染，上传网页到网站后，就会导致用户浏览这些网站时也被病毒感染。4. 网络游戏木马（Trojan.PSW.OnlineGames）5.QQ通行证（Trojan.PSW.QQPass） 6.ARP病毒（多个病毒均具有ARP攻击行为，通称为ARP病毒）ARP病毒也叫ARP地址欺骗类病毒，这是一类特殊的病毒。该病毒一般属于木马病毒，不具备主动传播的特性，不会自我复制，但是由于其发作的时候会向全网发送伪造的ARP数据包，严重干扰全网的正常运行，其危害甚至比一些蠕虫病毒还要严重得多。ARP病毒发作时，通常会造成网络掉线，但网络连接正常，内网的部分电脑不能上网，或者所有电脑均不能上网，无法打开网页或打开网页慢以及局域网连接时断时续并且网速较慢等现象，严重影响到企业网络、网吧、校园网络等局域网的正常运行。7. 征途木马（Trojan.PSW.ZhengTu）8.MSN相片（Worm.Mail.Photocheat.A） 9.梅勒斯（Trojan.DL.Mnless） 10.灰鸽子（Backdoor.Gpigeon）二、电脑病毒给用户带来的损害 电脑病毒、黑客攻击和流氓软件给用户带来的危害结果如下：劫持IE浏览器，首页被更改，一些默认项目被修改（例如默认搜索） 修改Host文件，导致用户不能访问某些网站，或者被引导到“钓鱼网站”上 添加驱动保护，使用户无法删除某些软件 修改系统启动项目，使某些恶意软件可以随着系统启动，常被流氓软件和病毒采用 在用户计算机上开置后门，黑客可以通过此后门远程控制中毒机器，组成僵尸网络，对外发动攻击、发送垃圾邮件、点击网络广告等牟利 采用映像劫持技术，使多种杀毒软件和安全工具无法使用 记录用户的键盘、鼠标操作，从而可以窃取银行卡、网游密码等各种信息 记录用户的摄像头操作，可以从远程窥探隐私 使用户的机器运行变慢，大量消耗系统资源。三、预防病毒的几种方法1：及时为WINDOWS打补丁，方法：打开IE/工具(T)/ Windows Update(U) / 并按步骤更新 原因：为WINDOWS打补丁是很很重要的，因为许多病毒都是根据WINDOWS的漏洞写出来的。 2：浏览不安全的网站，把“INTERNET 安全性 属性”的安全级别调高级。方法：双击IE右下方的小地球，按一下默认级别，向上移动滑块，然后确定。 原因：禁止网页使用的控件，它就不能在你背后搞小动作了。 说明：有些网页是要使用正常的控件的，比如听歌的看电影的网页等等，这时你得把INTERNET 安全性属性调回中级。 3：下载后和安装软件前一定要杀毒，不明白那是什么东西不要打开他。 原因：或许你下载的网站不会放病毒的软件，但不排除它可能被人入侵，然后被放置带病毒的软件，总之安全第一。 说明：下载后安装前杀是个好习惯。 4：经常更新毒库杀毒。 原因：病毒的发展是会不停止的，更新毒库才能杀新的病毒。 5：不要安装太多的IE的辅佐工具。 原因：IE的辅佐工具之间可能有冲突，而且会占用一定的内存。 说明：所谓请神容易送神难，在按确定前一定要想清楚。 6：不需要安装太多的杀毒软件。 原因：杀毒软件之间也可能有冲突，而且会占用较多的内存。 说明：一般来说要求精不求多，通常安装三样功能：防病毒、防火墙、防木马。 7：对电脑认识有一定水平的人可以对电脑的进行手动捡查 方法：系统盘中的Autoexec.bat windows中的Msconfig.exe 和注册表中Run启动项 说明：如果发现新的加载项目那你就得小心点了。 8：重要文档不要放在系统盘中，而且要备份好。 9：有能力的可以为系统盘做一个映象文件。如果碰到新的病毒，连杀毒软件也没能为力，只得还原映象了。 总结：及时打补丁，经常升毒库杀毒，不要打开不明的连接，上不安全的网站要调高级别，时常查看启动项，不要打开或安装来历不明的文件，做好备份，建个系统盘映象。四、计算机病毒的发展新趋势 “计算机病毒”并不是一个新出现的词语，但在2003年和2004年上半年肯定是最热门的词语之一。根据国家计算机病毒应急处理中心的调查显示：2003年我国计算机病毒感染率高达85.57%，大多数用户在一年内都感染过两次以上的病毒并造成了不同程度的损失。“冲击波”和“震荡波”给我们带来的冲击和震荡大多数互联网用户深有感受。由于计算机病毒的肆虐，我国目前出现了一个崭新的行业：电脑急救师，据说待遇还不错。随着计算机技术的发展，计算机病毒也在不断发展，计算机病毒与反病毒技术就象敌我双方一样在相互牵制的过程中使自身不断发展壮大，而且从目前情况来看，计算机病毒总是主动的一方，我们在被动防御和抵抗中。五、计算机病毒的新特征 计算机病毒将呈现新的发展趋势：在给我们带来很多方便和帮助的同时，互联网、局域网已经成为计算机病毒传播的主要途径；在与反病毒技术的斗争中，计算机病毒的变形速度和破坏力不断地提高；混合型病毒的出现令以前对计算机病毒的分类和定义逐步失去意义，也使反病毒工作更困难了；病毒的隐蔽性更强了，不知不觉“中毒”带来的后果更严重；人们使用最多的一些软件将成为计算机病毒的主要攻击对象。 （一）计算机网络（互联网、局域网）成为计算机病毒的主要传播途径，使用计算机网络逐渐成为计算机病毒发作条件的共同点计算机病毒最早只通过文件拷贝传播，当时最常见的传播媒介是软盘和盗版光碟。随着计算机网络的发展，目前计算机病毒可通过计算机网络利用多种方式（电子邮件、网页、即时通讯软件等）进行传播。计算机网络的发展有助于计算机病毒的传播速度大大提高，感染的范围也越来越广。可以说，网络化带来了计算机病毒传染的高效率。这一点以“冲击波”和“震荡波”的表现最为突出。以“冲击波”为例，冲击波是利用RPC DCOM缓冲溢出漏洞进行传播的互联网蠕虫。它能够使遭受攻击的系统崩溃，并通过互联网迅速向容易受到攻击的系统蔓延。它会持续扫描具有漏洞的系统，并向具有漏洞的系统的135端口发送数据，然后会从已经被感染的计算机上下载能够进行自我复制的代码MSBLAST.EXE，并检查当前计算机是否有可用的网络连接。如果没有连接，蠕虫每间隔10秒对Internet连接进行检查，直到Internet 连接被建立。一旦Internet连接建立，蠕虫会打开被感染的系统上的4444端口，并在端口69进行监听，扫描互联网，尝试连接至其他目标系统的135端口并对它们进行攻击。与以前计算机病毒给我们的印象相比，计算机病毒的主动性（主动扫描可以感染的计算机）、独立性（不再依赖宿主文件）更强了。 （二）计算机病毒变形（变种）的速度极快并向混合型、多样化发展“震荡波”大规模爆发不久，它的变形病毒就出现了，并且不断更新，从变种A到变种F的出现，时间不用一个月。在人们忙于扑杀“震荡波”的同时，一个新的计算机病毒应运而生“震荡波杀手”，它会关闭“震荡波”等计算机病毒的进程，但它带来的危害与“震荡波”类似：堵塞网络、耗尽计算机资源、随机倒计时关机和定时对某些服务器进行攻击。在反病毒服务提供商Sophos公布的一份报告中称，今年5月份互联网上出现的各类新的蠕虫病毒种类数量创下30个月以来的新高，共出现了959种新病毒，创下了自2001年12月份以来的新高。这959种新病毒中包括了之前一些老病毒的新变种。计算机病毒向混合型、多样化发展的结果是一些病毒会更精巧，另一些病毒会更复杂，混合多种病毒特征，如红色代码病毒（Code Red）就是综合了文件型、蠕虫型病毒的特性，这种发展趋势会造成反病毒工作更加困难。2004年1月27日，一种新型蠕虫病毒在企业电子邮件系统中传播，导致邮件数量暴增，从而阻塞网络。不同反病毒厂商将其命名为Novarg、Mydoom、SCO炸弹、诺威格、小邮差变种等，该病毒采用的是病毒和垃圾邮件相结合的少见战术，不知情用户的推波助澜使得这种病毒的传播速度似乎比近来其他几种病毒的传播速度要快。 （三）运行方式和传播方式的隐蔽性9月14日，微软安全中心发布了9月漏洞安全公告。其中MS04-028所提及的GDI+漏洞，危害等级被定为“严重”。瑞星安全专家认为，该漏洞涉及GDI+组件，在用户浏览特定JPG图片的时候，会导致缓冲区溢出，进而执行病毒攻击代码。该漏洞可能发生在所有的Windows操作系统上，针对所有基于IE浏览器内核的软件、Office系列软件、微软.NET开发工具，以及微软其它的图形相关软件等等，这将是有史以来威胁用户数量最广的高危漏洞。这类病毒（“图片病毒”）有可能通过以下形式发作：1、群发邮件，附带有病毒的JPG图片文件；2、 采用恶意网页形式，浏览网页中的JPG文件、甚至网页上自带的图片即可被病毒感染；3、通过即时通信软件(如QQ、MSN等)的自带头像等图片或者发送图片文件进行传播。在被计算机病毒感染的计算机中，你可能只看到一些常见的正常进程如svchost、taskmon等，其实它是计算机病毒进程。今年6月初，一部与哈里.波特相关的电影分别在美国和英国开始放映。接着，英国某安全公司就发出警告称,“网络天空”蠕虫病毒正在借助科幻角色哈里.波特而死灰复燃。安全公司指出， Netsky.P蠕虫病毒变种感染的用户大幅度增加，原因是它能够将自己伪装成与哈里波特相关的影片文件、游戏或图书引诱用户下载。“蓝盒子（Worm.Lehs）”、“V宝贝（Win32.Worm.BabyV）”病毒和 “斯文（Worm.Swen）”病毒，都是将自己伪装成微软公司的补丁程序来进行传播的。这些伪装令人防不胜防。你不会不从计算机网络上下载任何东西吧？包括你感兴趣的相关资料、影片、歌曲？至于在主题中使用漂亮的词句吸引你打开电子邮件以便计算机病毒的入侵，已经是很常见的计算机病毒伪装了。此外，一些感染QQ、MSN等即时通讯软件的计算机病毒会给你一个十分吸引的网址，只要你浏览这个网址的网页，计算机病毒就来了。 （四）利用操作系统漏洞传播操作系统是联系计算机用户和计算机系统的桥梁，也是计算机系统的核心，目前应用最为广泛的是WINDOWS系列的操作系统。2003年的“蠕虫王”、“冲击波”和2004年的“震荡波”、前面所提到的“图片病毒”都是利用WINDOWS系统的漏洞，在短短的几天内就对整个互联网造成了巨大的危害。开发操作系统是个复杂的工程，出现漏洞及错误是难免的，任何操作系统就是在修补漏洞和改正错误的过程中逐步趋向成熟和完善。但这些漏洞和错误就给了计算机病毒和黑客一个很好的表演舞台。随着DOS操作系统使用率的减少，感染DOS操作系统的计算机病毒也将退出历史舞台；随着WINDOWS操作系统使用率的增加，针对WINDOWS操作系统的计算机病毒将成为主流。 （五）计算机病毒技术与黑客技术将日益融合因为它们的最终目的是一样的：破坏。严格来说，木马和后门程序并不是计算机病毒，因为它们不能自我复制和扩散。但随着计算机病毒技术与黑客技术的发展，病毒编写者最终将会把这两种技术进行了融合。瑞星全球反病毒监测网率先截获一个可利用QQ控制的木马，并将其命名为“QQ叛徒”(Trojan.QQbot.a)病毒。据介绍，这是全球首个可以通过QQ控制系统的木马病毒，还会造成强制系统重启、被迫下载病毒文件、抓取当前系统屏幕等危害。 2003年11月中旬爆