一�����、什么是計算機病毒
計算機病毒不同于生物醫(yī)學上的“病毒”,計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)����,影響計算機使用并能自我復制的一組計算機指令或者程序代碼����。由于它的所做所為與生物病毒很相像����,人們才給它起了這么一個“響亮”的名字�����。與生物病毒不同的是幾乎所有的計算機病毒都是人為地故意制造出來的��,有時一旦擴散出來后連制造者自己也無法控制�。它已經(jīng)不是一個簡單的技術問題,而是一個嚴重的社會問題了�。目前,全球已有的計算機病毒約7萬余種����。
下我們將生物醫(yī)學病毒與感染IBM-PC機的DOS環(huán)境下的病毒的特征進行對比。
|
生物病毒 |
計算機病毒 |
|
攻擊生物機體特定細胞 |
攻擊特定程序(所有*.COM 和*.EXE文件[針對MS-DOS環(huán)境]) |
|
修改細胞的遺傳信息�,使病毒在被感染的細胞中繁殖 |
操縱程序使被感染程序能復制病毒程序 |
|
被感染的細胞不再重復感染,并且被感染的機體很長時間沒有癥狀 |
很多計算機病毒只感染程序一次��,被感染的程序很長時間可以正常運行 |
|
病毒并非感染所有的細胞��,并且病毒可以產(chǎn)生變異 |
程序能夠加上免疫標志�����,防止感染。但計算機病毒能夠修改自身使免疫失效 |
二���、網(wǎng)絡蠕蟲和特洛伊木馬程序
1988年一個由美國CORNELL大學研究生莫里斯編寫的蠕蟲病毒蔓延造成了數(shù)千臺計算機停機�����,蠕蟲病毒開始現(xiàn)身網(wǎng)絡��。而后來的紅色代碼�,尼姆達病毒瘋狂的時候���,造成幾十億美元的損失���。2003年1月26日, 一種名為“2003蠕蟲王”的蠕蟲病毒迅速傳播并襲擊了全球,致使互聯(lián)網(wǎng)網(wǎng)路嚴重堵塞�����,互聯(lián)網(wǎng)域名服務器癱瘓�,造成網(wǎng)民瀏覽互聯(lián)網(wǎng)網(wǎng)頁及收發(fā)電子郵件的速度大幅減緩, 同時銀行自動提款機的運作中斷, 機票等網(wǎng)絡預訂系統(tǒng)的運作中斷, 信用卡等收付款系統(tǒng)出現(xiàn)故障。國外專家估計,造成的直接經(jīng)濟損失在12億美元以上���。
網(wǎng)絡蠕蟲(worm)主要是利用操作系統(tǒng)和應用程序漏洞傳播��,通過網(wǎng)絡的通信功能將自身從一個結點發(fā)送到另一個結點并啟動運行的程序���,可以造成網(wǎng)絡服務遭到拒絕并發(fā)生死鎖�����!叭湎x”由兩部分組成:一個主程序和一個引導程序��。 主程序一旦在機器上建立就會去收集與當前機器聯(lián)網(wǎng)的其它機器的信息�。它能通過讀取公共配置文件并運行顯示當前網(wǎng)上聯(lián)機狀態(tài)信息的系統(tǒng)實用程序而做到這一點。隨后���,它嘗試利用前面所描述的那些缺陷去在這些遠程機器上建立其引導程序���。
特洛伊木馬程序(Trojan horse)是一個隱藏在合法程序中的非法的程序。該非法程序被用戶在不知情的情況下被執(zhí)行���。其名稱源于古希臘的特洛伊木馬神話�,傳說希臘人圍攻特洛伊城�����,久久不能得手。后來想出了一個木馬計�����,讓士兵藏匿于巨大的木馬中���。大部隊假裝撤退而將木馬擯棄于特洛伊城����,讓敵人將其作為戰(zhàn)利品拖入城內(nèi)�。木馬內(nèi)的士兵則乘夜晚敵人慶祝勝利、放松警惕的時候從木馬中爬出來��,與城外的部隊里應外合而攻下了特洛伊城�。
當有用程序被調(diào)用時,隱藏的木馬程序將執(zhí)行某種有害功能���,例如顯示訊息��、刪除文件或將磁盤格式化��,并能用于間接實現(xiàn)非授權用戶不能直接實現(xiàn)的功能���。特洛依木馬型病毒不會感染其他寄宿文件���,清除特洛依木馬型病毒的方法是直接刪除受感染的程序。
三�、計算機病毒的傳播
計算機病毒的傳播途徑主要有:1��、通過文件系統(tǒng)傳播��;2����、通過電子郵件傳播;3����、通過局域網(wǎng)傳播;4����、通過互聯(lián)網(wǎng)上即時通訊軟件和點對點軟件等常用工具傳播;利用系統(tǒng)���、應用軟件的漏洞進行傳播�;6、利用系統(tǒng)配置缺陷傳播��,如弱口令�、完全共享等;7�、利用欺騙等社會工程的方法傳播。
計算機病毒的傳播過程可簡略示意如下:
四�、計算機病毒的特征
計算機病毒作為一種特殊的程序具有以下特征:
(一)非授權可執(zhí)行性,計算機病毒隱藏在合法的程序或數(shù)據(jù)中,當用戶運行正常程序時,病毒伺機竊取到系統(tǒng)的控制權,得以搶先運行,然而此時用戶還認為在執(zhí)行正常程序���;
(二)隱蔽性�����,計算機病毒是一種具有很高編程技巧����、短小精悍的可執(zhí)行程序�,它通常總是想方設法隱藏自身,防止用戶察覺��;
(三)傳染性�,傳染性是計算機病毒最重要的一個特征,病毒程序一旦侵入計算機系統(tǒng)就通過自我復制迅速傳播。
(四)潛伏性�����,計算機病毒具有依附于其它媒體而寄生的能力,這種媒體我們稱之為計算機病毒的宿主。依靠病毒的寄生能力,病毒可以悄悄隱藏起來,然后在用戶不察覺的情況下進行傳染�。
(五)表現(xiàn)性或破壞性。無論何種病毒程序一旦侵入系統(tǒng)都會對操作系統(tǒng)的運行造成不同程度的影響���。即使不直接產(chǎn)生破壞作用的病毒程序也要占用系統(tǒng)資源���。而絕大多數(shù)病毒程序要顯示一些文字或圖象,影響系統(tǒng)的正常運行,還有一些病毒程序刪除文件,甚至摧毀整個系統(tǒng)和數(shù)據(jù),使之無法恢復,造成無可挽回的損失���。
(六)可觸發(fā)性��,計算機病毒一般都有一個或者幾個觸發(fā)條件��。一旦滿足觸發(fā)條件或者激活病毒的傳染機制,使之進行傳染;或者激活病毒的表現(xiàn)部分或破壞部分�。觸發(fā)的實質是一種條件的控制,病毒程序可以依據(jù)設計者的要求,在一定條件下實施攻擊����。這個條件可以是敲入特定字符,某個特定日期或特定時刻,或者是病毒內(nèi)置的計數(shù)器達到一定次數(shù)等。
五�、用戶計算機中毒的24種癥狀
一是計算機系統(tǒng)運行速度減慢。二是計算機系統(tǒng)經(jīng)常無幫故發(fā)生死機��。三是計算機系統(tǒng)中的文件長度發(fā)生變化。四是計算機存儲的容量異常減少���。五是系統(tǒng)引導速度減慢��。六是丟失文件或文件損壞��。七是計算機屏幕上出現(xiàn)異常顯示�。八是計算機系統(tǒng)的蜂鳴器出現(xiàn)異常聲響����。九是磁盤卷標發(fā)生變化。十是系統(tǒng)不識別硬盤���。十一是對存儲系統(tǒng)異常訪問�����。十二是鍵盤輸入異常��。十三是文件的日期�����、時間�、屬性等發(fā)生變化。十四是文件無法正確讀取��、復制或打開�����。十五是命令執(zhí)行出現(xiàn)錯誤�。十六是虛假報警。十七是換當前盤���。有些病毒會將當前盤切換到C盤�。十八是時鐘倒轉���。有些病毒會命名系統(tǒng)時間倒轉,逆向計時����。十九是WINDOWS操作系統(tǒng)無故頻繁出現(xiàn)錯誤。二十是系統(tǒng)異常重新啟動��。二十一是一些外部設備工作異常�。二十二是異常要求用戶輸入密碼。二十三是WORD或EXCEL提示執(zhí)行“宏”�����。二十四是不應駐留內(nèi)存的程序駐留內(nèi)存。
六�����、計算機病毒防治策略
計算機病毒的防治要從防毒���、查毒�����、解毒三方面來進行�;系統(tǒng)對于計算機病毒的實際防治能力和效果也要從防毒能力���、查毒能力和解毒能力三方面來評判��。
(一)防毒��。是指根據(jù)系統(tǒng)特性���,采取相應的系統(tǒng)安全措施預防病毒侵入計算機。防毒能力是指通過采取防毒措施�,可以準確��、實時監(jiān)測預警經(jīng)由光盤��、軟盤�����、硬盤不同目錄之間��、局域網(wǎng)��、互聯(lián)網(wǎng)(包括FTP方式�����、E-MAIL��、HTTP方式)或其它形式的文件下載等多種方式的病毒感染�;能夠在病毒侵入系統(tǒng)時發(fā)出警報���,記錄攜帶病毒的文件,即時清除其中的病毒����;對網(wǎng)絡而言�����,能夠向網(wǎng)絡管理員發(fā)送關于病毒入侵的信息�,記錄病毒入侵的工作站��,必要時還要能夠注銷工作站��,隔離病毒源��。
(二)查毒�。是指對于確定的環(huán)境,能夠準確地報出病毒名稱����,該環(huán)境包括,內(nèi)存���、文件�、引導區(qū)(含主導區(qū))�、網(wǎng)絡等。查毒能力是指發(fā)現(xiàn)和追蹤病毒來源的能力��,通過查毒能準確地發(fā)現(xiàn)信息網(wǎng)絡是否感染有病毒,準確查找出病毒的來源���,給出統(tǒng)計報告���;查解病毒的能力應由查毒率和誤報率來評判。
(三)解毒����。是指根據(jù)不同類型病毒對感染對象的修改,并按照病毒的感染特性所進行的恢復���。該恢復過程不能破壞未被病毒修改的內(nèi)容���。感染對象包括:內(nèi)存、引導區(qū)(含主引導區(qū))����、可執(zhí)行文件、文檔文件�、網(wǎng)絡等。解毒能力是指從感染對象中清除病毒���,恢復被病毒感染前的原始信息的能力。
七、計算機病毒診斷方法
通常計算機病毒的檢測方法有兩種:
(一)手工檢測��。是指通過一些軟件工具(如DEBUG.COM�、PCTOOLS.EXE、NU.COM���、SYSINFO.EXE等)提供的功能進行病毒的檢測���。這種方法比較復雜,需要檢測者熟悉機器指令和操作系統(tǒng)����,因而無法普及。它的基本過程是利用一些工具軟件��,對易遭病毒攻擊和修改的內(nèi)存及磁盤的有關部分進行檢查�,通過和正常情況下的狀態(tài)進行對比分析,來判斷是否被病毒感染�����。這種方法檢測病毒�����,費時費力,但可以剖析新病毒��,檢測識別未知病毒���,可以檢測一些自動檢測工具不認識的新病毒�。
(二)自動檢測���。是指通過一些診斷軟件來判讀一個系統(tǒng)或一個軟盤是否有毒的方法����。自動檢測則比較簡單�,一般用戶都可以進行,但需要較好的診斷軟件����。這種方法可方便地檢測大量的病毒,但是�,自動檢測工具只能識別已知病毒,而且自動檢測工具的發(fā)展總是滯后于病毒的發(fā)展����,所以檢測工具對未知病毒很難識別。
八��、防范特洛伊木馬攻擊
特洛伊木馬是在執(zhí)行看似正常的程序時,還同時運行了未被察覺的有破壞性的程序��;木馬通常能夠將重要的信息傳送給攻擊者�,而且攻擊者可以把任意數(shù)量的程序植入木馬����。對于木馬的防范可以采取以下措施:
不要執(zhí)行任何來歷不明的軟件或程序;不要輕易打開陌生郵件�,或許當你打開的同時就已經(jīng)中了別人設置的木馬;不要因為對方是你的好朋友就輕易執(zhí)行他發(fā)過來的軟件或程序���,因為你不確信他是否也像你一樣裝上了病毒防火墻��,也許你的朋友已經(jīng)中了黑客程序自己卻不知道��!同時���,你也不能擔保是否有別人冒他的名給你發(fā)mail;千萬不要隨便留下你的個人資料�����,因為你永遠不會知道是否有人會處心積慮收集起來����。
九���、網(wǎng)絡病毒的清理和防治
網(wǎng)絡病毒的清理防治方法主要有:1、全面地與互聯(lián)網(wǎng)結合�,對網(wǎng)絡層、郵件客戶端進行實時監(jiān)控�,防止病毒入侵;2����、快速反應的病毒檢測網(wǎng),在病毒爆發(fā)的第一時間即能提供解決方案��;3�����、病毒防治產(chǎn)品完善的在線升級��,隨時擁有最新的防病毒能力�����;4��、對病毒經(jīng)常攻擊的應用程序提供重點保護(如Office、Outlook�����、IE�、ICQ/QQ等);5��、獲取完整�、即時的反病毒咨詢����,盡快了解新病毒的特點和解決方案。
十��、如何防治病毒
根據(jù)計算機病毒的傳播特點��,防治計算機病毒關鍵是注意以下幾點:
(一)要提高對計算機病毒危害的認識���。計算機病毒再也不是象過去那樣的無關緊要的小把戲了����,在計算機應用高度發(fā)達的社會��,計算機病毒對信息網(wǎng)絡破壞造成的危害越來越大大。
(二)養(yǎng)成使用計算機的良好習慣���。對重要文件必須保留備份�、不在計算機上亂插亂用盜版光盤和來路不明的盤����,經(jīng)常用殺毒軟件檢查硬盤和每一張外來盤等。
(三)大力普及殺毒軟件���,充分利用和正確使用現(xiàn)有的殺毒軟件����,定期查殺計算機病毒��,并及時升級殺毒軟件���。有的用戶對殺毒軟件從不升級���,仍用幾年前的老版本來對付新病毒;有的根本沒有啟用殺毒軟件�;還有的則不會使用殺毒軟件的定時查殺等功能。
(四)及時了解計算機病毒的發(fā)作時間,及時采取措施���。大多數(shù)計算機病毒的發(fā)作是有時間限定的�。如CIH病毒的三個變種的發(fā)作時間就限定為4月26日���、6月26日��、每月26日��。特別是在大的計算機病毒爆發(fā)前夕��。
(五)開啟計算機病毒查殺軟件的適時監(jiān)測功能,特別是有利于及時防范利用網(wǎng)絡傳播的病毒�,如一些惡意腳本程序的傳播。
(六)加強對網(wǎng)絡流量等異常情況的監(jiān)測���,做好異常情況的技術分析�。對于利用網(wǎng)絡和操作系統(tǒng)漏洞傳播的病毒�����,可以采取分割區(qū)域統(tǒng)一清除的辦法���,在清除后要及時采取打補丁和系統(tǒng)升級等安全措施�����。
(七)有規(guī)律的備份系統(tǒng)關鍵數(shù)據(jù)�,建立應對災難的數(shù)據(jù)安全策略,如災難備份計劃(備份時間表��、備份方式�����、容災措施)和災難恢復計劃�,保證備份的數(shù)據(jù)能夠正確、迅速地恢復�。
十一、如何選擇計算機病毒防治產(chǎn)品
一般用戶應選擇:1��、具有發(fā)現(xiàn)���、隔離并清除病毒功能的計算機病毒防治產(chǎn)品��;2�、產(chǎn)品是否具有實時報警(包括文件監(jiān)控�����、郵件監(jiān)控、網(wǎng)頁腳本監(jiān)控等)功能�;3、多種方式及時升級���;4����、統(tǒng)一部署防范技術的管理功能�;5、對病毒清除是否徹底�,文件修復后是否完整、可用����;6����、產(chǎn)品的誤報、漏報率較低��;7��、占用系統(tǒng)資源合理,產(chǎn)品適應性較好���。
對于企業(yè)用戶要選擇能夠從一個中央位置進行遠程安裝��、升級���,能夠輕松、自動����、快速地獲得最新病毒代碼、掃描引擎和程序文件�,使維護成本最小化的產(chǎn)品;產(chǎn)品提供詳細的病毒活動記錄����,跟蹤病毒并確保在有新病毒出現(xiàn)時能夠為管理員提供警報;為用戶提供前瞻性的解決方案����,防止新病毒的感染;通過基于web和Windows的圖形用戶界面提供集中的管理����,最大限度地減少網(wǎng)絡管理員在病毒防護上所花費的時間��。
十二��、計算機病毒防治管理辦法
為了加強計算機病毒的防治管理工作�����,2000年公安部發(fā)布了《計算機病毒防治管理辦法》�����。規(guī)定各級公安機關負責本行政區(qū)域內(nèi)的計算機病毒防治管理工作����。
規(guī)定禁止制作����、傳播計算機病毒,向社會發(fā)布虛假計算機病毒疫情����,承擔計算機病毒的認定工作的機構應由公安部公共信息網(wǎng)絡安全監(jiān)察部門批準�����,計算機信息系統(tǒng)的使用單位應當履行防治計算機病毒的職責。
來源:巨靈鳥 歡迎分享本文
