电子阅览室电脑病毒的分析与防范

1、来源: 摘要根据实践，对图书馆电子阅览室病毒状况进行了分析，同时提出了相应的防范对策。关键词 电子阅览室 病毒分析 防范近几年来，网络日益普及，在大学图书馆中网络文献资源所占比例已日渐增大。电子阅览室以其公开化，便捷性，实时的特点日益受到广大读者的欢迎。同时电脑病毒的发展十分迅猛，已经成为机房安全的重大威胁。如何防范电脑病毒成为图书馆工作人员的一项重要工作。本文以复旦大学医科图书馆电子阅览室为例进行分析讨论。1 电脑病毒在电子阅览室中的传播途径1.1 电子阅览室电脑分区及功能划分复旦大学医科图书馆电予阅览室共有150余台电脑，分成三个区域，分别为通用上网区A，通用上网区B以及教学上课区c，通用

2、上网区域提供满足上网浏览和电子文件查询的需求，教学上课区域提供了部分院系有关课程的教学软件系统。三个区域按IP地址及网段进行划分，安装相同的操作系统和不同的软件，两种类型的硬件保护卡。1.2 病毒暴发传播的途径从2008年4月到2009年4月，电子阅览室共发生了6次电脑病毒局部感染事件。经分析，5次是由于读者携带感染病毒的U盘扩散传播，一次由于读者上网时感染木马病毒而传播。可见，U盘已经成为电子阅览室电脑病毒传播的主要方式。2 硬盘保护卡在电子阅览室中的应用2.1 硬盘保护卡的原理高校电脑机房或电子阅览室九成以上都用硬盘保护卡以加强系统的保护。硬盘保护卡主要功能就是还原硬盘上保存的数据，每一次

3、开机后，硬盘保护卡就让硬盘部分或全部分区能恢复先前的内容。换句话说，任何对硬盘受保护分区的修改都无效，这就起到保护硬盘数据的目的。保护卡之所以能实现系统还原，是因为通过在文件系统和磁盘驱动之间嵌入一层磁盘过滤驱动来实现。平时对操作系统的操作以及应用程序的访问必须先经过磁盘过滤，然后对磁盘进行映射的读写，使所有的磁盘读写都映射到缓冲区，从而保护数据不会被真正改写。简而言之，就象在原有系统中加载了一个虚拟的系统，所有的操作都在虚拟机中运行，所以操作均不影响原有系统。电脑启动一般分以下几个步骤：开机，进行硬件自检，加载硬件设备，检测即插即用设备，加载设备驱动，执行系统文件，进入系统。保护卡在加载硬件

4、设备时就接管了系统。2.2 硬盘保护卡存在的问题保护卡相当于电脑的第一道防护盾，而病毒就象尖锐的利矛，两者的竞争从来就没停止过。自从出现了机器狗病毒及相关变种后，平衡就被打破了。机器狗病毒穿透原理是采用磁盘驱动加载，并直接写硬盘的绝对偏移量的方式。一旦文件受到感染之后，病毒会恢复保护卡的保护机制，当然、此时，病毒也将作为受保护对象被保护卡保护起来。2.3 解决保护卡的缺陷由于保护卡对磁盘过滤驱动的保护不够，只有采取频繁升级保护卡补丁，但由于病毒突变性越来越快，补丁的升级始终落后于变种出现的速度，这就需要机房维护人员经常关注相关病毒消息，并及时升级相关补丁。既然保护卡有其局限性，就必须加强其他防

5、护病毒措施，我馆采用的是设置一台专用的查杀病毒电脑，要求读者每次上机前先对U盘进行扫描杀毒。3 电脑病毒分类以及病毒类型分析3.1 电脑病毒的分类电脑病毒可按寄生方式和传染方式分类。按寄生方式分类，可分为三种类型病毒。一是引导型病毒，所谓引导型病毒就是会感染引导扇区的内容或感染硬盘上的分区表。该病毒一旦感染系统，将采取的是偷梁换柱的方式。在占领引导分区并取得控制权后将真正引导区的内容替换或转移，待病毒程序执行后，将由控制权移交给真正的引导区，使带有病毒的系统似乎正常运行，其实病毒已隐藏在系统中。引导型病毒通常驻留在内存中并伺机发作。第二个是文件型病毒，文件型病毒就是感染后缀名为EXE，COM，

6、BAT等可执行程序为主。它的运行需要借助上述后缀名的文件，当被感染的病毒文件执行后，会发生文件执行速度明显减缓，甚至无法执行。同时病毒会趁机再对下一个可执行的文件进行感染，并会按照宿主状况自行编写代码，并扩大感染。大多数的文件型病毒都会把它们自己的代码复制到其宿主的开头或结尾处。第三种是混合型病毒，它结合了引导型和文件型病毒的特点，通过两种方式感染电脑，大大增加了病毒的传染性以及存活率，只要主机感染病毒，一打开主机就会自动执行病毒程序，并自动扩散传播。3.2 杀毒软件日志统计为了应对日益猖獗的病毒对电脑的攻击，必须了解经常接触阅览室电脑的读者群使用U盘的基本状况，及时对公用查毒电脑的日志进行分

7、析。公用查病毒电脑为WINDOWS XP操作系统第三版。查找病毒的软件为卡巴斯基6.0工作站版，病毒查杀记录为O8年6月15日到09年4月15日。有的文件基础上添加以EXE为结尾的文件以迷惑用户，使用户错误执行后以感染移动设备。同时自动复制型的蠕虫和木马也分别占三分之一和十分之一。值得注意的是自动执行病毒已在移动设备的病毒比例中占有四分之一。特别是以蠕虫方式的自动执行病毒十分猖狂，以其隐蔽性及暴发性，经常会造成阅览室大批电脑网络及系统瘫痪。木马下载器在所有病毒中所占比例很小，但危害性十分严重，该种类型的木马不仅会中止系统的相关安全设置，还具有自我保护和疯狂下载其他木马的行为。在实际工作中，电子

8、阅览室曾经暴发Worm.Win32.AutoRun.dcw病毒，该病毒症状为会感染移动设备，把其上的文件夹设为系统、隐藏属性，同时生成与原文件夹同名的EXE文件，这些EXE文件显示的却是文件夹图标，目的是误导用户点击运行病毒文件，生成带毒的ms文件，生成autorun.ilf文件且指向msdos.coin，添加globa1.exe、system.exe等进程，并进一步感染keyboard.exe，导致输入法无法使用。最后只有通过下载专用杀除工具才能解除危害。4 电子阅览室应对电脑病毒的对策4.1 加强更新与维护的频率。系统安全的保护系统安全是个广泛的概念，通常情况下，包括以下几个部分（1）电脑

9、开机后COMOS密码的设置；（2）硬件保护卡密码的设置；（3）操作系统用户名及密码的设定；（3）系统服务的开启关闭；（4）软件安装的选择；（5）共享打印权限的设置。密码的设置应尽量繁琐，字母数字符号混合为优，密码不要重复。而操作系统的用户名尽量避免和管理员同名，起其他用户名，并停止不必要的用户名。系统服务以实际安装软件为参考，停用不需要的服务。软件安装以正式版为优，不要安装绿色版，简化版之类。如无特殊需求不推荐设置共享目录并关闭系统默认的共享目录，对打印设置，严格区分权限。4.1.2 系统升级和维护操作系统的升级维护是个逐步完善的过程，所以系统补丁推出有突然性、累计性的特点。而且系统补丁常常是

10、漏洞暴露后才匆匆推出，所以有个延迟的过程。电脑病毒防火墙的升级也是如此。面对上述问题，需要电子阅览室工作人员及时了解业界的动态，关心各大安全网站或官方公告，只有做到心中有底，才不至于维护时慌乱手脚。正是由于系统补丁有延迟性，而且现在利用漏洞推出攻击已十分快捷，因此常常在补丁公布当天就有针对补丁的病毒发布。所以要求在当天或隔天就更新相关的系统补丁，以确保系统的安全性。针对防火墙病毒库的更新也应设置为自动更新，以便及时有效地更新安全防线。保护卡功能虽然十分强大，但有其局限性，针对一些特殊攻击已无能为力，这就需要采取专门设立查杀病毒的电脑针对U盘病毒进行过滤。而且维护人员需经常了解系统的运行状态，发

11、现有异常情况时，及时分析，迅速解决，以避免病毒的扩散传播。4.2 普及电脑病毒的防范知识在现实中常常有读者对病毒危害以及防护的基本知识知道甚少，我们图书馆采取的是两步走的方式，逐步引导读者了解相关问题。第一：管理人员在遇到相关读者时主动解释病毒的相关知识，并在杀毒电脑前指导读者如何查杀病毒，及时普及防范病毒的基本知识。第二：平时在图书馆的读者培训中，加入有关计算机病毒防治的基本内容，提高读者防范电脑病毒的能力。4.3 加强管理电子阅览室的管理中，病毒占的比例越来越大，因此，工作人员应当在发现病毒、防范病毒、宣传防范知识等方面要投入更多的精力和注意力，加强管理。工作人员平时更要加强学习和研究，提高业务水平以备不时之需。参考文献1 佘军。硬盘保护卡在高校图书馆中的应用。科技资讯，2008（2O）：2562 杨志成。电子阅览室计算机病毒的防治。农业图书情报学刊，2004（11）1971983 王