局域网病毒传播的方式特点及防范技巧.doc

资源描述

局域网病毒传播的方式特点及防范技巧局域网病毒传播的方式特点及防范技巧摘要计算机病毒(Computer Virus)在《中华人民共和国计算机信息系统安全保护条例》中被明确定义，病毒指“编制者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。病毒不是来源于突发或偶然的原因。病毒来自于一次偶然的事件，那时的研究人员为了计算出当时互联网的在线人数，然而它却自己“繁殖”了起来导致了整个服务器的崩溃和堵塞，有时一次突发的停电和偶然的错误，会在计算机的磁盘和内存中产生一些乱码和随机指令，但这些代码是无序和混乱的，病毒则是一种比较完美的，精巧严谨的代码，按照严格的秩序组织起来，及所在的系统网络环境相适应和配合起来，病毒不会通过偶然形成，并且需要有一定的长度，这个基本的长度从概率上来讲是不可能通过随机代码产生的。计算机资源的损失和破坏，不但会造成资源和财富的巨大浪费，而且有可能造成社会性的灾难，随着信息化社会的发展，计算机病毒的威胁日益严重，反病毒的任务也更加艰巨了。关键词：计算机病毒，计算机病毒的传播，危害目录第一章计算机病毒介绍 1 1.1 什么是计算机病毒 1 1.2 计算机病毒的特点 1 1.3 计算机病毒的分类 2 第二章计算机病毒的表现形式 4 2.1计算机病毒发作时的表现现象 4 2.2计算机病毒发作后的表现现象 6 第三章计算机病毒的传播途径 8 3.1软盘 8 3.2光盘 8 3.3硬盘 8 3.4 BBS 8 3.5病毒通过网络传播的方式 8 3.5.1 E-mail 9 3.5.2邮件附件 9 3.5.3 Web服务器 9 3.5.4文件共享 9 第四章病毒的防治 10 4.1病毒防治的意义 10 4.2病毒的预防 10 4.3计算机病毒如何处理 11 第五章星星网吧病毒防治 13 5.1 网吧中毒过程 13 5.1.1 尼姆达的传播方式 13 5.1.2 中毒后的表现形式 13 5.1.3如何消灭病毒 14 5.2 网吧的病毒防治 14 5.2.1安全维护从布线做起 14 5.2.2合理选购硬件防火墙 16 5.3安全防护的三个重要模块 18 5.4局域网内部安全措施 18 总结 20 参考文献 21 40 / 43 第一章计算机病毒介绍 1.1 什么是计算机病毒计算机病毒(Computer Virus)在《中华人民共和国计算机信息系统安全保护条例》中被明确定义，病毒指“编制者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。而在一般教科书及通用资料中被定义为:利用计算机软件及硬件的缺陷或操作系统漏洞，由被感染机内部发出的破坏计算机数据并影响计算机正常工作的一组指令集或程序代码。计算机病毒最早出现在70年代 David Gerrold 科幻小说 When H.A.R.L.I.E. was One.最早科学定义出现在 1983:在Fred Cohen (南加大) 的博士论文 “计算机病毒实验”“一种能把自己(或经演变)注入其它程序的计算机程序”启动区病毒,宏(macro)病毒,脚本(script)病毒也是相同概念传播机制同生物病毒类似.生物病毒是把自己注入细胞之中。病毒不是来源于突发或偶然的原因。病毒来自于一次偶然的事件，那时的研究人员为了计算出当时互联网的在线人数，然而它却自己“繁殖”了起来导致了整个服务器的崩溃和堵塞，有时一次突发的停电和偶然的错误，会在计算机的磁盘和内存中产生一些乱码和随机指令，但这些代码是无序和混乱的，病毒则是一种比较完美的，精巧严谨的代码，按照严格的秩序组织起来，及所在的系统网络环境相适应和配合起来，病毒不会通过偶然形成，并且需要有一定的长度，这个基本的长度从概率上来讲是不可能通过随机代码产生的。现在流行的病毒是由人为故意编写的，多数病毒可以找到作者和产地信息，从大量的统计分析来看，病毒作者主要情况和目的是：一些天才的程序员为了表现自己和证明自己的能力，出于对上司的不满，为了好奇，为了报复，为了祝贺和求爱，为了得到控制口令，为了软件拿不到报酬预留的陷阱等。当然也有因政治，军事，宗教，民族．专利等方面的需求而专门编写的，其中也包括一些病毒研究机构和黑客的测试病毒。 1.2 计算机病毒的特点（1）寄生性计算机病毒寄生在其他程序之中，当执行这个程序时，病毒就起破坏作用，而在未启动这个程序之前，它是不易被人发觉的。（2）传染性计算机病毒不但本身具有破坏性，更有害的是具有传染性，一旦病毒被复制或产生变种，其速度之快令人难以预防。传染性是病毒的基本特征。在生物界，病毒通过传染从一个生物体扩散到另一个生物体。在适当的条件下，它可得到大量繁殖，并使被感染的生物体表现出病症甚至死亡。同样，计算机病毒也会通过各种渠道从已被感染的计算机扩散到未被感染的计算机，在某些情况下造成被感染的计算机工作失常甚至瘫痪。及生物病毒不同的是，计算机病毒是一段人为编制的计算机程序代码，这段程序代码一旦进入计算机并得以执行，它就会搜寻其他符合其传染条件的程序或存储介质，确定目标后再将自身代码插入其中，达到自我繁殖的目的。只要一台计算机染毒，如不及时处理，那么病毒会在这台机子上迅速扩散，计算机病毒可通过各种可能的渠道，如软盘、计算机网络去传染其他的计算机。当您在一台机器上发现了病毒时，往往曾在这台计算机上用过的软盘已感染上了病毒，而及这台机器相联网的其他计算机也许也被该病毒染上了。是否具有传染性是判别一个程序是否为计算机病毒的最重要条件。病毒程序通过修改磁盘扇区信息或文件内容并把自身嵌入到其中的方法达到病毒的传染和扩散，而被嵌入的程序叫做宿主程序。（3）潜伏性有些病毒像定时炸弹一样，让它什么时间发作是预先设计好的。比如黑色星期五病毒，不到预定时间一点都觉察不出来，等到条件具备的时候一下子就爆炸开来，对系统进行破坏。一个编制精巧的计算机病毒程序，进入系统之后一般不会马上发作，因此病毒可以静静地躲在磁盘或磁带里呆上几天，甚至几年，一旦时机成熟，得到运行机会，就又要四处繁殖、扩散，继续为害。潜伏性的第二种表现是指，计算机病毒的内部往往有一种触发机制，不满足触发条件时，计算机病毒除了传染外不做什么破坏。触发条件一旦得到满足，有的在屏幕上显示信息、图形或特殊标识，有的则执行破坏系统的操作，如格式化磁盘、删除磁盘文件、对数据文件做加密、封锁键盘以及使系统死锁等。（4）隐蔽性计算机病毒具有很强的隐蔽性，有的可以通过病毒软件检查出来，有的根本就查不出来，有的时隐时现、变化无常，这类病毒处理起来通常很困难。（5）破坏性计算机中毒后，可能会导致正常的程序无法运行，把计算机内的文件删除或受到不同程度的损坏。通常表现为：增、删、改、移。（6）可触发性病毒因某个事件或数值的出现，诱使病毒实施感染或进行攻击的特性称为可触发性。为了隐蔽自己，病毒必须潜伏，少做动作。如果完全不动，一直潜伏的话，病毒既不能感染也不能进行破坏，便失去了杀伤力。病毒既要隐蔽又要维持杀伤力，它必须具有可触发性。病毒的触发机制就是用来控制感染和破坏动作的频率的。病毒具有预定的触发条件，这些条件可能是时间、日期、文件类型或某些特定数据等。病毒运行时，触发机制检查预定条件是否满足，如果满足，启动感染或破坏动作，使病毒进行感染或攻击；如果不满足，使病毒继续潜。 1.3 计算机病毒的分类按照科学的、系统的、严密的方法，计算机病毒可分为如下几类（1）按病毒存在的媒体根据病毒存在的媒体，病毒可以划分为网络病毒，文件病毒，引导型病毒。网络病毒通过计算机网络传播感染网络中的可执行文件，文件病毒感染计算机中的文件（如：COM，EXE，DOC等），引导型病毒感染启动扇区（Boot）和硬盘的系统引导扇区（MBR），还有这三种情况的混合型，例如：多型病毒（文件和引导型）感染文件和引导扇区两种目标，这样的病毒通常都具有复杂的算法，它们使用非常规的办法侵入系统，同时使用了加密和变形算法。（2）按病毒传染的方法根据病毒传染的方法可分为驻留型病毒和非驻留型病毒，驻留型病毒感染计算机后，把自身的内存驻留部分放在内存（RAM）中，这一部分程序挂接系统调用并合并到操作系统中去,他处于激活状态,一直到关机或重新启动.非驻留型病毒在得到机会激活时并不感染计算机内存,一些病毒在内存中留有小部分,但是并不通过这一部分进行传染,这类病毒也被划分为非驻留型病毒。（3）按病毒破坏的能力无害型：除了传染时减少磁盘的可用空间外，对系统没有其它影响。无危险型：这类病毒仅仅是减少内存、显示图像、发出声音及同类音响。危险型：这类病毒在计算机系统操作中造成严重的错误。非常危险型：这类病毒删除程序、破坏数据、清除系统内存区和操作系统中重要的信息。这些病毒对系统造成的危害，并不是本身的算法中存在危险的调用，而是当它们传染时会引起无法预料的和灾难性的破坏。由病毒引起其它的程序产生的错误也会破坏文件和扇区，这些病毒也按照他们引起的破坏能力划分。一些现在的无害型病毒也可能会对新版的DOS、Windows和其它操作系统造成破坏。例如：在早期的病毒中，有一个“Denzuk”病毒在360K磁盘上很好的工作，不会造成任何破坏，但是在后来的高密度软盘上却能引起大量的数据丢失。（4）按病毒的算法伴随型病毒：这一类病毒并不改变文件本身，它们根据算法产生EXE文件的伴随体，具有同样的名字和不同的扩展名（COM），例如：XCOPY.EXE的伴随体是XCOPY-COM。病毒把自身写入COM文件并不改变EXE文件，当DOS加载文件时，伴随体优先被执行到，再由伴随体加载执行原来的EXE文件。 “蠕虫”型病毒，通过计算机网络传播，不改变文件和资料信息，利用网络从一台机器的内存传播到其它机器的内存，计算网络地址，将自身的病毒通过网络发送。有时它们在系统存在，一般除了内存不占用其它资源。寄生型病毒，除了伴随和“蠕虫”型，其它病毒均可称为寄生型病毒，它们依附在系统的引导扇区或文件中，通过系统的功能进行传播，按其算法不同可分为：练习型病毒，病毒自身包含错误，不能进行很好的传播，例如一些病毒在调试阶段。诡秘型病毒，它们一般不直接修改DOS中断和扇区数据，而是通过设备技术和文件缓冲区等DOS内部修改，不易看到资源，使用比较高级的技术。利用DOS空闲的数据区进行工作变型病毒（又称幽灵病毒），这一类病毒使用一个复杂的算法，使自己每传播一份都具有不同的内容和长度。它们一般的作法是一段混有无关指令的解码算法和被变化过的病毒体组成。第二章计算机病毒的表现形式计算机病毒是客观存在的，客观存在的事物总有它的特性，计算机病毒也不例外。从实质上说，计算机病毒是一段程序代码，虽然它可能隐藏得很好，但也会留下许多痕迹。通过对这些蛛丝马迹的判别，我们就能发现计算机病毒的存在了。根据计算机病毒感染和发作的阶段，可以将计算机病毒的表现现象分为：计算机病毒发作时和发作后的表现现象。 2.1计算机病毒发作时的表现现象计算机病毒发作前，是指从计算机病毒感染计算机系统，潜伏在系统内开始，一直到激发条件满足，计算机病毒发作之前的一个阶段。在这个阶段，计算机病毒的行为主要是以潜伏、传播为主。计算机病毒会以各式各样的手法来隐藏自己，在不被发现同时，又自我复制，以各种手段进行传播。以下是一些计算机病毒发作前常见的表现现象： 1、平时运行正常的计算机突然经常性无缘无故地死机。病毒感染了计算机系统后，将自身驻留在系统内并修改了中断处理程序等，引起系统工作不稳定，造成死机现象发生。 2、操作系统无法正常启动。关机后再启动，操作系统报告缺少必要的启动文件，或启动文件被破坏，系统无法启动。这很可能是计算机病毒感染系统文件后使得文件结构发生变化，无法被操作系统加载、引导。 3、运行速度明显变慢。在硬件设备没有损坏或更换的情况下，本来运行速度很快的计算机，运行同样应用程序，速度明显变慢，而且重启后依然很慢。这很可能是计算机病毒占用了大量的系统资源，并且自身的运行占用了大量的处理器时间，造成系统资源不足，运行变慢。 4、以前能正常运行的软件经常发生内存不足的错误。某个以前能够正常运行的程序，程序启动的时候报系统内存不足，或者使用应用程序中的某个功能时报说内存不足。这可能是计算机病毒驻留后占用了系统中大量的内存空间，使得可用内存空间减校需要注意的是在Windows 95/98下，记事本程序所能够编辑的文本文件不超过64Kb字节，如果用"复制／粘贴"操作粘贴一段很大的文字到记事本程序时，也会报"内存不足，不能完成操作"的错误，但这不是计算机病毒在作怪。 5、打印和通讯发生异常。硬件没有更改或损坏的情况下，以前工作正常的打印机，近期发现无法进行打印操作，或打印出来的是乱码。串口设备无法正常工作，比如调制解调器不拨号。这很可能是计算机病毒驻留内存后占用了打印端口、串行通讯端口的中断服务程序，使之不能正常工作。 6、无意中要求对软盘进行写操作。没有进行任何读、写软盘的操作，操作系统提示软驱中没有插入软盘，或者要求在读娶复制写保护的软盘上的文件时打开软盘的写保护。这很可能是计算机病毒自动查找软盘是否在软驱中的时候引起的系统异常。需要注意的是有些编辑软件需要在打开文件的时候创建一个临时文件，也有的安装程序（如Office 97）对软盘有写的操作。 7、以前能正常运行的应用程序经常发生死机或者非法错误。在硬件和操作系统没有进行改动的情况下，以前能够正常运行的应用程序产生非法错误和死机的情况明显增加。这可能是由于计算机病毒感染应用程序后破坏了应用程序本身的正常功能，或者计算机病毒程序本身存在着兼容性方面的问题造成的? 8、系统文件的时间、日期、大小发生变化。这是最明显的计算机病毒感染迹象。计算机病毒感染应用程序文件后，会将自身隐藏在原始文件的后面，文件大小大多会有所增加，文件的访问和修改日期和时间也会被改成感染时的时间。尤其是对那些系统文件，绝大多数情况下是不会修改它们的，除非是进行系统升级或打补叮对应用程序使用到的数据文件，文件大小和修改日期、时间是可能会改变的，并不一定是计算机病毒在作怪。 9、运行Word，打开Word文档后，该文件另存时只能以模板方式保存。无法另存为一个DOC文档，只能保存成模板文档（DOT）。这往往是打开的Word文档中感染了Word宏病毒的缘故。 10、磁盘空间迅速减少。没有安装新的应用程序，而系统可用的可用的磁盘空间减少地很快。这可能是计算机病毒感染造成的。需要注意的是经常浏览网页、回收站中的文件过多、临时文件夹下的文件数量过多过大、计算机系统有过意外断电等情况也可能会造成可用的磁盘空间迅速减少。另一种情况是Windows 95/98下的内存交换文件的增长，在Windows 95/98下内存交换文件会随着应用程序运行的时间和进程的数量增加而增长，一般不会减少，而且同时运行的应用程序数量越多，内存交换文件就越大。 11、网络驱动器卷或共享目录无法调用。对于有读权限的网络驱动器卷、共享目录等无法打开、浏览，或者对有写权限的网络驱动器卷、共享目录等无法创建、修改文件。虽然目前还很少有纯粹地针对网络驱动器卷和共享目录的计算机病毒，但计算机病毒的某些行为可能会影响对网络驱动器卷和共享目录的正常访问。 12、基本内存发生变化。在DOS下用mem /c/p命令查看系统中内存使用状况的时候可以发现基本内存总字节数比正常的640Kb要小，一般少1Kb～2Kb。这通常是计算机系统感染了引导型计算机病毒所造成的。 13、陌生人发来的电子函件。收到陌生人发来的电子函件，尤其是那些标题很具诱惑力，比如一则笑话，或者一封情书等，又带有附件的电子函件。当然，这要及广告电子函件、垃圾电子函件和电子函件炸弹区分开。一般来说广告电子函件有很明确的推销目的，会有它推销的产品介绍；垃圾电子函件的内容要么自成章回，要么根本没有价值。这两种电子函件大多是不会携带附件的。电子函件炸弹虽然也带有附件，但附件一般都很大，少则上兆字节，多的有几十兆甚至上百兆字节，而电子函件计算机病毒的附件大多是脚本程序，通常不会超过100Kb字节。当然，电子函件炸弹在一定意义上也可以看成是一种黑客程序，是一种计算机病毒。 14、自动链接到一些陌生的网站。没有在上网，计算机会自动拨号并连接到因特网上一个陌生的站点，或者在上网的时候发现网络特别慢，存在陌生的网络链接。这种联接大多是黑客程序将收集到的计算机系统的信息"悄悄地"发回某个特定的网址，可以通过netstat命令查看当前建立的网络链接，再比照访问的网站来发现。需要注意的是有些网页中有一些脚本程序会自动链接到一些网页评比站点，或者是广告站点，这时候也会有陌生的网络链接出现。当然，这种情况也可以认为是非法的。一般的系统故障是有别及计算机病毒感染的。系统故障大多只符合上面的一点或二点现象，而计算机病毒感染所出现的现象会多的多。根据上述几点，就可以初步判断计算机和网络是否感染上了计算机病毒。 15、提示一些不相干的话。最常见的是提示一些不相干的话，比如打开感染了宏病毒的Word文档，如果满足了发作条件的话，它就会弹出对话框显示"这个世界太黑暗了！"，并且要求你输入"太正确了"后按确定按钮。 16、发出一段的音乐。恶作剧式的计算机病毒，最著名的是外国的"杨基"计算机病毒（Yangkee）和中国的"浏阳河"计算机病毒。"杨基"计算机病毒发作是利用计算机内置的扬声器演奏《杨基》音乐，而"浏阳河"计算机病毒更绝，当系统时钟为9月9日时演奏歌曲《浏阳河》，而当系统时钟为12月26日时则演奏《东方红》的旋律。这类计算机病毒大多属于"良性"计算机病毒，只是在发作时发出音乐和占用处理器资源。 17、产生特定的图像。另一类恶作剧式的计算机病毒，比如小球计算机病毒，发作时会从屏幕上方不断掉落下来小球图形。单纯地产生图像的计算机病毒大多也是"良性"计算机病毒，只是在发作时破坏用户的显示界面，干扰用户的正常工作。 18、硬盘灯不断闪烁。硬盘灯闪烁说明有硬盘读写操作。当对硬盘有持续大量的操作时，硬盘的灯就会不断闪烁，比如格式化或者写入很大很大的文件。有时候对某个硬盘扇区或文件反复读取的情况下也会造成硬盘灯不断闪烁。有的计算机病毒会在发作的时候对硬盘进行格式化，或者写入许多垃圾文件，或反复读取某个文件，致使硬盘上的数据遭到损失。具有这类发作现象的计算机病毒大多是"恶性"计算机病毒。 19、进行游戏算法。有些恶作剧式的计算机病毒发作时采取某些算法简单的游戏来中断用户的工作，一定要玩嬴了才让用户继续他的工作。比如曾经流行一时的"台湾一号"宏病毒，在系统日期为13日时发作，弹出对话框，要求用户做算术题。这类计算机病毒一般是属于"良性"计算机病毒，但也有那种用户输了后进行破坏的"恶性"计算机病毒。 20、Windows桌面图标发生变化。这一般也是恶作剧式的计算机病毒发作时的表现现象。把Windows缺省的图标改成其他样式的图标，或者将其他应用程序、快捷方式的图标改成Windows缺省图标样式，起到迷惑用户的作用。 21、计算机突然死机或重启。有些计算机病毒程序兼容性上存在问题，代码没有严格测试，在发作时会造成意想不到情况；或者是计算机病毒在Autoexec.bat文件中添加了一句：Format c：之类的语句，需要系统重启后才能实施破坏的。 22、自动发送电子函件。大多数电子函件计算机病毒都采用自动发送电子函件的方法作为传播的手段，也有的电子函件计算机病毒在某一特定时刻向同一个邮件服务器发送大量无用的信件，以达到阻塞该邮件服务器的正常服务功能。 23、鼠标自己在动。没有对计算机进行任何操作，也没有运行任何演示程序、屏幕保护程序等，而屏幕上的鼠标自己在动，应用程序自己在运行，有受遥控的现象。大多数情况下是计算机系统受到了黑客程序的控制，从广义上说这也是计算机病毒发作的一种现象。需要指出的是，有些是计算机病毒发作的明显现象，比如提示一些不相干的话、播放音乐或者显示特定的图像等。有些现象则很难直接判定是计算机病毒的表现现象，比如硬盘灯不断闪烁，当同时运行多个内存占用大的应用程序，比如3D MAX，Adobe Premiere等，而计算机本身性能又相对较弱的情况下，在启动和切换应用程序的时候也会使硬盘不停地工作，硬盘灯不断闪烁。【1】 2.2计算机病毒发作后的表现现象大多数计算机病毒都是属于"恶性"计算机病毒。"恶性"计算机病毒发作后往往会带来很大的损失，以下列举了一些恶性计算机病毒发作后所造成的后果： 1、硬盘无法启动，数据丢失计算机病毒破坏了硬盘的引导扇区后，就无法从硬盘启动计算机系统了。有些计算机病毒修改了硬盘的关键内容（如文件分配表，根目录区等），使得原先保存在硬盘上的数据几乎完全丢失。 2、系统文件丢失或被破坏通常系统文件是不会被删除或修改的，除非对计算机操作系统进行了升级。但是某些计算机病毒发作时删除了系统文件，或者破坏了系统文件，使得以后无法正常启动计算机系统.通常容易受攻击的系统文件C，Emm386.exe，W，Kernel.exe，User.exe等等。 3、文件目录发生混乱目录发生混乱有两种情况。一种就是确实将目录结构破坏，将目录扇区作为普通扇区，填写一些无意义的数据，再也无法恢复。另一种情况将真正的目录区转移到硬盘的其他扇区中，只要内存中存在有该计算机病毒，它能够将正确的目录扇区读出，并在应用程序需要访问该目录的时候提供正确的目录项，使得从表面上看来及正常情况没有两样。但是一旦内存中没有该计算机病毒，那么通常的目录访问方式将无法访问到原先的目录扇区。这种破坏还是能够被恢复的。 4、部分文档丢失或被破坏类似系统文件的丢失或被破坏，有些计算机病毒在发作时会删除或破坏硬盘上的文档，造成数据丢失。 5、部分文档自动加密码还有些计算机病毒利用加密算法，将加密密钥保存在计算机病毒程序体内或其他隐蔽的地方，而被感染的文件被加密，如果内存中驻留有这种计算机病毒，那么在系统访问被感染的文件时它自动将文档解密，使得用户察觉不到。一旦这种计算机病毒被清除，那么被加密的文档就很难被恢复了。 6、修改Autoexec.bat文件，增加Format C：一项，导致计算机重新启动时格式化硬盘。在计算机系统稳定工作后，一般很少会有用户去注意Autoexec.bat文件的变化，但是这个文件在每次系统重新启动的时候都会被自动运行，计算机病毒修改这个文件从而达到破坏系统的目的。 7、使部分可软件升级主板的BIOS程序混乱，主板被破坏。类似CIH计算机病毒发作后的现象，系统主板上的BIOS被计算机病毒改写、破坏，使得系统主板无法正常工作，从而使计算机系统报废。 8、网络瘫痪，无法提供正常的服务。由上所述，我们可以了解到防杀计算机病毒软件必须要实时化，在计算机病毒进入系统时要立即报警并清除，这样才能确保系统安全，待计算机病毒发作后再去杀毒，实际上已经为时已晚。第三章计算机病毒的传播途径计算机病毒的传染性是计算机病毒最基本的特性，病毒的传染性是病毒赖以生存繁殖的条件，如果计算机病毒没有传播渠道，则其破坏性小，扩散面窄，难以造成大面积流行。计算机病毒必须要“搭载”到计算机上才能感染系统，通常它们是附加在某个文件上。计算机病毒的传播主要通过文件拷贝、文件传送、文件执行等方式进行，文件拷贝及文件传送需要传输媒介，文件执行则是病毒感染的必然途径（Word、Excel等宏病毒通过Word、Excel调用间接地执行），因此，病毒传播及文件传播媒体的变化有着直接关系。计算机病毒的主要传播途径有：软盘、光盘、硬盘、BBS、网络。【2】 3.1软盘软盘作为最常用的交换媒介，在计算机应用的早期对病毒的传播发挥了巨大的作用，因那时计算机应用比较简单，可执行文件和数据文件系统都较小，许多执行文件均通过软盘相互拷贝、安装，这样病毒就能通过软盘传播文件型病毒；另外，在软盘列目录或引导机器时，引导区病毒会在软盘及硬盘引导区互相感染。因此软盘也成了计算机病毒的主要寄生的“温床”。 3.2光盘光盘因为容量大，存储了大量的可执行文件，大量的病毒就有可能藏身于光盘，对只读式光盘，不能进行写操作，因此光盘上的病毒不能清除。以谋利为目的非法盗版软件的制作过程中，不可能为病毒防护担负专门责任，也决不会有真正可靠可行的技术保障避免病毒的传入、传染、流行和扩散。当前，盗版光盘的泛滥给病毒的传播带来了极大的便利。 3.3硬盘由于带病毒的硬盘在本地或移到其他地方使用、维修等，将干净的软盘传染并再扩散。 3.4 BBS 电子布告栏（BBS）因为上站容易、投资少，因此深受大众用户的喜爱。BBS是由计算机爱好者自发组织的通讯站点，用户可以在BBS上进行文件交换（包括自由软件、游戏、自编程序）。由于BBS一般没有严格的安全管理，亦无任何限制，这样就给一些病毒程序编写者提供了传播病毒的场所。各城市BBS站间通过中心站间进行传送，传播面较广。随着BBS在国内的普及，给病毒的传播又增加了新的介质。 3.5病毒通过网络传播的方式现代通信技术的巨大进步已使空间距离不再遥远，数据、文件、电子邮件可以方便地在各个网络工作站间通过电缆、光纤或电话线路进行传送，工作站的距离可以短至并排摆放的计算机，也可以长达上万公里，正所谓“相隔天涯，如在咫尺”，但也为计算机病毒的传播提供了新的“高速公路”。计算机病毒可以附着在正常文件中，当您从网络另一端得到一个被感染的程序，并在您的计算机上未加任何防护措施的情况下运行它，病毒就传染开来了。这种病毒的传染方式在计算机网络连接很普及的国家是很常见的，国内计算机感染一种“进口”病毒已不再是什么大惊小怪的事了。在我们信息国际化的同时，我们的病毒也在国际化。大量的国外病毒随着互联网络传入国内。 3.5.1 E-mail 有些蠕虫病毒会利用在Microsoft Security Bulletin在MS01－020中讨论过的安全漏洞将自身藏在邮件中，并向其他用户发送一个病毒副本来进行传播。正如在公告中所描述的那样，该漏洞存在于Internet Explorer之中，但是可以通过e－mail来利用。只需简单地打开邮件就会使机器感染上病毒——并不需要您打开邮件附件。 3.5.2邮件附件病毒经常会附在邮件的附件里，然后起一个吸引人的名字，诱惑人们去打开附件，一旦人们执行之后，机器就会染上附件中所附的病毒。 3.5.3 Web服务器有些网络病毒攻击IIS 4.0和5.0 Web服务器。就拿“尼姆达病毒”来举例说明吧，它主要通过两种手段来进行攻击：第一，它检查计算机是否已经被红色代码II病毒所破坏，因为红色代码II病毒会创建一个“后门”，任何恶意用户都可以利用这个“后门”获得对系统的控制权。如果Nimda病毒发现了这样的机器，它会简单地使用红色代码II病毒留下的后门来感染机器。第二，病毒会试图利用“Web Server Folder Traversal”（MS00-078）漏洞来感染机器。如果它成功地找到了这个漏洞，病毒会使用它来感染系统。 IIS：Internet Information Server（简称IIS）是Windows系统提供的一种服务，它包括WWW服务器、FTP服务器和SMTP服务器，是架设个人网站的首选。 3.5.4文件共享文件共享也是造成计算机病毒的一种传播途径。第四章病毒的防治 4.1病毒防治的意义计算机病毒防治主要是为了防止出现计算机资源的损失和破坏，这种损失和破坏不但会造成资源和财富的巨大浪费，而且有可能造成社会性的灾难，随着信息化社会的发展，计算机病毒的威胁日益严重，反病毒的任务也更加艰巨了。1988年11月2日下午5时1分59秒，美国康奈尔大学的计算机科学系研究生，23岁的莫里斯（Morris）将其编写的蠕虫程序输入计算机网络，致使这个拥有数万台计算机的网络被堵塞。这件事就像是计算机界的一次大地震，引起了巨大反响，震惊全世界，引起了人们对计算机病毒的恐慌，也使更多的计算机专家重视和致力于计算机病毒研究。1988年下半年，我国在统计局系统首次发现了“小球”病毒，它对统计系统影响极大，此后由计算机病毒发作而引起的“病毒事件”接连不断，前一段时间发现的CIH、美丽莎等病毒更是给社会造成了很大损失。 4.2病毒的预防我们在平时要做好这样一些方面，对于病毒的预防是很有效果的， 1、建立良好的安全习惯例如：对一些来历不明的邮件及附件不要打开，不要上一些不太了解的网站、不要执行从 Internet 下载后未经杀毒处理的软件等，这些必要的习惯会使您的计算机更安全。 2、关闭或删除系统中不需要的服务默认情况下，许多操作系统会安装一些辅助服务，如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击者提供了方便，而又对用户没有太大用处，如果删除它们，就能大大减少被攻击的可能性。 3、经常升级安全补丁据统计，有80%的网络病毒是通过系统安全漏洞进行传播的，象蠕虫王、冲击波、震荡波等，所以我们应该定期到微软网站去下载最新的安全补丁，以防范未然。 4、使用复杂的密码有许多网络病毒就是通过猜测简单密码的方式攻击系统的，因此使用复杂的密码，将会大大提高计算机的安全系数。 5、迅速隔离受感染的计算机当您的计算机发现病毒或异常时应立刻断网，以防止计算机受到更多的感染，或者成为传播源，再次感染其它计算机。 6、了解一些病毒知识这样就可以及时发现新病毒并采取相应措施，在关键时刻使自己的计算机免受病毒破坏。如果能了解一些注册表知识，就可以定期看一看注册表的自启动项是否有可疑键值;如果了解一些内存知识，就可以经常看看内存中是否有可疑程序。 7、最好安装专业的杀毒软件进行全面监控在病毒日益增多的今天，使用杀毒软件进行防毒，是越来越经济的选择，不过用户在安装了反病毒软件之后，应该经常进行升级、将一些主要监控经常打开(如邮件监控)、内存监控等、遇到问题要上报，这样才能真正保障计算机的安全。 8、用户还应该安装个人防火墙软件进行防黑由于网络的发展，用户电脑面临的黑客攻击问题也越来越严重，许多网络病毒都采用了黑客的方法来攻击用户电脑，因此，用户还应该安装个人防火墙软件，将安全级别设为中、高，这样才能有效地防止网络上的黑客攻击。 4.3计算机病毒如何处理一般大范围传播的病毒都会让用户在重新启动电脑的时候能够自动运行病毒，来达到长时间感染计算机并扩大病毒的感染能力。通常病毒感染计算机第一件事情就是杀掉他们的天敌--安全软件，比如卡巴斯基，360安全卫士，NOD32 等等。这样我们就不能通过使用杀毒软件的方法来处理已经感染病毒的电脑。那么我说一下手动杀毒方法。我们要解决病毒可以首先解决在计算机重启以后自我启动。通常病毒会这样进行自我启动：直接自启动，1.引导扇区 2.驱动 3.服务4.注册表。间接自启动：印象劫持，autorun.inf文件，HOOK，感染文件。放置一个诱惑图标让用户点击…… 知道上面病毒的启动原理，不难得出清理方式：首先删掉注册表文件中病毒的启动项。最常见启动位置在[HKEY_LOCAL_MACHINE\SOFTWARE\Micrisift\Windiws\CurrentVersion\Run]，删除所有该子项内的字符串等，只留下cftmon.exe 。立即按机箱上的重启键，不让病毒回写注册表（正常关机可能会激活病毒回写进启动项目，比如“磁碟机”）。如果病毒仍然启动，就要怀疑有服务，或者驱动。那么这个时候就需要有一定计算机能力的人，用批处理或者其他的程序同时找到并关闭病毒的服务和删除注册表，然后快速关机。驱动一般在系统下很难删除，所以可以用上面介绍的Xdelete 或者icesword，wsyscheck或者进入DOS，WPE等其他系统进行删除。如果是通过引导扇区启动，我们还要用其他软件，比如diskgen，重写主引导记录。如果是通过BIOS启动，用放电法还原BIOS。当病毒不能启动以后，他们就像一堆垃圾在我们电脑上面，然后我们需要注意不要再激活病毒，删掉autorun.inf ，可疑文件，删除印象劫持的注册表，等可能触发病毒的系统设置，用干净的U盘去其他电脑拷贝一个杀毒软件安装以后，升级到最新的病毒库，全盘查杀病毒残留。上面我说了通过不让病毒在重启电脑以后启动的方法删除病毒，下面我来说一下通过直接删除病毒文件方法。在病毒正在运行的系统里，直接删除病毒文件会很难的。如果在网上找到该病毒机理，进入DOS ，找到所有病毒文件路径，可以很轻松的删除病毒文件（除了感染型病毒）。我推荐最好用PE（不懂PE的上百科看），用有一个可以启动电脑的装PE 的U盘，或者光盘启动电脑，进入可以进入完全无毒的系统，然后使用绿色版的杀毒软件（网上有，我试过绿色卡巴和nod32，很好，可以在PE 运行）全盘查杀。杀毒完以后，我们先不要重新启动电脑，看看到底删除了什么，如果有被感染的系统文件删掉了，注意从相同系统拷贝一个，否则可能不能开机。然后重启，系统用其他安全软件修复系统。真正我们电脑感染上棘手的病毒，最简单有效的方法就是重装系统。如果C盘（系统盘）有重要资料先备份。不能开机，可以进入PE备份。问：为什么我重装了几次还是有病毒，是不是这个病毒很厉害？答：首先我要说明几点，一、重装后的系统是干净的。二、遇到引导性病毒，感染BIOS病毒可能非常小，就像中彩票。这种情况是由于其他盘仍然有病毒残留，比如如果有autorun.inf 类型的病毒，双击打开DEF等盘的时候就会启动病毒，或者病毒感染了其他盘上的文件，你重装系统以后，运行这个文件的时候，就又启动病毒。正确的方法是，找一个高手，或者不要打开除C：（系统盘）以外的任何盘，然后上网或者U盘下载一个杀毒软件，升级更新以后，全盘杀毒。第五章星星网吧病毒防治 5.1 网吧中毒过程下面以"尼姆达"病毒为例尼姆达病毒2001年9月18日在全球蔓延，是一个传播性非常强的黑客病毒。它以邮件传播、主动攻击服务器、即时通讯工具传播、FTP协议传播、网页浏览传播为主要的传播手段。它能够通过多种传播渠道进行传染，传染性极强。对于个人用户的PC机，“尼姆达”可以通过邮件、网上即时通讯工具和“FTP程序”同时进行传染；对于服务器，“尼姆达病毒姆达”则采用和红色代码病毒相似的途径，即攻击微软服务器程序的漏洞进行传播。由于该病毒在自身传染的过程中占用大量的网络带宽和计算机的内部资源，因此许多企业的网络现在受到很大的影响，有的甚至已经瘫痪，就个人使用的PC机来说，速度也会有明显的下降。Nimda病毒不但发送染毒邮件，还会感染EXE文件。当时声称能处理该病毒的反病毒公司都采取删除染毒文件的方式杀毒，导致很多重要程序不能运行，甚至机器瘫痪。瑞星公司推出世界上唯一可安全清除染毒文件的方法，不但可以清除染毒文件，还可清除内存中的病毒，确保杀毒之后系统正常运行。它是一个新型蠕虫，也是一个病毒，它通过email、共享网络资源、IIS服务器传播。同时它也是一个感染本地文件的新型病毒。 5.1.1 尼姆达的传播方式这个新型W32.Nimda.A@mm蠕虫通过多种方式进行传播，几乎包括目前所有流行病毒的传播手段： ①通过email将自己发送出去； ②搜索局域网内共享网络资源； ③将病毒文件复制到没有打补丁的微软（NT/2000尼姆达病毒）IIS服务器； ④感染本地文件

展开阅读全文