计算机病毒的发展历史悠久,从20世纪80年代中后期广泛传播开来。时至今日,据统计,世界上已存在的计算机病毒有5000余种,并且每月以平均几十种的速度增加。计算机病毒的发展一定程度上影响了反病毒产品的发展,原有的反病毒技术在新型病毒面前显得陈旧而无能为力。病毒检测产品是以病毒的特征码为基础的针对具体病毒的判断技术,因此,病毒的变种以及未知病毒给检测软件带来较大的困难。
7.1.1计算机病毒定义
《中华人民共和国计算机信息系统安全保护条例》中明确定义,病毒“指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。
计算机病毒是一个程序,一段可执行码。就像生物病毒一样,计算机病毒有独特的复制能力。计算机病毒可以很快地蔓延,又常常难以根除。它们能把自身附着在各种类型的文件上,当文件被复制或从一个用户传送到另一个用户时,它们就随同文件一起蔓延开来。
除复制能力外,某些计算机病毒还有其他一些共同特性:一个被污染的程序能够传送病毒载体。当你看到病毒载体似乎仅仅表现在文字和图像上时,它们可能也已毁坏了文件、再格式化你的硬盘驱动或引发了其他类型的灾害。若是病毒并不寄生于一个污染程序,它仍然能通过占据存储空间给你带来麻烦,并降低你的计算机的全部性能。如某些病毒会大量释放垃圾文件,占用硬盘资源。还有的病毒会运行多个进程,使中毒电脑运行变得非常慢。
可以从不同角度给出计算机病毒的定义,一种定义是通过磁盘、磁带和网络等作为媒介传播扩散,能“传染”其他程序的程序;另一种是能够实现自身复制且借助一定的载体存在的具有潜伏性、传染性和破坏性的程序。还有的定义是一种人为制造的程序,它通过不同的途径潜伏或寄生在存储媒体(如磁盘、内存)或程序里。当某种条件或时机成熟时,它会自生复制并传播,使计算机的资源受到不同程度的破坏等。这些说法在某种意义上借用了生物学病毒的概念,计算机病毒同生物病毒所相似之处是能够侵入计算机系统和网络,危害正常工作的“病原体”,它能够对计算机系统进行各种破坏,同时能够自我复制,具有传染性。
所以,计算机病毒就是能够通过某种途径潜伏在计算机存储介质(或程序)里,当达到某种条件时即被激活的具有对计算机资源进行破坏作用的一组程序或指令集合。
7.1.2计算机病毒的特征
计算机病毒就是能够通过某种途径潜伏在计算机存储介质(或程序)里,当达到某种条件时即被激活的具有对计算机资源进行破坏作用的一组程序或指令集合。广义的计算机病毒还包括逻辑炸弹、特洛伊木马和系统陷阱入口等。计算机病毒虽是一个小小程序,但它和普通的计算机程序不同,具有以下的特征:
1.非授权可执行性
用户通常调用执行一个程序时,把系统控制交给这个程序,并分配给其相应系统资源,如内存,从而使之能够运行完成用户的需求。因此程序执行的过程对用户是透明的。而计算机病毒是非法程序,正常用户是不会明知是病毒程序,而故意调用执行。但由于计算机病毒具有正常程序的一切特性:可存储性、可执行性。它隐藏在合法的程序或数据中,当用户运行正常程序时,病毒伺机窃取到系统的控制权,得以抢先运行,然而此时用户还认为在执行正常程序。
2.隐蔽性
计算机病毒是一种具有很高编程技巧、短小精悍的可执行程序。它通常粘附在正常程序之中或磁盘引导扇区中,或者磁盘上标为坏簇的扇区中,以及一些空闲概率较大的扇区中,这是它的非法可存储性。病毒想方设法隐藏自身,就是为了防止用户察觉。
3.传染性
传染性是计算机病毒最重要的特征,是判断一段程序代码是否为计算机病毒的依据。病毒程序一旦侵入计算机系统就开始搜索可以传染的程序或者磁介质,然后通过自我复制迅速传播。由于目前计算机网络日益发达,计算机病毒可以在极短的时间内,通过像Internet这样的网络传遍世界。
4.潜伏性
计算机病毒具有依附于其他媒体而寄生的能力,这种媒体我们称为计算机病毒的宿主。依靠病毒的寄生能力,病毒传染合法的程序和系统后,不立即发作,而是悄悄隐藏起来,然后在用户不察觉的情况下进行传染。这样,病毒的潜伏性越好,它在系统中存在的时间也就越长,病毒传染的范围也越广,其危害性也越大。
5.表现性或破坏性
无论何种病毒程序,一旦侵入系统都会对操作系统的运行造成不同程度的影响。即使不直接产生破坏作用的病毒程序也要占用系统资源(如占用内存空间,占用磁盘存储空间以及系统运行时间等)。而绝大多数病毒程序要显示一些文字或图像,影响系统的正常运行,还有一些病毒程序删除文件,加密磁盘中的数据,甚至摧毁整个系统和数据,使之无法恢复,造成无可挽回的损失。因此,病毒程序的副作用轻者降低系统工作效率,重者导致系统崩溃、数据丢失。病毒程序的表现性或破坏性体现了病毒设计者的真正意图。
6.可触发性
计算机病毒一般都有一个或者几个触发条件。满足其触发条件或者激活病毒的传染机制,使之进行传染;或者激活病毒的表现部分或破坏部分。触发的实质是一种条件的控制,病毒程序可以依据设计者的要求,在一定条件下实施攻击。这个条件可以是敲入特定字符,使用特定文件,某个特定日期或特定时刻,或者是病毒内置的计数器达到一定次数等。
7.1.3计算机病毒的病毒疫情等级和分类
病毒疫情等级用四种颜色表示,分别为:绿色、黄色、橙色和红色。四种颜色中绿色级别最低,红色为最高,它们的具体含义如下:
正常——绿色:目前网络较安全,用户只需要进行日常的杀毒软件升级,并打开杀毒软件的实时监控功能即可。
警惕——黄色:目前网络中存在一定数量的病毒,用户需要实时地升级杀毒软件进行防范,并打开杀毒软件的实时监控功能。
危险——橙色:目前网络中病毒情况较为严重,用户需要实时升级杀毒软件并打开杀毒软件的实时监控功能进行防范,并使用杀毒软件进行全盘扫描。
高危——红色:目前网络中病毒情况为高度危险,用户不仅需要实时升级杀毒软件并打开杀毒软件的实时监控功能、使用杀毒软件进行全盘扫描,还应时刻关注杀毒软件厂商发布的安全信息,做好防范工作。
目前,根据计算机病毒的性质区别,分类如下:
1.按寄生方式分为引导型、病毒文件型病毒和复合型病毒
引导型病毒是指寄生在磁盘引导区或主引导区的计算机病毒。此种病毒利用系统引导时,不对主引导区的内容正确与否进行判别的缺点,在引导型系统的过程中侵入系统,驻留内存,监视系统运行,待机传染和破坏。按照引导型病毒在硬盘上的寄生位置又可细分为主引导记录病毒和分区引导记录病毒。主引导记录病毒感染硬盘的主引导区,如大麻病毒、2708病毒、火炬病毒等;分区引导记录病毒感染硬盘的活动分区引导记录,如小球病毒、Girl病毒等。
文件型病毒是指能够寄生在文件中的计算机病毒。这类病毒程序感染可执行文件或数据文件。如1575/1591病毒、848病毒感染。COM和。EXE等可执行文件;Macro/Concept、Macro/Atoms等宏病毒感染。DOC文件。
复合型病毒是指具有引导型病毒和文件型病毒寄生方式的计算机病毒。这种病毒扩大了病毒程序的传染途径,它既感染磁盘的引导记录,又感染可执行文件。当染有此种病毒的磁盘用于引导系统或调用执行染毒文件时,病毒都会被激活。因此在检测、清除复合型病毒时,必须全面彻底地根治,如果只发现该病毒的一个特性,把它只当作引导型或文件型病毒进行清除。虽然好像是清除了,但还留有隐患,这种经过消毒后的“洁净”系统更富有攻击性。这种病毒有Flip病毒、新世际病毒、One-half病毒等。
2.按破坏性分为良性病毒和恶性病毒
良性病毒是指那些只是为了表现自身,并不彻底破坏系统和数据,但会大量占用CPU时间,增加系统开销,降低系统工作效率的一类计算机病毒。这种病毒多数是恶作剧者的产物,他们的目的不是为了破坏系统和数据,而是为了让使用染有病毒的计算机用户通过显示器或扬声器看到或听到病毒设计者的编程技术,这类病毒有小球病毒、1575/1591病毒、救护车病毒、扬基病毒等等。
恶性病毒是指那些一旦发作后,就会破坏系统或数据,造成计算机系统瘫痪的一类计算机病毒。这类病毒有黑色星期五病毒、火炬病毒、米开朗基罗病毒等。这种病毒危害性极大,有些病毒发作后可以给用户造成不可挽回的损失。
7.1.4计算机病毒的来源和主要危害
在计算机病毒出现的初期,说到计算机病毒的危害,往往注重于病毒对信息系统的直接破坏作用,比如格式化硬盘、删除文件数据等,并以此来区分恶性病毒和良性病毒。其实这些只是病毒劣迹的一部分,随着计算机应用的发展,人们深刻地认识到凡是病毒都可能对计算机信息系统造成严重的破坏。
计算机病毒的来源包括:引进的计算机系统和软件中带有病毒;各类出国人员带回的机器和软件染有病毒;一些染有病毒的游戏软件;非法拷贝中毒;计算机生产、经营单位销售的机器和软件染有病毒;维修部门交叉感染;有人研制、改造病毒;敌对分子以病毒进行宣传和破坏;通过国际计算机网络传入等。
计算机病毒的主要危害有以下几个方面:
1.病毒激发对计算机数据信息的直接破坏作用
大部分病毒在激发的时候直接破坏计算机的重要信息数据,所利用的手段有格式化磁盘、改写文件分配表和目录区、删除重要文件或者用无意义的“垃圾”数据改写文件、破坏CMO5设置等。磁盘杀手病毒(D1SK KILLER),内含计数器,在硬盘染毒后累计开机时间48小时内激发:警告!D1SK KILLER在工作,不要关闭电源或取出磁盘,改写硬盘数据。被D1SK KILLER破坏的硬盘可以用杀毒软件修复,不要轻易放弃。
2.占用磁盘空间和对信息的破坏
寄生在磁盘上的病毒总要非法占用一部分磁盘空间。引导型病毒的一般侵占方式是由病毒本身占据磁盘引导扇区,而把原来的引导区转移到其他扇区,也就是引导型病毒要覆盖一个磁盘扇区。被覆盖的扇区数据永久性丢失,无法恢复。文件型病毒利用一些DOS功能进行传染,这些DOS功能能够检测出磁盘的未用空间,把病毒的传染部分写到磁盘的未用部位去。所以在传染过程中一般不破坏磁盘上的原有数据,但非法侵占了磁盘空间。一些文件型病毒传染速度很快,在短时间内感染大量文件,每个文件都不同程度地加长了,就造成磁盘空间的严重浪费。
3.抢占系统资源
除VIENNA、CASPER等少数病毒外,其他大多数病毒在动态下都是常驻内存的,这就必然抢占一部分系统资源。病毒所占用的基本内存长度大致与病毒本身长度相当。病毒抢占内存,导致内存减少,一部分软件不能运行。除占用内存外,病毒还抢占终端,干扰系统运行。计算机操作系统的很多功能是通过终端调用技术来实现的。病毒为了传染激发,总是修改一些有关的终端地址,在正常终端过程中加入病毒的“私货”,从而干扰了系统的正常运行。
4.影响计算机运行速度
病毒进驻内存后不但干扰系统运行,还影响计算机速度,主要表现在:
(1)病毒为了判断传染激发条件,总要对计算机的工作状态进行监视,这相对于计算机的正常运行状态既多余又有害。
(2)有些病毒为了保护自己,不但对磁盘上的静态病毒加密,而且进驻内存后的动态病毒也处在加密状态,CPU每次寻址到病毒处时要运行一段解密程序把加密的病毒解密成合法的CPU指令再执行;而病毒运行结束时再用一段程序对病毒重新加密。这样CPU额外执行数千条以至上万条指令。
(3)病毒在进行传染时同样要插入非法的额外操作,特别是传染软盘时不但计算机速度明显变慢,而且软盘正常的读写顺序被打乱,发出刺耳的噪声。
5.计算机病毒错误与不可预见的危害
计算机病毒与其他计算机软件的一大差别是病毒的无责任性。编制一个完善的计算机软件需要耗费大量的人力、物力,经过长时间调试完善,软件才能推出。但在病毒编制者看来既没有必要这样做,也不可能这样做。很多计算机病毒都是个别人在一台计算机上匆匆编制调试后就向外抛出。反病毒专家在分析大量病毒后发现绝大部分病毒都存在不同程度的错误。错误病毒的另一个主要来源是变种病毒。有些初学计算机者尚不具备独立编制软件的能力,出于好奇或其他原因,修改别人的病毒,造成错误。计算机病毒错误所产生的后果往往是不可预见的,反病毒工作者曾经详细指出“黑色星期五”病毒存在9处错误,“乒乓病毒”有5处错误等。但是人们不可能花费大量时间去分析数万种病毒的错误所在,大量含有未知错误的病毒扩散传播,其后果是难以预料的。
6.计算机病毒的兼容性对系统运行的影响
兼容性是计算机软件的一项重要指标,兼容性好的软件可以在各种计算机环境下运行,反之兼容性差的软件则对运行条件“挑肥拣瘦”,要求机型和操作系统版本等。病毒的编制者一般不会在各种计算机环境下对病毒进行测试,因此病毒的兼容性较差,常常导致死机。
7.计算机病毒给用户造成严重的心理压力
有关计算机销售部门统计,计算机售后用户怀疑“计算机有病毒”而提出咨询约占售后服务工作量的60%以上。经检测确实存在病毒的约占70%,另有30%情况只是用户怀疑,而实际上计算机并没有病毒。那么用户怀疑病毒的理由是什么呢?多半是出现诸如计算机死机、软件运行异常等现象。这些现象确实很有可能是计算机病毒造成的。但又不全是,实际上在计算机工作“异常”的时候很难要求一位普通用户去准确判断是否是病毒所为。大多数用户对病毒采取宁可信其有的态度,这对于保护计算机安全无疑是十分必要的,然而往往要付出时间、金钱等方面的代价。仅仅怀疑病毒而盲目格式化磁盘所带来的损失更是难以弥补。不仅是个人单机用户,在一些大型网络系统中也难免为甄别病毒而停机。总之计算机病毒像“幽灵”一样笼罩在广大计算机用户心头,给人们造成巨大的心理压力,极大地影响了现代计算机的使用效率,由此带来的无形损失是难以估量的。
电脑病毒对电脑系统可以造成很大的影响,大部分的病毒都是把电脑程式及数据破坏,病毒对电脑的危害是众所周知的,轻则影响机器速度,重则破坏文件或造成死机。为方便随时对电脑进行保养和维护,必须准备工具,如干净的启动盘、一键恢复、系统还原,以及杀病毒和磁盘工具软件等,以应付系统感染病毒或硬盘不能启动等情况。此外,还应准备各种配件的驱动程序,如光驱、声卡、显示卡、Modem等,软驱和光驱的清洗盘及其清洗液等也应常备。
7.1.5几种电脑病毒的基础知识
1.什么是蠕虫病毒,如何防护?
蠕虫病毒(Worm)是计算机病毒的一种,通过网络传播,目前主要的传播途径有电子邮件、系统漏洞、聊天软件等。蠕虫病毒是传播最快的病毒种类之一,传播速度最快的蠕虫可以在几分钟之内传遍全球,2003年的“冲击波”病毒、2004年的“震荡波”病毒、2005年上半年的“烤鸡”病毒都属于蠕虫病毒。
目前危害比较大的蠕虫病毒主要通过三种途径传播:系统漏洞、聊天软件和电子邮件。
其中利用系统漏洞传播的病毒往往传播速度极快,如利用微软04-011漏洞的“震荡波”病毒,3天之内就感染了全球至少50万台计算机。
防止系统漏洞类蠕虫病毒的侵害,最好的办法是打好相应的系统补丁,可以应用瑞星杀毒软件的“漏洞扫描”工具,这款工具可以引导用户打好补丁并进行相应的安全设置,彻底杜绝病毒的感染。
通过电子邮件传播,是近年来病毒作者青睐的方式之一,像“恶鹰”、“网络天空”等都是危害巨大的邮件蠕虫病毒。这样的病毒往往会频繁大量地出现变种,用户染毒后往往会造成数据丢失、个人信息失窃、系统运行变慢等。
防范邮件蠕虫的最好办法,就是提高自己的安全意识,不要轻易打开带有附件的电子邮件。另外,启用瑞星杀毒软件的“邮件发送监控”和“邮件接收监控”功能,也可以提高自己对病毒邮件的防护能力。
从2004年起,MSN、QQ等聊天软件开始成为蠕虫病毒传播的途径之一。“性感烤鸡”病毒就通过MSN软件传播,在很短时间内席卷全球,一度造成中国大陆地区部分网络运行异常。
对于普通用户来讲,防范聊天蠕虫的主要措施之一,就是提高安全防范意识,对于通过聊天软件发送的任何文件,都要经过好友确认后再运行;不要随意点击聊天软件发送的网络链接。
随着网络和病毒编写技术的发展,综合利用多种途径的蠕虫也越来越多,比如有的蠕虫病毒就是通过电子邮件传播,同时利用系统漏洞侵入用户系统。还有的病毒会同时通过邮件、聊天软件等多种渠道传播。
专家提醒用户,在使用瑞星杀毒软件单机版、瑞星杀毒软件下载版的时候,一定要打开它们的八大监控,这样就可以较好的防范蠕虫病毒的攻击。
2.什么是木马病毒,如何防治?
木马(Trojan)这个名字来源于古希腊传说,木马病毒是指通过一段特定的程序(木马程序)来控制另一台计算机。木马通常有两个可执行程序:一个是客户端,即控制端;另一个是服务端,即被控制端。木马的设计者为了防止木马被发现,而采用多种手段隐藏木马。木马的服务一旦运行并被控制端连接,其控制端将享有服务端的大部分操作权限,例如给计算机增加口令,浏览、移动、复制、删除文件,修改注册表,更改计算机配置等。
随着病毒编写技术的发展,木马程序对用户的威胁越来越大,尤其是一些木马程序采用了极其狡猾的手段来隐蔽自己,使普通用户很难在中毒后发觉。
防治木马的危害,应该采取以下措施:
安装杀毒软件和个人防火墙,并及时升级;
把个人防火墙设置好安全等级,防止未知程序向外传送数据;
可以考虑使用安全性比较好的浏览器和电子邮件客户端工具;
如果使用IE浏览器,应该安装卡卡安全助手,防止恶意网站在自己电脑上安装不明软件和浏览器插件,以免被木马趁机侵入。
3.什么是恶意脚本?
恶意脚本是指一切以制造危害或者损害系统功能为目的而从软件系统中增加、改变或删除的任何脚本。传统的恶意脚本包括:病毒、蠕虫、特洛伊木马攻击性脚本。更新的例子包括:Java攻击小程序(Java attack applets)和危险的ActiveX控件。
防治恶意脚本,应该采取以下措施:
上网时开启瑞星杀毒软件的八大监控;
不要轻易浏览不良网站;
如果怀疑自己感染了恶意脚本,可以登录瑞星免费查毒网站,对自己的电脑进行全面扫描。
4.什么是广告软件?
广告软件(Adware)是指未经用户允许,下载并安装或与其他软件捆绑通过弹出式广告或以其他形式进行商业广告宣传的程序。安装广告软件之后,往往造成系统运行缓慢或系统异常。
防治广告软件,应注意以下方面:
不要轻易安装共享软件或“免费软件”,这些软件里往往含有广告程序、间谍软件等不良软件,可能带来安全风险;
有些广告软件通过恶意网站安装,所以,不要浏览不良网站;
采用安全性比较好的网络浏览器,并注意弥补系统漏洞。
5.什么是间谍软件?
间谍软件(Spyware)是能够在使用者不知情的情况下,在用户电脑上安装后门程序的软件。用户的隐私数据和重要信息会被那些后门程序捕获,甚至这些“后门程序”还能使“黑客”远程操纵用户的电脑。
防治间谍软件,应注意以下方面:
不要轻易安装共享软件或“免费软件”,这些软件里往往含有广告程序、间谍软件等不良软件,可能带来安全风险;
有些间谍软件通过恶意网站安装,所以,不要浏览不良网站;
采用安全性比较好的网络浏览器,并注意弥补系统漏洞。
6.什么是恶意共享软件?
恶意共享软件(malicious shareware)是指采用不正当的捆绑或不透明的方式强制安装在用户的计算机上,并且利用一些病毒常用的技术手段造成软件很难被卸载,或采用一些非法手段强制用户购买的免费、共享软件。
安装共享软件时,应注意以下方面:
注意仔细阅读软件提供的“安装协议”,不要随便点“next”进行安装。
不要安装从不良渠道获得的盗版软件,这些软件往往由于破解不完全,安装之后带来安全风险。
使用具有破坏性功能的软件,如硬盘整理、分区软件等,一定要仔细了解它的功能之后再使用,避免因误操作产生不可挽回的损失。
7.什么是浏览器劫持?
浏览器劫持是一种恶意程序,通过DLL插件、BHO、Winsock LSP等形式对用户的浏览器进行篡改,使用户浏览器出现访问正常网站时被转向到恶意网页、IE浏览器主页/搜索页等被修改为劫持软件指定的网站地址等异常。
浏览器劫持如何防止,被劫持之后应采取什么措施?
浏览器劫持分为多种不同的方式,从最简单的修改IE默认搜索页到最复杂的通过病毒修改系统设置并设置病毒守护进程,劫持浏览器,都有人采用。针对这些情况,用户应该采取如下措施:
不要轻易浏览不良网站;
不要轻易安装共享软件、盗版软件;
建议使用安全性能比较高的浏览器,并可以针对自己的需要对浏览器的安全设置进行相应调整;
如果给浏览器安装插件,尽量从浏览器提供商的官方网站下载;
如果浏览器被劫持,可以先用瑞星杀毒软件、瑞星杀毒软件下载版或瑞星在线杀毒服务对电脑进行彻底杀毒,再使用卡卡安全助手的“系统修复”功能,就可以使系统恢复正常。
8.什么是网络钓鱼?
网络钓鱼(Phishing)攻击者利用欺骗性的电子邮件和伪造的Web站点来进行网络诈骗活动,受骗者往往会泄露自己的私人资料,如信用卡号、银行卡账户、身份证号等内容。诈骗者通常会将自己伪装成网络银行、在线零售商和信用卡公司等可信的品牌,骗取用户的私人信息。
可以采取以下措施防备网络钓鱼:
不要在网上留下可以证明自己身份的任何资料,包括手机号码、身份证号、银行卡号码等。
不要把自己的隐私资料通过网络传输,包括银行卡号码、身份证号、电子商务网站账户等资料不要通过QQ、MSN、E-mail等软件传播,这些途径往往可能被“黑客”利用来进行诈骗。
不要相信网上流传的消息,除非得到权威途径的证明。如网络论坛、新闻组、QQ等往往有人发布谣言,伺机窃取用户的身份资料等。
不要在网站注册时透露自己的真实资料。例如住址、住宅电话、手机号码、自己使用的银行账户、自己经常去的消费场所等,骗子们可能利用这些资料去欺骗你的朋友。如果涉及金钱交易、商业合同、工作安排等重大事项,不要仅仅通过网络完成,有心计的骗子们可能通过这些途径了解用户的资料,伺机进行诈骗。
不要轻易相信通过电子邮件、网络论坛等发布的中奖信息、促销信息等,除非得到另外途径的证明。正规公司一般不会通过电子邮件给用户发送中奖信息和促销信息,而骗子们往往喜欢这样进行诈骗。