一、什么是計算機病毒
計算機病毒不同于生物醫學上的“病毒”��,計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數據,影響計算機使用并能自我復制的一組計算機指令或者程序代碼。由于它的所做所為與生物病毒很相像�����,人們才給它起了這么一個“響亮”的名字�����。與生物病毒不同的是幾乎所有的計算機病毒都是人為地故意制造出來的���,有時一旦擴散出來后連制造者自己也無法控制�����。它已經不是一個簡單的技術問題,而是一個嚴重的社會問題了�����。目前�����,全球已有的計算機病毒約7萬余種��。
下我們將生物醫學病毒與感染IBM-PC機的DOS環境下的病毒的特征進行對比。
|
生物病毒 |
計算機病毒 |
|
攻擊生物機體特定細胞 |
攻擊特定程序(所有*.COM 和*.EXE文件[針對MS-DOS環境]) |
|
修改細胞的遺傳信息,使病毒在被感染的細胞中繁殖 |
操縱程序使被感染程序能復制病毒程序 |
|
被感染的細胞不再重復感染���,并且被感染的機體很長時間沒有癥狀 |
很多計算機病毒只感染程序一次,被感染的程序很長時間可以正常運行 |
|
病毒并非感染所有的細胞��,并且病毒可以產生變異 |
程序能夠加上免疫標志��,防止感染��。但計算機病毒能夠修改自身使免疫失效 |
二、網絡蠕蟲和特洛伊木馬程序
1988年一個由美國CORNELL大學研究生莫里斯編寫的蠕蟲病毒蔓延造成了數千臺計算機停機��,蠕蟲病毒開始現身網絡�����。而后來的紅色代碼,尼姆達病毒瘋狂的時候���,造成幾十億美元的損失。2003年1月26日, 一種名為“2003蠕蟲王”的蠕蟲病毒迅速傳播并襲擊了全球��,致使互聯網網路嚴重堵塞��,互聯網域名服務器癱瘓�����,造成網民瀏覽互聯網網頁及收發電子郵件的速度大幅減緩, 同時銀行自動提款機的運作中斷, 機票等網絡預訂系統的運作中斷, 信用卡等收付款系統出現故障。國外專家估計,造成的直接經濟損失在12億美元以上�����。
網絡蠕蟲(worm)主要是利用操作系統和應用程序漏洞傳播�����,通過網絡的通信功能將自身從一個結點發送到另一個結點并啟動運行的程序�����,可以造成網絡服務遭到拒絕并發生死鎖��!叭湎x”由兩部分組成:一個主程序和一個引導程序�����。 主程序一旦在機器上建立就會去收集與當前機器聯網的其它機器的信息��。它能通過讀取公共配置文件并運行顯示當前網上聯機狀態信息的系統實用程序而做到這一點。隨后�����,它嘗試利用前面所描述的那些缺陷去在這些遠程機器上建立其引導程序��。
特洛伊木馬程序(Trojan horse)是一個隱藏在合法程序中的非法的程序。該非法程序被用戶在不知情的情況下被執行��。其名稱源于古希臘的特洛伊木馬神話�����,傳說希臘人圍攻特洛伊城�����,久久不能得手���。后來想出了一個木馬計���,讓士兵藏匿于巨大的木馬中�����。大部隊假裝撤退而將木馬擯棄于特洛伊城,讓敵人將其作為戰利品拖入城內��。木馬內的士兵則乘夜晚敵人慶祝勝利�����、放松警惕的時候從木馬中爬出來�����,與城外的部隊里應外合而攻下了特洛伊城���。
當有用程序被調用時���,隱藏的木馬程序將執行某種有害功能���,例如顯示訊息��、刪除文件或將磁盤格式化�����,并能用于間接實現非授權用戶不能直接實現的功能。特洛依木馬型病毒不會感染其他寄宿文件,清除特洛依木馬型病毒的方法是直接刪除受感染的程序�����。
三�����、計算機病毒的傳播
計算機病毒的傳播途徑主要有:1��、通過文件系統傳播;2�����、通過電子郵件傳播��;3���、通過局域網傳播��;4�����、通過互聯網上即時通訊軟件和點對點軟件等常用工具傳播�����;利用系統、應用軟件的漏洞進行傳播�����;6、利用系統配置缺陷傳播�����,如弱口令��、完全共享等��;7、利用欺騙等社會工程的方法傳播��。
計算機病毒的傳播過程可簡略示意如下:
四���、計算機病毒的特征
計算機病毒作為一種特殊的程序具有以下特征:
(一)非授權可執行性�����,計算機病毒隱藏在合法的程序或數據中,當用戶運行正常程序時,病毒伺機竊取到系統的控制權,得以搶先運行,然而此時用戶還認為在執行正常程序��;
(二)隱蔽性,計算機病毒是一種具有很高編程技巧��、短小精悍的可執行程序�����,它通常總是想方設法隱藏自身,防止用戶察覺�����;
(三)傳染性�����,傳染性是計算機病毒最重要的一個特征,病毒程序一旦侵入計算機系統就通過自我復制迅速傳播��。
(四)潛伏性,計算機病毒具有依附于其它媒體而寄生的能力,這種媒體我們稱之為計算機病毒的宿主��。依靠病毒的寄生能力,病毒可以悄悄隱藏起來,然后在用戶不察覺的情況下進行傳染���。
(五)表現性或破壞性�����。無論何種病毒程序一旦侵入系統都會對操作系統的運行造成不同程度的影響���。即使不直接產生破壞作用的病毒程序也要占用系統資源�����。而絕大多數病毒程序要顯示一些文字或圖象,影響系統的正常運行,還有一些病毒程序刪除文件,甚至摧毀整個系統和數據,使之無法恢復,造成無可挽回的損失。
(六)可觸發性��,計算機病毒一般都有一個或者幾個觸發條件���。一旦滿足觸發條件或者激活病毒的傳染機制,使之進行傳染;或者激活病毒的表現部分或破壞部分�����。觸發的實質是一種條件的控制,病毒程序可以依據設計者的要求,在一定條件下實施攻擊。這個條件可以是敲入特定字符,某個特定日期或特定時刻,或者是病毒內置的計數器達到一定次數等。
五、用戶計算機中毒的24種癥狀
一是計算機系統運行速度減慢���。二是計算機系統經常無幫故發生死機。三是計算機系統中的文件長度發生變化。四是計算機存儲的容量異常減少��。五是系統引導速度減慢�����。六是丟失文件或文件損壞�����。七是計算機屏幕上出現異常顯示���。八是計算機系統的蜂鳴器出現異常聲響���。九是磁盤卷標發生變化��。十是系統不識別硬盤。十一是對存儲系統異常訪問。十二是鍵盤輸入異常�����。十三是文件的日期�����、時間�����、屬性等發生變化���。十四是文件無法正確讀取���、復制或打開�����。十五是命令執行出現錯誤�����。十六是虛假報警。十七是換當前盤��。有些病毒會將當前盤切換到C盤���。十八是時鐘倒轉�����。有些病毒會命名系統時間倒轉�����,逆向計時。十九是WINDOWS操作系統無故頻繁出現錯誤�����。二十是系統異常重新啟動��。二十一是一些外部設備工作異常。二十二是異常要求用戶輸入密碼�����。二十三是WORD或EXCEL提示執行“宏”�����。二十四是不應駐留內存的程序駐留內存��。
六、計算機病毒防治策略
計算機病毒的防治要從防毒��、查毒�����、解毒三方面來進行���;系統對于計算機病毒的實際防治能力和效果也要從防毒能力�����、查毒能力和解毒能力三方面來評判�����。
(一)防毒。是指根據系統特性�����,采取相應的系統安全措施預防病毒侵入計算機�����。防毒能力是指通過采取防毒措施,可以準確���、實時監測預警經由光盤、軟盤���、硬盤不同目錄之間、局域網���、互聯網(包括FTP方式、E-MAIL、HTTP方式)或其它形式的文件下載等多種方式的病毒感染;能夠在病毒侵入系統時發出警報�����,記錄攜帶病毒的文件���,即時清除其中的病毒�����;對網絡而言�����,能夠向網絡管理員發送關于病毒入侵的信息,記錄病毒入侵的工作站�����,必要時還要能夠注銷工作站��,隔離病毒源。
(二)查毒。是指對于確定的環境��,能夠準確地報出病毒名稱��,該環境包括�����,內存、文件���、引導區(含主導區)、網絡等��。查毒能力是指發現和追蹤病毒來源的能力�����,通過查毒能準確地發現信息網絡是否感染有病毒�����,準確查找出病毒的來源,給出統計報告;查解病毒的能力應由查毒率和誤報率來評判�����。
(三)解毒���。是指根據不同類型病毒對感染對象的修改�����,并按照病毒的感染特性所進行的恢復��。該恢復過程不能破壞未被病毒修改的內容。感染對象包括:內存��、引導區(含主引導區)��、可執行文件�����、文檔文件、網絡等�����。解毒能力是指從感染對象中清除病毒�����,恢復被病毒感染前的原始信息的能力�����。
七、計算機病毒診斷方法
通常計算機病毒的檢測方法有兩種:
(一)手工檢測�����。是指通過一些軟件工具(如DEBUG.COM�����、PCTOOLS.EXE�����、NU.COM��、SYSINFO.EXE等)提供的功能進行病毒的檢測�����。這種方法比較復雜,需要檢測者熟悉機器指令和操作系統�����,因而無法普及��。它的基本過程是利用一些工具軟件�����,對易遭病毒攻擊和修改的內存及磁盤的有關部分進行檢查,通過和正常情況下的狀態進行對比分析���,來判斷是否被病毒感染。這種方法檢測病毒���,費時費力,但可以剖析新病毒���,檢測識別未知病毒,可以檢測一些自動檢測工具不認識的新病毒���。
(二)自動檢測。是指通過一些診斷軟件來判讀一個系統或一個軟盤是否有毒的方法���。自動檢測則比較簡單,一般用戶都可以進行��,但需要較好的診斷軟件�����。這種方法可方便地檢測大量的病毒��,但是,自動檢測工具只能識別已知病毒,而且自動檢測工具的發展總是滯后于病毒的發展�����,所以檢測工具對未知病毒很難識別�����。
八���、防范特洛伊木馬攻擊
特洛伊木馬是在執行看似正常的程序時��,還同時運行了未被察覺的有破壞性的程序;木馬通常能夠將重要的信息傳送給攻擊者�����,而且攻擊者可以把任意數量的程序植入木馬���。對于木馬的防范可以采取以下措施:
不要執行任何來歷不明的軟件或程序�����;不要輕易打開陌生郵件�����,或許當你打開的同時就已經中了別人設置的木馬;不要因為對方是你的好朋友就輕易執行他發過來的軟件或程序,因為你不確信他是否也像你一樣裝上了病毒防火墻��,也許你的朋友已經中了黑客程序自己卻不知道���!同時�����,你也不能擔保是否有別人冒他的名給你發mail;千萬不要隨便留下你的個人資料,因為你永遠不會知道是否有人會處心積慮收集起來��。
九��、網絡病毒的清理和防治
網絡病毒的清理防治方法主要有:1��、全面地與互聯網結合,對網絡層、郵件客戶端進行實時監控,防止病毒入侵;2���、快速反應的病毒檢測網,在病毒爆發的第一時間即能提供解決方案���;3、病毒防治產品完善的在線升級��,隨時擁有最新的防病毒能力�����;4��、對病毒經常攻擊的應用程序提供重點保護(如Office、Outlook�����、IE�����、ICQ/QQ等);5�����、獲取完整���、即時的反病毒咨詢���,盡快了解新病毒的特點和解決方案。
十��、如何防治病毒
根據計算機病毒的傳播特點�����,防治計算機病毒關鍵是注意以下幾點:
(一)要提高對計算機病毒危害的認識���。計算機病毒再也不是象過去那樣的無關緊要的小把戲了�����,在計算機應用高度發達的社會,計算機病毒對信息網絡破壞造成的危害越來越大大��。
(二)養成使用計算機的良好習慣���。對重要文件必須保留備份���、不在計算機上亂插亂用盜版光盤和來路不明的盤���,經常用殺毒軟件檢查硬盤和每一張外來盤等�����。
(三)大力普及殺毒軟件,充分利用和正確使用現有的殺毒軟件��,定期查殺計算機病毒���,并及時升級殺毒軟件�����。有的用戶對殺毒軟件從不升級��,仍用幾年前的老版本來對付新病毒;有的根本沒有啟用殺毒軟件�����;還有的則不會使用殺毒軟件的定時查殺等功能�����。
(四)及時了解計算機病毒的發作時間���,及時采取措施���。大多數計算機病毒的發作是有時間限定的���。如CIH病毒的三個變種的發作時間就限定為4月26日��、6月26日、每月26日�����。特別是在大的計算機病毒爆發前夕�����。
(五)開啟計算機病毒查殺軟件的適時監測功能,特別是有利于及時防范利用網絡傳播的病毒,如一些惡意腳本程序的傳播。
(六)加強對網絡流量等異常情況的監測��,做好異常情況的技術分析�����。對于利用網絡和操作系統漏洞傳播的病毒���,可以采取分割區域統一清除的辦法�����,在清除后要及時采取打補丁和系統升級等安全措施��。
(七)有規律的備份系統關鍵數據,建立應對災難的數據安全策略,如災難備份計劃(備份時間表���、備份方式、容災措施)和災難恢復計劃,保證備份的數據能夠正確���、迅速地恢復。
十一���、如何選擇計算機病毒防治產品
一般用戶應選擇:1、具有發現���、隔離并清除病毒功能的計算機病毒防治產品;2�����、產品是否具有實時報警(包括文件監控��、郵件監控、網頁腳本監控等)功能�����;3���、多種方式及時升級�����;4�����、統一部署防范技術的管理功能;5�����、對病毒清除是否徹底�����,文件修復后是否完整�����、可用;6�����、產品的誤報�����、漏報率較低;7�����、占用系統資源合理���,產品適應性較好��。
對于企業用戶要選擇能夠從一個中央位置進行遠程安裝�����、升級,能夠輕松��、自動、快速地獲得最新病毒代碼���、掃描引擎和程序文件,使維護成本最小化的產品�����;產品提供詳細的病毒活動記錄���,跟蹤病毒并確保在有新病毒出現時能夠為管理員提供警報���;為用戶提供前瞻性的解決方案���,防止新病毒的感染���;通過基于web和Windows的圖形用戶界面提供集中的管理��,最大限度地減少網絡管理員在病毒防護上所花費的時間。
十二��、計算機病毒防治管理辦法
為了加強計算機病毒的防治管理工作��,2000年公安部發布了《計算機病毒防治管理辦法》���。規定各級公安機關負責本行政區域內的計算機病毒防治管理工作���。
規定禁止制作���、傳播計算機病毒��,向社會發布虛假計算機病毒疫情,承擔計算機病毒的認定工作的機構應由公安部公共信息網絡安全監察部門批準�����,計算機信息系統的使用單位應當履行防治計算機病毒的職責���。
來源:巨靈鳥 歡迎分享本文
