來 羽

[摘要] 計算機病毒是人為編寫的具有破壞性的計算機程序軟件,其最大危害是使整個網(wǎng)絡(luò)陷于癱瘓。從計算機病毒的特點、分類、識別方法以及發(fā)展趨勢了解、認(rèn)識、掌握計算機病毒,最終通過多種防御技術(shù)消滅計算機病毒。

[關(guān)鍵詞] 計算機病毒基本特點防御技術(shù)

隨著計算機技術(shù)的發(fā)展和互聯(lián)網(wǎng)的擴大,Internet 越來越成為人類社會最重要的組成部分。計算機病毒感染和攻擊的事件屢屢發(fā)生,嚴(yán)重地干擾了正常的人類社會生活。因此網(wǎng)絡(luò)環(huán)境下病毒防治成為計算機防毒領(lǐng)域的研究重點。

一、計算機病毒的特點

(一)傳染性

傳染性是計算機病毒的一個重要特征,它借助非法拷貝進(jìn)行傳染?？赏ㄟ^軟盤、有線和無線網(wǎng)絡(luò)、硬件設(shè)備等多渠道自動侵入計算機中,并不斷蔓延。引導(dǎo)型病毒對工作站或服務(wù)器的硬盤分區(qū)表或 DOS引導(dǎo)區(qū)進(jìn)行傳染。服務(wù)器上的程序被病毒感染后,所有使用該帶毒程序的工作站都將被感染。混合型病毒有可能感染工作站上的硬盤分區(qū)表或 DOS引導(dǎo)區(qū)。通過工作站用拷貝操作將病毒帶入服務(wù)器,最終遍布整個網(wǎng)絡(luò)。

(二)破壞性

計算機病毒具有一定的破壞性,輕則干擾系統(tǒng)的正常運行,重則破壞磁盤數(shù)據(jù)、刪除文件,導(dǎo)致整個計算機系統(tǒng)的癱瘓。網(wǎng)絡(luò)上的病毒將輕則降低速度,影響工作效率,重則使網(wǎng)絡(luò)崩潰,破壞服務(wù)型信息,機密信息丟失。

(三)潛伏性

由于網(wǎng)絡(luò)的擴展性,病毒可以按照病毒設(shè)計者的要求,在任意時刻、任意位置激發(fā)并發(fā)起攻擊。系統(tǒng)被病毒感染后,病毒一般不即時發(fā)作,會利用系統(tǒng)的備份程序不斷復(fù)制,并有可能將數(shù)據(jù)的副本傳送到其他的系統(tǒng)。等條件成熟后,便會發(fā)作,給系統(tǒng)帶來嚴(yán)重的破壞。

(四)針對性

計算機病毒能針對特定的計算機和特定的操作系統(tǒng)編制: “小球”病毒主要針對IBM PC 機及其兼容機上的DOS 操作系統(tǒng); “愛之門”(Worm—Lovegate) 病毒具有變種兼黑客的功能, 能夠通過局域網(wǎng)迅速傳播, 局域網(wǎng)中一旦有一臺計算機被感染病毒, 馬上會在極短的時間里擴散到整個局域網(wǎng), 從而導(dǎo)致網(wǎng)內(nèi)所有計算機均處于被控的危險狀態(tài), 系統(tǒng)和信息安全受到極大的威脅.

二、計算機病毒的分類

(一)按傳染方式分類。病毒按傳染方式可分為引導(dǎo)型病毒、文件型病毒和混合型病毒三種。引導(dǎo)型病毒主要是感染磁盤的引導(dǎo)區(qū),伺機傳染其它磁盤的引導(dǎo)區(qū),一般不對磁盤文件進(jìn)行感染;文件型病毒一般只傳染磁盤上的可執(zhí)行文件,混合型病毒則兼有以上兩種病毒的特點,既感染引導(dǎo)區(qū)又感染文件。

(二)按連接方式分類。病毒按連接方式分為操作系統(tǒng)型病毒、外殼型病毒、源碼型病毒、入侵型病毒和等四種。操作系統(tǒng)病毒則是用其自身部分加入或替代操作系統(tǒng)的部分功能,危害性較大。 外殼病毒主要是將自身附在正常程序的開頭或結(jié)尾,相當(dāng)于給正常程序加了個外殼,大部分的文件型病毒都屬于這一類。源碼病毒主要攻擊高級語言編寫的源程序,它會將自己插入到系統(tǒng)的源程序中,并隨源程序一起編譯、連接成可執(zhí)行文件,從而導(dǎo)致剛剛生成的可執(zhí)行文件直接帶毒;入侵型病毒則是那些用自身代替正常程序中的部分模塊或代碼的病毒,它只攻擊某些特定程序,針對性強,一般情況下也難以被發(fā)現(xiàn),清除起來非常困難;

(三)按破壞性分類。病毒按破壞性可分為良性病毒和惡性病毒。良性病毒是指對系統(tǒng)的危害不太大的病毒,它一般只是破壞屏幕顯示、播放音樂等;惡性病毒則是指那些對系統(tǒng)進(jìn)行惡意攻擊的病毒,它往往會給用戶造成較大危害,如磁碟機、熊貓燒香、AV終結(jié)者、CIH病毒等就屬此類。

(四)按程序運行平臺分類。病毒按程序運行平臺分類可分為DOS病毒、W indows病毒、W indowsNT病毒、OS/2病毒等,它們分別發(fā)作于DOS、W indows 9X、W indows NT、OS/2等操作系統(tǒng)平臺上的病毒。

三、計算機病毒的識別方法

眾多的計算機病毒,反病毒公司按照病毒的特性,將病毒進(jìn)行分類命名。大體都是采用一個統(tǒng)一的命名方法來命名的。

(一)病毒的命名規(guī)則

多數(shù)反病毒公司采用前、后綴法來進(jìn)行命名的,可以是多個前綴、后綴組合,中間以小數(shù)點分隔,一般格式為: [前綴]、[病毒名]、[后綴]。

1.病毒前綴。病毒前綴是指一個病毒的種類,我們常見的木馬病毒的前綴是“Trojan”,蠕蟲病毒的前綴是“Worm”,其他前綴還有如“Macro”、“Backdoor”、“Script”等。

2.病毒名。病毒名是指一個病毒名稱,如以前很有名的CIH病毒,它和它的一些變種都統(tǒng)一叫“CIH”,還有振蕩波蠕蟲病毒,它的病毒名則是“Sasser”。

3..病毒后綴。病毒后綴是指一個病毒的變種特征,一般是采用英文中的26個字母來表示的,如“Worm. Sasser. c”是指振蕩波蠕蟲病毒的變種c。

(二)常見的病毒前綴及特征

1.系統(tǒng)病毒。系統(tǒng)病毒的前綴為:W in32、PE、W in95、W32、W95等。這些病毒的一般公有的特性是可以感染windows操作系統(tǒng)的*. exe和*. dll文件,并通過這些文件進(jìn)行傳播。如CIH病毒。

2..蠕蟲病毒。蠕蟲病毒的前綴是:Worm。這種病毒的公有特性是通過網(wǎng)絡(luò)或者系統(tǒng)漏洞進(jìn)行傳播,大部分的蠕蟲病毒都有向外發(fā)送帶毒郵件,阻塞網(wǎng)絡(luò)的特性。比如沖擊波(阻塞網(wǎng)絡(luò))。

3.木馬病毒、黑客病毒。木馬病毒其前綴是:Trojan,黑客病毒前綴名一般為Hack。木馬病毒的公有特性是通過網(wǎng)絡(luò)或者系統(tǒng)漏洞進(jìn)入用戶的系統(tǒng)并隱藏,然后向外界泄露用戶的信息,而黑客病毒則有一個可視的界面,能對用戶的電腦進(jìn)行遠(yuǎn)程控制。木馬、黑客病毒往往是成對出現(xiàn)的,即木馬病毒負(fù)責(zé)侵入用戶的電腦,而黑客病毒則會通過該木馬病毒來進(jìn)行控制。

4.腳本病毒。腳本病毒的前綴是: Script。腳本病毒的公有特性是使用腳本語言編寫,通過網(wǎng)頁進(jìn)行的傳播的病毒,如紅色代碼(Scrip.t Redlof)。腳本病毒還會有如下前綴: VBS、JS,如歡樂時光(VBS.Happytime)、十四日(Js.Fortnigh.t c. s)等。

5.宏病毒。宏病毒是也是腳本病毒的一種, 這里單獨算成一類是由于它的特殊性。宏病毒的前綴是:Macro,第二前綴是:Word、Word97、Excel、Excel97其中之一。該類病毒的公有特性是能感染OFFICE系列文檔,然后通過OFFICE通用模板進(jìn)行傳播,如:著名的美麗莎(Macro.Melissa)。

6.后門病毒。后門病毒的前綴是: Backdoor。該類病毒的公有特性是通過網(wǎng)絡(luò)傳播,給系統(tǒng)開后門,給用戶電腦帶來安全隱患。如很多朋友遇到過的IRC后門Backdoor. IRCBot。

四、計算機病毒的防御技術(shù)

(一)安裝殺毒軟件

使用防病毒軟件,啟動病毒實時監(jiān)控系統(tǒng), 經(jīng)常升級病毒庫,正確設(shè)置殺毒軟件的各項功能,以便充分發(fā)揮殺毒軟件的功效。對于一般普通用戶來說既經(jīng)濟(jì)又實惠的選擇是使用反病毒軟件進(jìn)行防毒. 安裝專業(yè)的防毒軟件進(jìn)行全面監(jiān)控是比較理想的選擇.

(二)系統(tǒng)打補丁防護(hù)

大多數(shù)木馬、病毒是利用系統(tǒng)漏洞加以傳播和進(jìn)行破壞的,像人們熟知的“熊貓燒香”、“機器狗”等。與其中招后查殺,不如先打好補丁。常規(guī)做法是開啟Windows自動更新,及時安裝最新系統(tǒng)補丁。也可以使用專業(yè)的網(wǎng)絡(luò)安全工具進(jìn)行漏洞修復(fù),像常用的360安全衛(wèi)士、瑞星以及超級兔子等,都具備這一功能。

(三)客戶端設(shè)置防火墻或過濾軟件

防火墻控制技術(shù)指根據(jù)惡意代碼傳播的特點,通過設(shè)置和修改防火墻規(guī)則,禁止惡意代碼的傳播和掃描數(shù)據(jù)包通過,從而達(dá)到控制惡意代碼的目的。這種技術(shù)只限制惡意代碼流量通過,而允許正常的網(wǎng)絡(luò)流量通過?？蛻舳擞斜匾惭b防火墻或過濾軟件, 保護(hù)個人隱私, 避免意外損失。

(四)做好數(shù)據(jù)的備份

木馬和惡意軟件的傳播、攻擊都存在明確目標(biāo),比如竊取網(wǎng)游裝備、各類帳號密碼以及用戶有價值的數(shù)據(jù)、隱私等,這要求用戶要更重視帳號和個人數(shù)據(jù)的保護(hù)。目前保護(hù)帳號密碼安全的主流軟件有360保險箱和超級巡警帳號保護(hù)神等。對于一些不能外泄的重要數(shù)據(jù)和隱私信息,則可以采用加密程序進(jìn)行加密,并養(yǎng)成資料備份的習(xí)慣,而不僅僅是隱藏了事。設(shè)置好開機密碼,重要的文檔或盤符加上密碼保護(hù)。

(五)防止下載病毒

病毒傳播的一個重要途徑是借助互聯(lián)網(wǎng), 網(wǎng)上很多可以下載的程序里包含很多病毒, 一不小心, 那些隱藏在軟件中的病毒就會伺機而入, 因此在下載網(wǎng)上軟件后必須馬上執(zhí)行殺毒程序,,最好使用FlashGet 等下載工具進(jìn)行下載,并把下載工具和殺毒軟件進(jìn)行捆綁,以達(dá)到下載后自動殺毒的目的。

(六)防止通過U 盤傳播

U 盤、移動硬盤這些移動存儲工具也是病毒傳播的重要途徑,稍不留意就會導(dǎo)致“格盤”。而它一般的運行機制是通過雙擊盤符自動運行。因此,禁用所有磁盤的自動運行,及早防范是關(guān)鍵所在。具體做法是:單擊“開始”菜單,在“運行”中輸入gpedit.msc,按回車后進(jìn)入“用戶配置”,進(jìn)而逐項選擇“管理模板”、“系統(tǒng)”,雙擊右側(cè)列表中的“關(guān)閉自動播放”,并選擇“所有驅(qū)動器”,然后點擊“已啟動”,確定后退出。

(七)防止通過電子郵件的附件傳播

近幾年, 很多病毒大規(guī)模爆發(fā)主要是通過電子郵件傳播, 這些病毒會根據(jù)接收人的通訊錄, 自動向地址發(fā)送帶毒文件, 所以使用者在打開電子郵件前, 一定要先將附件保存下來, 用查毒軟件檢查后再打開.

五、計算機病毒的發(fā)展趨勢

目前有多少種計算機病毒還無法估計, 據(jù)專家預(yù)測, 國外平均一周會產(chǎn)生10 種新病毒, 而國內(nèi)一個月也至少有5 種新病毒出現(xiàn).當(dāng)一種新的病毒出現(xiàn), 病毒就會迅速發(fā)展傳播. 病毒主要朝著能更好地隱蔽自己和對抗反病毒手段的方向發(fā)展. 病毒的發(fā)展趨勢也從單純的報復(fù)、惡作劇發(fā)展到有極強的目的性和含有非法活動的性質(zhì), 特別是國際互聯(lián)網(wǎng)的應(yīng)用, 促進(jìn)了病毒的大量涌現(xiàn)。 隨著編程的手段越來越高明, 病毒也越來越復(fù)雜, 用戶防不勝防. 未來計算機病毒的發(fā)展極有可能影響到社會的穩(wěn)定,將會在政治、經(jīng)濟(jì)秩序中起到對抗正面宣傳的反作用。還有可能潛藏在聯(lián)網(wǎng)的計算機中收集大量重要情報, 將情報發(fā)給需要的一方,可能被應(yīng)用到戰(zhàn)爭中, 主宰戰(zhàn)爭的絕對局勢。這些病毒攻擊的目的已不是簡單破壞帶來的樂趣, 它們的到來將會預(yù)示著高科技、高智能化信息時代的來臨.

六、小結(jié)

計算機病毒通過正常的操作執(zhí)行正常的用戶程序進(jìn)行破壞. 雖然現(xiàn)在殺毒軟件和防火墻在不斷地改進(jìn)發(fā)展,但是目前病毒的傳播方式越來越多地和黑客攻擊手段相結(jié)合,同時病毒的種類千變?nèi)f化、層出不窮,如何防御病毒的入侵,如何保護(hù)好我們的網(wǎng)絡(luò),還必須把防病毒軟件和其他網(wǎng)絡(luò)安全技術(shù)以及管理措施結(jié)合起來,同時也需要每個用戶提高防范意識,養(yǎng)成良好的網(wǎng)絡(luò)習(xí)慣,來共同維護(hù)網(wǎng)絡(luò)的安全。

參考文獻(xiàn):

[1] 桌新建.計算機病毒原理及防治 [M] .北京:北京郵電大學(xué)出版社,2001.

[2] 程勝利.計算機病毒及其防治技術(shù) [M] .北京:清華大學(xué)出版社,2004.

[3] 李旭華.病毒機制與防范技術(shù) [M] .重慶:重慶大學(xué)出版社,2002.