第6章-计算机病毒、木马和间谍软件与防治2

第6章计算机病毒、木马

和间谍软件与防治网络安全6.1计算机病毒概述6.1.1计算机病毒的概念

计算机病毒（virus）的传统定义是指人为编制或在计算机程序中插入的破坏计算机功能或者毁坏数据、影响计算机使用、并能自我复制的一组计算机指令或者程序代码。网络安全6.1.2计算机病毒的特征1．非授权可执行性

2．隐蔽性3．传染性4．潜伏性5．破坏性6．可触发性网络安全6.1.3计算机病毒的分类1．文件传染源病毒2．引导扇区病毒3．主引导记录病毒4．复合型病毒5．宏病毒网络安全6.1.4病毒、蠕虫和木马1．病毒的特点

计算机病毒是编写的一段程序，它可以在未经用户许可，甚至在用户不知情的情况下改变计算机的运行方式。病毒必须满足两个条件：必须能自行执行。必须能自我复制。与蠕虫相比，病毒可破坏计算机硬件、软件和数据。网络安全2．蠕虫的特点

蠕虫属于计算机病毒的子类，所以也称为“蠕虫病毒”。通常，蠕虫的传播无需人为干预，并可通过网络进行自我复制，在复制过程中可能有改动。与病毒相比，蠕虫可消耗内存或网络带宽，并导致计算机停止响应。与病毒类似，蠕虫也在计算机与计算机之间自我复制，但蠕虫可自动完成复制过程，因为它接管了计算机中传输文件或信息的功能。网络安全3．木马的特点

木马与病毒的重大区别是木马并不像病毒那样复制自身。木马包含能够在触发时导致数据丢失甚至被窃的恶意代码。要使木马传播，必须在计算机上有效地启用这些程序，例如打开电子邮件附件等。目前，木马主要通过两种途径进行传播：电子邮件和文件下载。

网络安全6.1.5计算机病毒的演变过程

1986年，媒体报道了攻击MicrosoftMS-DOS个人计算机的第一批病毒，人们普遍认为Brain病毒是这些计算机病毒中的第一种病毒。

1988年出现了第一个通过Internet传播的蠕虫病毒MorrisWorm，它曾导致Internet的通信速度大大地降低。网络安全

从1990年开始，Internet的应用为计算机病毒编写者提供了一个可实现快速交流的平台，一些典型的计算机病毒使是大量病毒编写者“集体智慧的结晶”。同年，开发出了第一个多态病毒（通常称为Chameleon或Casper）。接着在1992年，出现了第一个多态病毒引擎和病毒编写工具包。从此开始，病毒就变得越来越复杂。网络安全6.2蠕虫的清除和防治方法6.2.1蠕虫的特征

蠕虫（Worm）是通过分布式网络来扩散特定的信息，进而造成正常的网络服务遭到拒绝并发生死锁的程序。在计算机网络环境中，蠕虫具有一些新的特性：1．传播速度快2．清除难度大3．破坏性强网络安全6.2.2蠕虫的分类和主要感染对象

1．蠕虫的分类

根据蠕虫对系统进行破坏的过程，可以将蠕虫分为2类：利用系统漏洞进行攻击通过电子邮件及恶意网页的形式进行2．蠕虫的感染对象

蠕虫一般不依赖于某一个文件，而是通过IP网络进行自身复制。

网络安全6.2.3系统感染蠕虫后的表现

当蠕虫感染计算机系统后，表现为：系统运行速度和上网速度均变慢，如果网络中有防火墙，防火墙会产生报警，等等。1．利用系统漏洞进行破坏的蠕虫此类蠕虫主要有红色代码、尼姆达、求职信等，它们利用Windows操作系统中IE浏览器的漏洞（IframeExeccomand），当通过Web方式接收邮件时，使得感染了“尼姆达”病毒的邮件，即使用户不打开它的附件，该类病毒也能够被激活，进而对系统进行破坏。网络安全

如2003年8月11日开始出现的冲击波病毒（如图6-1所示）和2004年5月1日出现的“震荡波（Worm.Sasser）”病毒（如图6-2所示）都属于蠕虫。

图6-1Windows操作系统感染冲击波后显示的关机界面图6-2Windows操作系统感染震荡波后显示的关机界面网络安全2．通过网页进行触发的蠕虫

蠕虫的编写技术与传统的病毒有所不同，许多蠕虫是利用当前最新的编程语言与编程技术来编写的，而且同一蠕虫程序易于修改，从而产生新的变种，以逃避反病毒软件的搜索。现在大量的蠕虫用Java、ActiveX、VBScript等技术，多潜伏在HTML页面文件里，当打开相应的网页时则自动触发。3．蠕虫与黑客技术相结合

现在的许多蠕虫不仅仅是单独对系统破坏，而是与黑客技术相结合，为黑客入侵提供必要的条件。网络安全6.2.4实验操作--蠕虫的防治方法

1．更新系统补丁

WindowsUpdate分为在线更新和自动更新两种方法。在线更新方式如图6-3所示。图6-3WindowsUpdate更新列表网络安全

除自动更新之外，系统还提供了“下载更新”和“下载通知”两个功能。如图6-4所示，如果选择了“下载更新，但是由我来决定什么时间来安装”一项，系统会随时到WindowsUpdate网站下载被丁程序，之后会提示用户是否要安装该补丁程序；当选择了“有可用下载时通知我，但是不要自动下载或安装更新”一项时，如果WindowsUpdate网站有新的补丁发布，系统会提示用户来下载并安装该补丁程序，如图6-5所示。用户可以选择“快速安装”来安装所有的补丁程序，也可以选择“自定义安装”来选择安装部分补丁程序。网络安全

图6-4windowsupdate的自动更新配置对话框图6-5“下载通知”操作对话框网络安全2．加强对系统账户名称及密码的管理

现在的一些蠕虫已经具备了黑客程序的一些功能，有些蠕虫会通过暴力破解的方法来获得系统管理员的账户名称和密码，从而以系统管理员人身份来入侵系统，并对其进行破坏。为此，我们必须加强对系统管理员账户及密码的管理。

3．取消共享连接

文件和文件夹共享及IPC（InternetProcessConnection）连接是蠕虫常使用的入侵途径。所以，为了防止蠕虫入侵，建议关闭不需要的共享文件或文件夹以及IPC。网络安全6.3脚本病毒的清除和防治方法

脚本（Script）是使用一种特定的描述性语言，依据一定的格式编写的可执行文件，又称作宏或批处理文件。脚本通常可以由应用程序临时调用并执行。因为脚本不仅可以减小网页的规模和提高网页浏览速度，而且可以丰富网页的表现（如动画、声音等），所以各类脚本目前被广泛地应用于网页设计中。也正因为脚本的这些特点，所以往往被一些别有用心的人所利用。网络安全6.3.1脚本的特征

脚本语言能够嵌入到HTML文件中，同时具有解释执行功能。根据脚本语言的工作原理，可以将其分为两大类：服务器端脚本和客户端脚本。其中：服务器端脚本。是指由Web服务器负责解释执行的脚本，客户端的浏览器只需要显示服务器端的执行结果。ASP、PHP和JSP是常用的服务器端脚本语言。客户端脚本。是指由浏览器负责解释执行的脚本。常见的客户端脚本语言有VisualBasicScript（简称为VBS）语言和JavaScript（简称为JS）语言。网络安全6.3.2脚本病毒的特征

总的来说，脚本病毒具有以下的特点

编写简单。

破坏力大。

感染力强。病毒源代码容易被获取，且变种较多。欺骗性强。网络安全6.3.3实验操作--脚本病毒的防治方法网络安全6.4木马的清除和防治方法

特洛伊木马（简称为“木马”，英文为trojan）由于不感染其他的文件，也不破坏计算机系统，同时也不进行自我的复制，所以木马不具有传统计算机病毒的特征。由于目前市面上的杀病毒软件一般都直接支持对木马的查杀，所以大家习惯于将木马称为“木马病毒”。木马主要用来作为远程控制、窃取密码的工具，它是一个具有内外连接功能的后门程序。网络安全6.4.1木马的特征

一般的木马程序包括客户端和服务器端两个程序，其中客户端用于攻击者远程控制植入木马的计算机（即服务器端），而服务器端即是植入木马程序的远程计算机。当木马程序或带有木马的其他程序执行后，木马首先会在系统中潜伏下来，并修改系统的配置参数，每次启动系统时都能够实现木马程序的自动加载。网络安全

如图6-22所示，运行木马的客户端和服务器端在工作方式上属于客户机/服务器模式（Client/Server，C/S），其中，客户端在本地主机执行，用来控制服务器端。而服务器端则在远程主机上执行，一旦执行成功该主机就中了木马，就可以成为一台服务器，可以被控制者进行远程管理。

图6-22木马的系统组成网络安全

木马通常采取如图6-23所示的方式实施攻击：配置木马（伪装木马）→传播木马（通过文件下载或电子邮件等方式）→运行木马（自动安装并运行）→信息泄露→建立连接→远程控制。网络安全图6-23木马的运行过程网络安全6.4.2木马的隐藏方式1．在“任务栏”里隐藏

这是木马最常采用的隐藏方式。为此，如果用户在Windows的“任务栏”里发现莫名其妙的图标，应怀疑可能是木马程序在运行。但现在的许多木马程序已实现了在任务栏中的隐藏，当木马运行时已不会在任务栏中显示其程序图标。2．在“任务管理器”里隐藏

在任务栏的空白位置单击鼠标右键，在出现的快捷菜单中选择“任务管理器”，打开其“进程”列表，就可以查看正在运行的进程。网络安全3．隐藏通信方式

隐藏通信也是木马经常采用的手段之一。这种连接一般有直接连接和间接连接两种方式，其中“直接连接”是指攻击者通过客户端直接接人植有木马的主机（服务器端）；而“间接连接”即是如通过电子邮件、文件下载等方式，木马把侵入主机的敏感信息送给攻击者。

4．隐藏加载方式

木马在植入主机后如果不采取一定的方式运行也就等于在用户的计算机上拷入了一个无用的文件，为此在木马值入主机后需要司机运行。网络安全5．通过修改系统配置文件来隐藏

木马可以通过修改VXD（虚拟设备驱动程序）或DLL（动态链接库）文件来加载木马。6．具有多重备份功能

现在许多木马程序已实现了模块化，其中一些功能模块已不再由单一的文件组成，而是具有多重备份，可以相互恢复。当用户删除了其中的一个模块文件时，其他的备份文件就会立即运行。这类木马很难防治。网络安全6.4.3木马的种类1．远程控制型木马

远程控制型木马一般集成了其他木马和远程控制软件的功能，实现对远程主机的入侵和控制，包括访问系统的文件，截取主机用户的私人信息（包括系统帐号、银行账号等）。

2．密码发送型木马

密码发送型木马是专门为了窃取别人计算机上的密码而编写的，木马一旦被执行，就会自动搜索内存、Cache、临时文件夹以及其他各种包含有密码的文件。网络安全3．键盘记录型木马

键盘记录型木马的设计目的主要是用于记录用户的键盘敲击，并且在日志文件（log文件）中查找密码。该类木马分别记录用户在线和离线状态下敲击键盘时的按键信息。4．破坏型木马

破坏型木马的功能比较单一，即破坏已植入木马的计算机上的文件系统，轻则使重要数据被删除，重则使系统崩溃。网络安全5．DoS攻击型木马

随着DoS（DenialofService，拒绝服务）和DDoS（DistributedDenialofService，分布式拒绝服务）攻击越来越广泛的应用，与之相伴的DoS攻击型木马也越来越流行。当黑客入侵了一台主机并植入了DoS攻击型木马，那么这台主机就成为黑客进行DoS攻击的最得力助手。黑客控制的主机越多，发起的DoS攻击也就越具有破坏性。6．代理型木马

代理型木马被植入主机后，像DoS攻击型木马一样，该主机本身不会遭到破坏。网络安全7．FTP木马

FTP木马使用了网上广泛使用的FTP功能，通过FTP使用的TCP21端口来实现主机之间的连接。现在新型的FTP木马还加上了密码功能，这样只有攻击者本人才知道正确的密码，从而进入对方的计算机。8．程序杀手木马

程序杀手木马的功能就是关闭对方计算机上运行的某些程序（多为专门的防病毒或防木马程序），让其他的木马安全进入，实现对主机的攻击。网络安全9．反弹端口型木马反弹端口型木马主要是针对防火墙而设计的。反弹端口型木马的服务端使用主动端口，客户端使用被动端口。木马定时监测控制端的存在，发现控制端可以连接后便立即弹出端口来主动连接控制端打开的主动端口。多数反弹端口型木马被动端口设置为80端口以避开用户使用端口扫描软件发现木马的存在。网络安全6.4.4系统中值入木马后的症状1．随意弹出窗口虽然用户的计算机已经连接在网上，但即没有打开任何的浏览器。这时，如果系统突然会弹出一个上网窗口，并打开某一个网站，这时有可能运行了木马。

2．系统配置参数发生改变有的时候，用户使用的Windows操作系统的配置参数（如屏幕保护、时间和日期显示、声音控制、鼠标的形状及灵敏度、CD-ROM的自动运行程序等）莫名其妙地被自动更改。网络安全3．频繁地读写硬盘在计算机上并未进行任何操作时，如果系统频繁地读写硬盘（硬盘指示灯会不停地闪烁），有时软盘驱动器也会经常自己读盘，这时可能有木马在运行。网络安全6.4.5木马的自运行方式1．在win.ini中启动

Windows操作系统的win.ini文件，其中[windows]字段中有“load=”和“run=”两个启动命令，系统默认情况下这两条后面是空白的。2．在system.ini中启动

在Windows的安装目录下有一个系统配置文件system.ini，在[386Enh]字段下的“driver=路径\程序名”一般是木马经常加载的地方。再有，在system.ini中的[mic]、[drivers]、[drivers32]这3个字段主要是Windows操作系统来加载驱动程序，这也为添加木马程序提供了良好的场所。网络安全3．在autoexec.bat和config.sys中启动

在硬盘的第一个引导分区（一般为C：分区）下存放着autoexec.bat和config.sys两个系统批处理和配置文件，这两个文件也是木马经常实现自运行的地方。4．在Windows启动组中启动

如果用户要在Windows操作系统启动时自动启动某一个程序，就可以将其添加到“开始→程序→启动”组中，所以Windows的启动组也成为木马经常选择的驻留之地。

网络安全5．修改文件关联木马本身无法方便地实现自启动，就需要借助其他合法程序来完成，将这一过程称为文件关联。6．捆绑文件当控制端和服务端已通过木马建立了连接后，控制端通过工具软件将木马文件和某一应用程序捆绑在一起后上传到服务端，并覆盖服务端的同名文件，这样当已运行的木马被发现并删除后，只要运行了捆绑有木马的应用程序，木马就会再次运行。网络安全6.4.6实验操作--木马的防治方法1．防止以电子邮件方式植入木马

木马在电子邮件中的位置一般有两种：附件和正文。早期的电子邮件正文多使用文本，很显然在文本中是无法隐藏木马程序的，所以木马只能藏匿在电子邮件的附件中，而且还采取双后缀名方式。为预防这类木马，建议用户不要随意打开来路不名的电子邮件的附件。如果确实要打开不确定来历的电子邮件附件时，建议先将其下载到指定的文件夹中，用杀病毒软件查杀病毒并用专用查杀木马工具扫描后再打开。网络安全

2．防止在下载文件时植入木马为了防止通过在网上下载文件时植入木马，建议服务器上安装的所有软件不要使用从网上下载的，对于客户机上使用的软件如果确实需要从网上下载的软件时，建立先将软件下载后某一个指定的文件夹中，用杀病毒软件查杀病毒并用专用查杀木马工具扫描后再安装使用。网络安全3．防止在浏览网页时植入木马

由于IE浏览器本身存在的缺陷，许多程序可以在用户不知情的情况下安装在系统中，这也为木马的值入提供了一条途径。加强IE的安全性，一方面是使用最新版本的IE软件，因为新版本的IE修改了老版本的许多不足，尤其在安全性方面得到了提高。同时，在使用任何一个IE时，都要及时升级ServicesPack补丁程序，以修补IE存在的漏洞；另一方面是设置IE的设置属性

网络安全6.5间谍软件及防治方法6.5.1间谍软件的概念

间谍软件（Spyware）是一种能够在计算机用户不知情或没有感觉存在安全隐患的情况下，在用户的计算机上安装的“后门程序”软件。间谍软件一般具有以下三大特征：·能够在用户不知情的情况下，将用户个人计算机的识别信息发送到互连网的某处，这些信息中也可能包括一些敏感的个人隐私信息。·没有病毒的传染性，同时不像病毒隐藏那么深，更不会感染文件。·能监视用户在网络上进行的一些操作、活动等，甚至访问了哪些网站都能监视到。网络安全6.5.2间谍软件的入侵方式

间谍软件通过以下几种方式入侵用户的计算机系统。·捆绑。间谍软件或广告软件与另一个程序捆绑在一起，用于从表面上看到的是熟悉的系统或应用程序，但在该程序上却捆绑了间谍软件。·通过网页随机入侵。互联网上的许多提供免费下载的网站已成为间谍软件藏匿的场所。每当用户访问这些网站时尤其是下载文件时，间谍软件就会乘机而入。·假冒实用程序。间谍软件会伪装成为一些实用程序而伺机入侵。网络安全6.5.3实验操作--反间谍工具Spybot-Search&Destroy的应用

Spybot-Search&Destroy