浅谈计算机病毒

计算机病毒认识与预防作者班级：2006级信计（1）班 作者姓名：毛雪娇 指导教授：郭晓斌 摘要：本文主要介绍了计算机病毒的概念、内涵、类型及其特点以及它的预防措施，列举了一些计算机历史上所出现的重大病毒以及计算机中毒的症状等，这些能够帮助我们全面认识和了解计算机病毒。 关键词：计算机；病毒；防护 Abstract: This paper introduces the concept of computer viruses, content, type and characteristics, as well as its preventive measures, listed a number of computer history major emerging computer viruses and the symptoms of poisoning, which can help us a comprehensive knowledge and understanding of computer virus. Keywords: computer; virus; protection一.计算机病毒的概念 计算机病毒(Computer Virus )在中华人民共和国计算机信息系统安全保护条例中被明确定义为：“指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。计算机病毒最早出现在70年代 David Gerrold 科幻小说 When H.A.R.L.I.E. was One.最早科学定义出现在 1983:在Fred Cohen (南加大) 的博士论文 “计算机病毒实验”“一种能把自己(或经演变)注入其它程序的计算机程序”启动区病毒,宏(macro)病毒,脚本(script)病毒也是相同概念传播机制同生物病毒类似.生物病毒是把自己注入细胞之中。自80年代莫里斯编制的第个“蠕虫”病毒程序至今，世界上已出现了多种不同类型的病毒。从最原始的单机磁盘病毒到现在逐步进入人们视野的手机病毒，计算机病毒主要经历了六个重要的发展阶段： 第一阶段为原始病毒阶段。产生年限一般认为在1986-1989年之间，由于当时计算机的应用软件少，而且大多是单机运行，因此病毒没有大量流行，种类也很有限，病毒的清除工作相对来说较容易。主要特点是：攻击目标较单一；主要通过截获系统中断向量的方式监视系统的运行状态，并在一定的条件下对目标进行传染；病毒程序不具有自我保护的措施，容易被人们分析和解剖。 第二阶段为混合型病毒阶段。其产生的年限在19891991年之间，是计算机病毒由简单发展到复杂的阶段。计算机局域网开始应用与普及，给计算机病毒带来了第一次流行高峰。这一阶段病毒的主要特点为：攻击目标趋于混合；采取更为隐蔽的方法驻留内存和传染目标；病毒传染目标后没有明显的特征；病毒程序往往采取了自我保护措施；出现许多病毒的变种等。 第三阶段为多态性病毒阶段。此类病毒的主要特点是，在每次传染目标时，放入宿主程序中的病毒程序大部分都是可变的。因此防病毒软件查杀非常困难。如1994年在国内出现的“幽灵”病毒就属于这种类型。这一阶段病毒技术开始向多维化方向发展。 第四阶段为网络病毒阶段。从上世纪90年代中后期开始，随着国际互联网的发展壮大，依赖互联网络传播的邮件病毒和宏病毒等大量涌现，病毒传播快、隐蔽性强、破坏性大。也就是从这一阶段开始，反病毒产业开始萌芽并逐步形成一个规模宏大的新兴产业。 第五阶段为主动攻击型病毒。典型代表为2003年出现的“冲击波”病毒和2004年流行的“震荡波”病毒。这些病毒利用操作系统的漏洞进行进攻型的扩散，并不需要任何媒介或操作，用户只要接入互联网络就有可能被感染。正因为如此，该病毒的危害性更大。 第六阶段为“手机病毒”阶段。随着移动通讯网络的发展以及移动终端手机功能的不断强大，计算机病毒开始从传统的互联网络走进移动通讯网络世界。与互联网用户相比，手机用户覆盖面更广、数量更多，因而高性能的手机病毒一旦爆发，其危害和影响比“冲击波”“震荡波”等互联网病毒还要大。 计算机病毒的危害性，计算机资源的损失和破坏，不但会造成资源和财富的巨大浪费，而且有可能造成社会性的灾难，随着信息化社会的发展，计算机病毒的威胁日益严重，反病毒的任务也更加艰巨了。1988年11月2日下午5时1分59秒，美国康奈尔大学的计算机科学系研究生，23岁的莫里斯（Morris）将其编写的蠕虫程序输入计算机网络，致使这个拥有数万台计算机的网络被堵塞。这件事就像是计算机界的一次大地震，引起了巨大反响，震惊全世界，引起了人们对计算机病毒的恐慌，也使更多的计算机专家重视和致力于计算机病毒研究。1988年下半年，我国在统计局系统首次发现了“小球”病毒，它对统计系统影响极大，此后由计算机病毒发作而引起的“病毒事件”接连不断，前一段时间发现的CIH、美丽莎等病毒更是给社会造成了很大损失。二.计算机历史上所出现的重大病毒1 Elk Cloner（1982年）它被看作攻击个人计算机的第一款全球病毒，也是所有令人头痛的安全问题先驱者。它通过苹果Apple II软盘进行传播。这个病毒被放在一个游戏磁盘上，可以被使用49次。在第50次使用的时候，它并不运行游戏，取而代之的是打开一个空白屏幕，并显示一首短诗。2Brain（1986年）Brain是第一款攻击运行微软的受欢迎的操作系统DOS的病毒，可以感染感染360K软盘的病毒，该病毒会填充满软盘上未用的空间，而导致它不能再被使用。3Morris（1988年）Morris该病毒程序利用了系统存在的弱点进行入侵，Morris设计的最初的目的并不是搞破坏，而是用来测量网络的大小。但是，由于程序的循环没有处理好，计算机会不停地执行、复制Morris，最终导致死机。4CIH（1998）CIH病毒是迄今为止破坏性最严重的病毒，也是世界上首例破坏硬件的病毒。它发作时不仅破坏硬盘的引导区和分区表，而且破坏计算机系统BIOS，导致主板损坏。 此病毒是由台湾大学生陈盈豪研制的，据说他研制此病毒的目的是纪念1986年的灾难或是让反病毒软件难堪。5Melissa（1999年）Melissa是最早通过电子邮件传播的病毒之一，当用户打开一封电子邮件的附件，病毒会自动发送到用户通讯簿中的前50个地址，因此这个病毒在数小时之内传遍全球。6Love bug（2000年）Love bug也通过电子邮件附近传播，它利用了人类的本性，把自己伪装成一封求爱信来欺骗收件人打开。这个病毒以其传播速度和范围让安全专家吃惊。在数小时之内，这个小小的计算机程序征服了全世界范围之内的计算机系统。7“红色代码”（2001年）被认为是史上最昂贵的计算机病毒之一，这个自我复制的恶意代码“红色代码”利用了微软IIS服务器中的一个漏洞。该蠕虫病毒具有一个更恶毒的版本，被称作红色代码II。这两个病毒都除了可以对网站进行修改外，被感染的系统性能还会严重下降。8“冲击波”（2003年）冲击波病毒的英文名称是Blaster，还被叫做Lovsan或Lovesan，它利用了微软软件中的一个缺陷，对系统端口进行疯狂攻击，可以导致系统崩溃。9“震荡波”（2004年）震荡波是又一个利用Windows缺陷的蠕虫病毒，震荡波可以导致计算机崩溃并不断重起。10“熊猫烧香”（2007年）熊猫烧香会使所有程序图标变成熊猫烧香，并使它们不能应用。11“扫荡波”(2008年)同冲击波和震荡波一样，也是个利用漏洞从网络入侵的程序。而且正好在黑屏事件，大批用户关闭自动更新以后，这更加剧了这个病毒的蔓延。这个病毒可以导致被攻击者的机器被完全控制。12“母马下载器”(2009年)本年度的新病毒,中毒后会产生10002000不等的木马病毒,导致系统崩溃,短短3天变成360安全卫士首杀榜前3名(现在位居榜首) 自从1987年发现了全世界首例计算机病毒以来，病毒的数量早已超过1万种以上，并且还在以每年两千种新病毒的速度递增，不断困扰着涉及计算机领域的各个行业。计算机病毒的危害及造成的损失是众所周知的，发明计算机病毒的人同样也受到社会和公众舆论的谴责。也许有人会问：“计算机病毒是哪位先生发明的?”这个问题至今无法说清楚，但是有一点可以肯定，即计算机病毒的发源地是科学最发达的美国。 虽然全世界的计算机专家们站在不同立场或不同角度分析了病毒的起因，但也没有能够对此作出最后的定论，只能推测电脑病毒缘于以下几种原因：一、科幻小说的启发；二、恶作剧的产物；三、电脑游戏的产物；四、软件产权保护的结果.三.用户计算机中毒的24种症状1.计算机系统运行速度减慢。2.计算机系统经常无故发生死机。3.计算机系统中的文件长度发生变化。4.计算机存储的容量异常减少。5.系统引导速度减慢。6.丢失文件或文件损坏。7.计算机屏幕上出现异常显示。8.计算机系统的蜂鸣器出现异常声响。9.磁盘卷标发生变化。10.系统不识别硬盘。11.对存储系统异常访问。12.键盘输入异常。13.文件的日期、时间、属性等发生变化。14.文件无法正确读取、复制或打开。15.命令执行出现错误。16.虚假报警。4. 计算机病毒的特点：（1） 寄生性 计算机病毒寄生在其他程序之中，当执行这个程序时，病毒就起破坏作用，而在未启动这个程序之前，它是不易被人发觉的。（2） 传染性 计算机病毒不但本身具有破坏性，更有害的是具有传染性，一旦病毒被复制或产生变种，其速度之快令人难以预防。可通过软盘、有线和无线网络、硬件设备等多渠道自动侵入计算机中，并不断蔓延。（3） 潜伏性 有些病毒像定时炸弹一样，让它什么时间发作是预先设计好的。比如黑色星期五病毒，不到预定时间一点都觉察不出来，等到条件具备的时候一下子就爆炸开来，对系统进行破坏。（4） 隐蔽性 计算机病毒具有很强的隐蔽性，有的可以通过病毒软件检查出来，有的根本就查不出来，有的时隐时现、变化无常，这类病毒处理起来通常很困难。(5)破坏力大。计算机病毒一旦发作，轻则干扰系统的正常运行，重则破坏磁盘数据、删除文件，导致整个汁算机系统的瘫痪。（6）计算机病毒的可触发性 病毒因某个事件或数值的出现，诱使病毒实施感染或进行攻击的特性称为可触发性。五.计算机病毒的传染途径（1）通过软盘：通过使用外界被感染的软盘, 例如, 不同渠道来的系统盘、来历不明的软件、游戏盘等是最普遍的传染途径。由于使用带有病毒的软盘, 使机器感染病毒发病, 并传染给未被感染的“干净”的软盘。大量的软盘交换, 合法或非法的程序拷贝, 不加控制地随便在机器上使用各种软件造成了病毒感染、泛滥蔓延的温床。（2）通过硬盘：通过硬盘传染也是重要的渠道, 由于带有病毒机器移到其它地方使用、维修等, 将干净的软盘传染并再扩散。（3）通过光盘：因为光盘容量大，存储了海量的可执行文件，大量的病毒就有可能藏身于光盘，对只读式光盘，不能进行写操作，因此光盘上的病毒不能清除。以谋利为目的非法盗版软件的制作过程中，不可能为病毒防护担负专门责任，也决不会有真正可靠可行的技术保障避免病毒的传入、传染、流行和扩散。当前，盗版光盘的泛滥给病毒的传播带来了很大的便利。（4）通过网络：这种传染扩散极快, 能在很短时间内传遍网络上的机器。随着Internet的风靡，给病毒的传播又增加了新的途径，它的发展使病毒可能成为灾难，病毒的传播更迅速，反病毒的任务更加艰巨。Internet带来两种不同的安全威胁，一种威胁来自文件下载，这些被浏览的或是被下载的文件可能存在病毒。另一种威胁来自电子邮件。大多数Internet邮件系统提供了在网络间传送附带格式化文档邮件的功能，因此，遭受病毒的文档或文件就可能通过网关和邮件服务器涌入企业网络。网络使用的简易性和开放性使得这种威胁越来越严重。六.计算机病毒传染的一般过程在系统运行时, 病毒通过病毒载体即系统的外存储器进入系统的内存储器, 常驻内存。该病毒在系统内存中监视系统的运行, 当它发现有攻击的目标存在并满足条件时, 便从内存中将自身存入被攻击的目标, 从而将病毒进行传播。而病毒利用系统INT 13H读写磁盘的中断又将其写入系统的外存储器软盘或硬盘中, 再感染其他系统。七.计算机病毒的技术分析 实施计算机病毒人侵的核心技术是解决病毒的有效注入。其攻击目标是对方的各种系统，以及从计算机主机到各式各样的传感器、网桥等，以使他们的计算机在关键时刻受到诱骗或崩溃，无法发挥作用。从国外技术研究现状来看，病毒注人方法主要有以下几种：1.无线电方式。发射到对方电子系统中。此方式是计算机病毒注人的最佳方式，同时技术难度也最大。 可能的途径有：a直接向对方电子系统的无线电接收器或设备发射，使接收器对其进行处理并把病毒传染到目标机E。b冒充合法无线传输数据。根据得到的或使用标准的无线电传输协议和数据格式，发射病毒码，使之能够混在合法传输信号中，进人接收器c.寻找对方信息系统保护最差的地方进行病毒注放。通过对方未保护的数据硅路，将病毒传染到被的铸路或目标中。2“固化”式方法。即把病毒事先存放在硬件(如芯片)和软件中，然后把此硬件和软件直接或间接交付给对方，使病毒直接传染给对方电子系统。3.后门攻击方式。后门，是计算机安全系统中的个小洞，由软件设计师或维护人发明，允许知道其存在的人绕过正常安全防护措施进入系统。攻击后门的形式有许多种，如控制电磁脉冲可将病毒注入目标系统。4.数据控制链侵入方式。随着因特网技术的广泛应用，使计算机病毒通过计算机系统的数据控制链侵入成为可能。使用远程修改技术，可以很容易地改变数据控制链的正常路径。除上述方式外，还可通过其他多种方式注入病毒。八.计算机病毒的主要防护工作1.杀毒软件经常更新,以快速检测到可能入侵计算机的新病毒或者变种。2.使用安全监视软件（和杀毒软件不同比如360安全卫士，瑞星卡卡）主要防止浏览器被异常修改，插入钩子，安装不安全恶意的插件。3.使用防火墙或者杀毒软件自带防火墙。4,关闭电脑自动播放（网上有）并对电脑和移动储存工具进行常见病毒免疫。5.定时全盘病毒木马扫描。 6.检查BIOS设置，将引导次序改为硬盘先启动(C：A：)。7.关闭BIOS中的软件升级支持，如果是底板上有跳线的，应该将跳线跳接到不允许更新BIOS。8.用DOS平台防杀计算机病毒软件检查系统，确保没有计算机病毒存在。9.安装较新的正式版本的防杀计算机病毒软件，并经常升级。10.经常更新计算机病毒特征代码库。3.6备份系统中重要的数据和文件。11.在Word中将“宏病毒防护”选项打开，并打开“提示保存Normal模板”，退出Word，然后将Norma1dot文件的属性改成只读。3.8在Excel和PowerPoint中将“宏病毒防护”选项打开。12.若要使用OutlookOutlook express收发电子函件，应关闭信件预览功能。13.在IE或Netscape等浏览器中设置合适的因特网安全级别，防范