潘青

計算機病毒，是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用，并能自我復(fù)制的一組計算機指令或者程序代碼。計算機病毒出現(xiàn)什么樣的表現(xiàn)癥狀，是由計算機病毒的設(shè)計者決定的·而計算機病毒的設(shè)計者的思想又是不可判定的，所以計算機病毒的具體表現(xiàn)形式也是不可判定的，然而可以肯定的是病毒癥狀是在計算機系統(tǒng)的資源上表現(xiàn)出來的，具體出現(xiàn)哪些異?，F(xiàn)象和所感染病毒的種類直接相關(guān)。

計算機感染病毒的一些癥狀

一般情況下，遭計算機病毒感染可能出現(xiàn)的癥狀如下：鍵盤、打印、顯示有異?，F(xiàn)象；運行速度突然減慢i計算機系統(tǒng)出現(xiàn)異常死機或死機頻繁：文件的長度內(nèi)容、屬性、日期無故改變：丟失文件、丟失數(shù)據(jù)；系統(tǒng)引導(dǎo)過程變慢；計算機存儲系統(tǒng)的存儲容量異?；蛴胁幻鞒ｑv程序；系統(tǒng)不認識磁盤或是硬盤不能開機；整個目錄變成一堆亂碼；硬盤的指示燈無緣無故地亮了；計算機系統(tǒng)蜂鳴器出現(xiàn)異常聲響：沒做寫操作時出現(xiàn)“磁盤寫保護”信息：異常要求用戶輸入121令：程序運行出現(xiàn)異?，F(xiàn)象或不合理的結(jié)果。總之，任何的異?，F(xiàn)象都可以懷疑計算機病毒的存在，但異常情況并不一定說明系統(tǒng)內(nèi)肯定有病毒，要真正的確定，必須通過適當(dāng)?shù)臋z測手段來確認。

計算機病毒主要特點

主動通過網(wǎng)絡(luò)和郵件系統(tǒng)傳播；傳播速度極快；危害性極大；變種多；難于控制；難于根治、容易引起多次疫情；具有病毒、蠕蟲和后門（黑客）程序的功能。潛伏性。有些計算機病毒并不是一浸入你的機器，就會對機器造成破壞，它可能隱藏合法文件中，靜靜地呆幾周或者幾個月甚至幾年，具有很強的潛伏性，一旦時機成熟就會迅速繁殖、擴散。

隱蔽性。計算機病毒是一種具有很高編程技巧、短小精悍的可執(zhí)行程序，如不經(jīng)過程序代碼分析或計算機病毒代碼掃描，病毒程序與正常程序是不容易區(qū)別開來的。

破壞性。任何計算機病毒浸入到機器中，都會對系統(tǒng)造成不同程度的影響。輕者占有系統(tǒng)資源，降低工作效率，重者數(shù)據(jù)丟失、機器癱瘓。

除了上述四點外，計算機病毒還具有不可預(yù)見性、可觸發(fā)性、衍生性、針對性、欺騙性、持久性等特點。正是由于計算機病毒具有這些特點，給計算機病毒的預(yù)防、檢測與清除工作帶來了很大的難度。

計算機病毒診斷方法

通常計算機病毒的檢測方法有兩種：

（一）手工檢測。是指通過一些軟件工具（如DEBUG.COM、PCTOOLS.EXE、NU.COM、SYSINFO.EXE等）提供的功能進行病毒的檢測。這種方法比較復(fù)雜，需要檢測者熟悉機器指令和操作系統(tǒng)，因而無法普及。它的基本過程是利用一些工具軟件，對易遭病毒攻擊和修改的內(nèi)存及磁盤的有關(guān)部分進行檢查，通過和正常情況下的狀態(tài)進行對比分析，來判斷是否被病毒感染。這種方法檢測病毒，費時費力，但可以剖析新病毒，檢測識別未知病毒，可以檢測一些自動檢測工具不認識的新病毒。

（二）自動檢測。是指通過一些診斷軟件來判讀一個系統(tǒng)或一個軟盤是否有毒的方法。自動檢測則比較簡單，一般用戶都可以進行，但需要較好的診斷軟件。這種方法可方便地檢測大量的病毒，但是，自動檢測工具只能識別已知病毒，而且自動檢測工具的發(fā)展總是滯后于病毒的發(fā)展，所以檢測工具對未知病毒很難識別。

特洛伊木馬攻擊的防范措施

特洛伊木馬是在執(zhí)行看似正常的程序時，還同時運行了未被察覺的有破壞性的程序；木馬通常能夠?qū)⒅匾男畔魉徒o攻擊者，而且攻擊者可以把任意數(shù)量的程序植入木馬，計算機一旦感染上木馬程序，后果不堪設(shè)想。那么，對于木馬的防范我們可以采取以下措施：

（一）運行反木馬實時監(jiān)控程序

我們在上網(wǎng)時，必需運行反木馬實時監(jiān)控程序。例如the cleaner，它的實時監(jiān)控程序TCA，可即時顯示當(dāng)前所有運行程序并有詳細的描述信息。另外，也可采用一些專業(yè)的最新殺毒軟件、個人防火墻進行監(jiān)控。

（二）不要執(zhí)行任何來歷不明的軟件。對于從網(wǎng)上下載的軟件在安裝、使用之前一定要用反病毒軟件進行檢查，確定沒有木馬程序再執(zhí)行、使用。

（三）不要輕易打開不熟悉的郵件?，F(xiàn)在，很多木馬程序附加在郵件附件中，收郵件者一旦點擊附件，它就會立即運行。所以，千萬不要打開那些不熟悉的郵件，特別是標(biāo)題有點亂的郵件，往往就是木馬攜帶者。

（四）不要輕信他人。不要因為是我們的好朋友發(fā)來的軟件就運行，因為我們不能確保他的電腦就不會有木馬程序。當(dāng)然，好朋友故意欺騙的可能性不大，但也許他（她）中了木馬程序自己還不知道呢！況且今天的互聯(lián)網(wǎng)到處充滿危機，也許是別人冒名給我們發(fā)的郵件。

（五）不要隨便下載軟件、視頻文件。不要隨便在網(wǎng)上下載一些盜版軟件和視頻文件、特別是不可靠的小FTP站、公眾新聞級、論壇或BBS上，因為這些地方正是新木馬發(fā)布的首先之地。

（六）將windows資源管理器配置成始終顯示擴展名。因為一些擴展名為：VBS、SHS、PIF的文件多為木馬程序的特征文件，一經(jīng)發(fā)現(xiàn)要立即刪除，千萬不要打開。

（七）盡量少用共享文件夾。如果計算機連接在互聯(lián)網(wǎng)或局域網(wǎng)上，要少用，盡量不用共享文件夾，如果因工作等其他原因必需設(shè)置成共享，則最好單獨開一個共享文件夾，把所有需共享的文件都放在這個共享文件夾中。注意，千萬不要把系統(tǒng)目錄設(shè)置成共享！

（八）隱藏IP地址。我們在上網(wǎng)時，最好用一些工具軟件隱藏自己計算機的IP地址。例如，使用ICQ時，可以進入“ICQMenu＼Securi-ty&Privacy”，把“IP Publishing”下面的“Do not Publish IP address”選項上。

總之，根據(jù)計算機病毒的傳播特點，防治計算機病毒關(guān)鍵是注意以下幾點：

要提高對計算機病毒危害的認識。計算機病毒再也不是象過去那樣的無關(guān)緊要的小把戲了，在計算機應(yīng)用高度發(fā)達的社會，計算機病毒對信息網(wǎng)絡(luò)破壞造成的危害越來越大大。 養(yǎng)成使用計算機的良好習(xí)慣。對重要文件必須保留備份、不在計算機上亂插亂用盜版光盤和來路不明的盤，經(jīng)常用殺毒軟件檢查硬盤和每一張外來盤等。 大力普及殺毒軟件，充分利用和正確使用現(xiàn)有的殺毒軟件，定期查殺計算機病毒，并及時升級殺毒軟件。有的用戶對殺毒軟件從不升級，仍用幾年前的老版本來對付新病毒；有的根本沒有啟用殺毒軟件；還有的則不會使用殺毒軟件的定時查殺等功能。 及時了解計算機病毒的發(fā)作時間，及時采取措施。大多數(shù)計算機病毒的發(fā)作是有時間限定的。如CIH病毒的三個變種的發(fā)作時間就限定為4月26日、6月26日、每月26日。特別是在大的計算機病毒爆發(fā)前夕。 開啟計算機病毒查殺軟件的實時監(jiān)測功能，特別是有利于及時防范利用網(wǎng)絡(luò)傳播的病毒，如一些惡意腳本程序的傳播。 加強對網(wǎng)絡(luò)流量等異常情況的監(jiān)測，做好異常情況的技術(shù)分析。對于利用網(wǎng)絡(luò)和操作系統(tǒng)漏洞傳播的病毒，可以采取分割區(qū)域統(tǒng)一清除的辦法，在清除后要及時采取打補丁和系統(tǒng)升級等安全措施。 有規(guī)律的備份系統(tǒng)關(guān)鍵數(shù)據(jù)，建立應(yīng)對災(zāi)難的數(shù)據(jù)安全策略，如災(zāi)難備份計劃（備份時間表、備份方式、容災(zāi)措施）和災(zāi)難恢復(fù)計劃，保證備份的數(shù)據(jù)能夠正確、迅速地恢復(fù)。

總之，企業(yè)信息工作人員，要多利用所學(xué)的知識，學(xué)以致用，在實踐中摸索，不斷豐富自己的經(jīng)驗，很好地掌握計算機病毒檢測與防治的方法，為企業(yè)電子信息系統(tǒng)構(gòu)建一個安全順暢的計算機系統(tǒng)。

（作者單位：遼河油田第二職工醫(yī)院）