资源描述
中国某某某某学校
学生毕业设计(论文)
题 目:计算机病毒在经济管理中及对策
姓 名 : 周泽
班级学号 : 会计0703班21号
系 (部) : 经济管理系
专 业 : 会计电算化0703班
指导教师 : 龙建军
开题时间 : 2008年6月4日
完成时间 : 2009年10月29日
2009年 10 月 29 日
目 录
毕业设计任务书…………………………………………………1
毕业设计成绩评定表……………………………………………2
答辩申请书……………………………………………………3-4
正文……………………………………………………………5-28
答辩委员会表决意见…………………………………………29
答辩过程记录表………………………………………………30
一、 课题(论文)提纲
摘要
关键字
引言
1计算机病毒的概念
2计算机病毒的产生
3计算机病毒的分类
4计算机病毒的危害
4.1常见的计算机病毒带来的危害
4.2计算机病毒在经济管理中的危害
5解决计算机病毒的对策
5.1针对经济管理中的计算机病毒的带来的危害采取的对策
5.2用两个实例(熊猫烧香和红色代码)说明相关对策的可行性
结论
二、 内容摘要
近些年来,随着计算机技术在社会生活中各个领域的广泛运用普及,计算机病毒也随之出现,计算机病毒攻击的案例经常发生,正对计算机病毒的蔓延,计算机防范技术也正在不断拓展与提高。
据相关报道,全世界不同国家遭受计算机病毒感染和攻击的事件数以亿计,计算机病毒的攻击严重地干扰了正常的人类生活以及网络安全,给计算机网络和安全系统带来了巨大的潜在威胁和破坏。就经济管理上面来说,每年因为计算机病毒危害造成直接或间接的经济损失的案例也时常发生,实在是让人防不胜防。
三、 参考文献
[1] 《计算机病毒揭秘》,人民邮电出版社,2002-9,ISBN:7115104484,版次:1-1页数:432
[2] 《黑客攻防与计算机病毒分析检测及安全解决方案》,电子信息技术出版社,2006年5月出版
[3] 曲实强,《王江民谈:电脑病毒及防杀》,学苑出版社,2004-1-1,ISBN:97872507722284
[4] wz坐标工作室,《电脑安全设置与病毒防范应用大全》,中国铁道工业出版社,2009-2-1,ISBN:9787113094492
注:学生凭此申请书和设计(论文)样文参加答辩
计算机病毒在经济管理中的危害和对策
00000
中文摘要:近些年来,随着计算机技术在社会生活中各个领域的广泛运用普及,计算机病毒也随之出现,计算机病毒攻击的案例经常发生,正对计算机病毒的蔓延,计算机防范技术也正在不断拓展与提高。
据相关报道,全世界不同国家遭受计算机病毒感染和攻击的事件数以亿计,计算机病毒的攻击严重地干扰了正常的人类生活以及网络安全,给计算机网络和安全系统带来了巨大的潜在威胁和破坏。就经济管理上面来说,每年因为计算机病毒危害造成直接或间接的经济损失的案例也时常发生,实在是让人防不胜防。
不过可以预见的是,随着计算机技术与网络运用的普及、深入广泛地应用,防范以及解决计算机病毒将越来越受到各国的高度重视,逐渐成为网络上的主流话题。
关键字:
计算机病毒;分类;危害以及对策;经济管理
0.引言
自人类诞生的那一刻起,人类便拥有了一项本能的思想——欲望。起初,人类为了满足自己的生存欲望,便残杀了一些不属于同类的生命;在满足自己生活的欲望后,人类便想着去建立自己的势力、拥有自己的土地,从而引发了一场又一场的战争;人类在拥有了自己的土地和钱财后,便对身心上的享受产生了兴趣,从而推进了科技的发展...随着经济的日益发展,科技取得的极大成就,人类在属于自己的世界里便开始得不到满足,从而便创造了另一个空间——网络。
经历过这个空间内的各种风风雨雨,渐渐感觉到文明、道德的重要,只有让所有游览者共同维护空间内的安宁,共同创造空间内的诚信,才能在满足自己欲望的同时也促进社会的快速发展。
网络文明,你我共创。
1.计算机病毒的基本概念
1.1计算机病毒的定义
在防范和解决计算机病毒之前,我们要知道什么是计算机病毒。
根据各计算机教材上所描述,计算机病毒就是一组人为特制的程序,是一段可执行码,可通过复制自身来感染破坏其他软件的程序。
它通过非授权的方式入侵,隐藏在可执行程序和数据文件中,影响以及破坏正常程序的执行和数据安全,具有相当大的破坏性。计算机一旦沾染上计算机病毒,就会很快扩散,如同生物体传染生物病毒一样,具有较强的传染性。
一些病毒不带有恶意攻击性编码,但更多的病毒携带毒码,一旦被事先设定好的环境激发,就会感染和破坏文件或程序。
所以,可以从以下不同角度给出计算机病毒的定义:一种是通过磁盘和网络等作为媒介传播扩散,能够传染其他程序的程序。另一种定义是能够实现自身复制且借助一定的载体存在的具有潜伏性、传染性和破坏性的程序。还有一种定义是人为制造的程序,通过不同的途径潜伏或寄生在存储媒体(如磁盘、内存)或程序里,当条件或时机成熟时,就会复制并传播自身,使计算机的资源受到不同程序的破坏等等。这些说法在某种意义上是借用了生物学上的病毒的概念,计算机病毒同生物病毒的相似之处就是能够侵入计算机系统和网络,危害正常工作的“病原体”。 它能够对计算机系统进行各种破坏, 同时能够复制自己,具有传染性。
所以, 计算机病毒就是能够通过某种途径潜伏在计算机存储介质(或程序)里, 当达到某种条件时即被激活的具有对计算机资源进行破坏作用的一组程序或指令集合。
1.2计算机病毒的特点
根据定义归纳起来,计算机病毒有以下三个特点:
1.2.1.传染性:计算机病毒具有传染性是计算机病毒最基本的特征。计算机病毒通过修改、拷贝程序,从而达到扩散的目的。计算机病毒的传染途径广,可通过软盘、有线和无线网络、硬件设备等多渠道侵入计算机中并不断蔓延传播。
1.2.2.隐蔽性:病毒可无声无息地感染计算机系统,夹杂在正常程序中,只要病毒设定的条件未被激发,可一直隐藏,一般很难被发现。。
1.2.3.破坏性:凡是用软件手段能触及到计算机资源的地方都可能遭受到计算机病毒的破坏,且破坏力大。一旦病毒发作,轻则干扰系统正常运行,重则破坏磁盘数据、删除文件,导致整个计算机系统的瘫痪。表现在:占用CPU时间和内存开销,造成进程堵塞;对数据或文件进行破坏;扰乱屏幕的显示等。
2.计算机病毒的产生
几年前,大多数类型的病毒主要地通过软盘传播,但因特网引入了新的病毒传送机制。现在,电子邮件被用作一个重要的企业通信工具,病毒比以往都要扩展得快。附着在电子邮件信息中的病毒,在几分钟内就可以侵蚀传染整个企业,使公司每年为生产损失和清除病毒花费数百万美元。
今后任何时候病毒都不会很快地消失。按美国国家计算机安全协会发布的统计资料,已有超过10,000种病毒被辨认出来,而且每个月都在又产生200种新型病毒。为了安全,我们说大部分机构必须常规性地对付病毒的突然爆发。没有一个使用多台计算机的机构是对病毒免疫的。
长期以来,人们设计和使用计算机的目标主要是追求信息处理功能的提高和生产成本的降低,相对而言对安全问题则不够重视。
计算机系统的各个组成部分,接口界面,各个层次的相互转换,都存在着不少漏洞和薄弱环节。硬件设计缺乏从整体的安全性来考虑,软件方面也更易存在隐患和潜在威胁。
对计算机系统的测试,目前尚缺乏自动化检测工具和系统软件的完整检验手段,计算机系统的脆弱性,为计算机病毒的产生和传播提供了可乘之机;全球万维网(www)使“地球一村化”,“地球村”为计算机病毒创造了实施的空间;各种新型的计算机技术在电子系统中不断应用和完善,为计算机病毒的实现提供了客观条件。
而国外的一些专家则认为,分布式数字处理、可重编程嵌入计算机、网络化通信、计算机标准化、软件标准化、标准的信息格式、标准的数据链路等都使得计算机病毒侵入成为可能。
计算机病毒入侵的核心技术是病毒的有效注入。病毒攻击的目标是被攻击方的各种系统,以及从计算机主机到各式各样的传感器、网桥等,以使他们的计算机以及防御系统在关键时刻受到诱骗或崩溃,无法发挥作用。
从国外技术研究的现状来看,病毒注入方法主要有以下四种:
2.1无线电方式注入病毒
其主要是通过无线电把病毒码发射到对方电子系统中。无线电方式注入是计算机病毒注入的最佳方式,同时技术难度也最大。一般可能的途径有以下三种:
①直接向对方电子系统的无线电接收器或设备发射,使接收器对其进行处理并把病毒传染到目标机上。
②冒充合法无线传输数据,根据得到的或使用标准的无线电传输协议和数据格式,发射病毒码,使之能够混在合法传输信号中,进入接收器,进而进人信息网络。
③寻找对方信息系统保护最差的地方进行病毒注放。通过对方未保护的数据链路,将病毒传染到被保护的链路或目标中。
2.2“固化”式注入病毒
所谓“固化”式注入,就是把病毒事先存放在硬件(如芯片)和软件中,然后把此硬件和软件直接或间接交付给对方,使病毒直接传播至对方电子系统,在需要时将其激活,达到攻击目的。这种攻击方法十分隐蔽,即使芯片或组件被彻底检查,也很难保证其没有其他特殊功能。目前,我国很多的计算机组件依赖进口,因此是很容易受到芯片攻击的。
2.3后门攻击方式注入病毒
后门,是计算机安全系统中的一个小洞,由软件设计师或维护人发明,允许知道其存在的人绕过正常安全防护措施进入系统。后门攻击注入的形式有许多种,如控制电磁脉冲可将病毒注入目标系统。计算机入侵者就经常通过后门进行攻击,如以前普遍使用的WINDOWS98,就存在这样的后门。
2.4数据控制链侵入方式注入
随着因特网技术的广泛应用,使计算机病毒通过计算机系统的数据控制链侵入传染破坏成为可能。使用远程修改技术,可以很容易地改变数据控制链的正常路径。
3.计算机病毒的基本分类
3.1按病毒的破坏能力分类
病毒对系统造成的危害,并不是本身的算法中存在危险的调用,而是当它们传染时会引起无法预料的灾难性的破坏。由病毒引起其它的程序产生的错误也会破坏文件和扇区,这些病毒可以按照他们引起的破坏能力划分。
根据病毒破坏的能力可划分为以下几种:
3.1.1无害型:除了传染时减少磁盘的可用空间外,对系统没有其它影响。
3.1.2无危险型:这类病毒仅仅是减少内存、显示图像、发出声音及同类音响。
3.1.3危险型:这类病毒在计算机系统操作中造成严重的错误。
3.1.4非常危险型:这类病毒删除程序、破坏数据、清除系统内存区和操作系统中重要的信息。
3.2按恶性程序码的分类
在恶性程序码的类别中,电脑病毒一般可以分成下列各类:
3.2.1引导区电脑病毒
90年代中期,最为流行的计算机病毒是引导区病毒,主要通过软盘在16位元磁盘操作系统(DOS)环境中传播。引导区病毒会感染软盘内的引导区及硬盘,而且也能够感染用户硬盘内的主引导区(MBR)。一旦计算机中毒了,每一个经受感染电脑读取过的软盘都会受到感染。
引导区电脑病毒的传播途径是先隐藏在磁盘内,在系统文件启动以前电脑病毒已驻留在内存内。这样一来,电脑病毒就可完全控制DOS中断功能,以便进行病毒传播和破坏活动。那些设计在DOS或Windows3.1上执行的引导区病毒是不能够在新的电脑操作系统上传播,所以这类的电脑病毒已经比较罕见了。
典型例子就是Michelangelo,它是一种引导区病毒,会感染引导区内的磁盘及硬盘内的主引导区。当此计算机病毒常驻内存时,就会感染所有读取中及没有写入保护的磁盘。除此以外,Michelangelo会在3月6日当天删除受感染电脑内的所有文件。
3.2.2文件型电脑病毒
文件型计算机病毒,又称寄生病毒。通常感染执行文件(.EXE),但是也有些会感染其它可执行的文件,如DLL,SCR等等。每次执行受感染的文件时,计算机病毒便会发作,将自己复制到其他可执行文件,并且会继续执行原有的程序,以免被用户所察觉。
典型例子就是CIH,它会感染Windows95/98上的执行文件(.EXE),并于每月的26号发作,进行相当严重的破坏:每月的26号,此计算机病毒会试图把一些随机资料覆写在系统的硬盘,令该硬盘无法读取原有资料。此外,该病毒会试图破坏FlashBIOS内的资料。
3.2.3复合型电脑病毒
复合型电脑病毒,具有引导区病毒和文件型病毒的双重特点。其感染和破坏能力相当大,是个让人很头疼的病毒。
3.2.4宏病毒
宏病毒与其他计算机病毒的区别是宏病毒攻击的是数据文件而不是程序文件。
宏病毒专门针对特定的应用软件,可感染依附于某些应用软件内的宏指令,宏病毒可以很容易的透过电子邮件的附件、软盘、文件下载和群组软件等多种方式进行传播,如MicrosoftWord文档和Excel表格。宏病毒采用程序语言撰写,例如数据库(Visual Basic)或CorelDraw,而这些又是最易于掌握的程序语言。宏病毒最先是在1995年被人们发现的,在不久之后很快的就成为了最普遍的电脑病毒之一。
典型例子是JulyKiller,这个计算机病毒通过VB宏在MS Word97文件中传播的。一旦打开了染毒文件,该病毒首先感染共用范本(normal.dot),从而导致其它被打开的文件一一遭到感染。这种计算机病毒的破坏力严重。更严重的是,如果月份是7月,病毒就会删除C盘(C:\)的所有文件。
3.2.5特洛伊/特洛伊木马
特洛伊或特洛伊木马是一个看似正当的但事实上当执行时会进行一些恶性及不正当的活动的程序。特洛伊/特洛伊木马可用作黑客工具去窃取用户的密码和资料,或者破坏硬盘内的程序或数据。与其他计算机病毒的区别是特洛伊/特洛伊木马不会复制自己。它的传播伎俩通常是诱骗电脑用户把特洛伊木马植入电脑内,例如通过电子邮件上的游戏附件等。
典型例子就是Back Orifice特洛伊木马,该病毒于1998年发现,是一个Windows远程管理工具,它让用户利用简单控制台或视窗应用程序,透过TCP/IP去远程遥控电脑。
3.2.6蠕虫病毒
蠕虫病毒是另一种能自行复制和经由网络扩散的程序。它跟其他计算机病毒有些不同,计算机病毒通常是专注感染破坏其它程序,但蠕虫病毒是专注于利用网络去扩散自己。
随着互联网的广泛使用和普及,蠕虫利用电子邮件系统去复制,例如把自己隐藏在附件中,并在短时间内电子邮件给多个用户。
有些蠕虫(如Code Red)会利用软件上的漏洞去扩散以及进行破坏。典型例子就是在1999年6月发现的Worm.Explore Zip,该病毒是一个可复制自己的蠕虫。当执行时,它会把自己隐藏在附件中,经电子邮件传送予通讯录内的收件人。在Windows环境下,若用户开启了附件,就会自动执行蠕虫。在Windows95/98环境下,此蠕虫以Explore.exe为名,把自己复制到C:\windows\system目录,以及更改WIN.INI文件,以便系统每次启动时便会自动执行蠕虫程序。
4.计算机病毒的危害
4.1常见的计算机病毒带来的危害
常见的计算机病毒会给计算机带来巨大的危害,具体的危害有以下几种:
4.1.1病毒激发对计算机数据信息的直接破坏作用
大部分病毒在激发的时候直接破坏计算机的重要信息数据,所利用的手段有:格式化磁盘、改写文件分配表和目录区、删除重要文件或者用无意义的“垃圾”数据来改写文件、破坏CMO5的设置等。
例如:磁盘杀手病毒(D1SK KILLER),其内含计数器,在硬盘染毒后累计开机时间48小时内激发,激发的时候屏幕上显示“Warning!! Don't turn off power or remove diskette while Disk Killer is Processing!” (警告!D1SK KILLER ll1在工作,不要关闭电源或取出磁盘),然后改写硬盘数据。被D1SK KILLER破坏的硬盘可以用杀毒软件修复,所以可以的话还是不要轻易放弃磁盘内的数据。
4.1.2占用磁盘空间以及对信息、资料等的破坏
寄生在磁盘上的病毒总是非法占用一部分磁盘空间的。
文件型病毒通常利用一些DOS功能进行传染,它们能够检测出磁盘的尚未使用空间,然后把病毒的传染部分写到磁盘的尚未使用的空间去。所以在传染过程中一般不会破坏磁盘上的原有数据,但非法侵占了磁盘空间。一些文件型病毒传染速度很快,会在短时间内感染大量文件,导致每个文件都不同程度地加长,这就造成磁盘空间的严重浪费。
而引导型病毒一般的侵占方式是由病毒本身占据磁盘引导扇区,而把原来的引导区转移到其他扇区,也就是说引导型病毒要覆盖一个磁盘扇区,被覆盖的扇区数据将会永久性丢失,而无法恢复。
4.1.3抢占系统资源,干扰系统运行
除了VIENNA、CASPER等少数病毒以外,其他大多数病毒一般都是常驻内存的,这就必然抢占一部分系统资源。病毒所占用的基本内存长度大致与病毒本身长度相当。病毒抢占内存,会导致内存减少,一部分软件不能正常运行。除占用内存外,病毒还抢占中断,干扰系统运行。计算机操作系统的很多功能是通过中断调用技术来实现的,病毒为了能够传染激发,总是会修改一些有关的中断地址,在正常中断过程中加入病毒的“私货”,从而干扰了系统的正常运行。
4.1.4影响计算机运行速度
病毒进驻内存后不但干扰系统运行,还影响计算机速度,主要表现在:(1)病毒为了判断传染激发条件,总要对计算机的工作状态进行监视, 这相对于计算机的正常运行状态既多余又有害。(2)有些病毒为了保护自己,不但对磁盘上的静态病毒加密,而且进驻内存后的动态病毒也处在加密状态,CPU每次寻址到病毒处时要运行一段解密程序把加密的病毒解密成合法的CPU指令再执行;而病毒运行结束时再用一段程序对病毒重新加密。就这样CPU额外执行数千条以至上万条指令。(3)病毒在进行传染时同样要插入非法的额外操作,特别是传染软盘时不但计算机速度明显变慢, 而且软盘正常的读写顺序会被打乱,发出刺耳的噪声。
4.1.5计算机病毒错误与不可预见的危害
计算机病毒与其他计算机软件的一大差别是病毒的无责任性。
编制一个完善的计算机软件需要耗费大量的人力、物力,经过长时间调试完善后,软件才能推出。但在病毒编制者看来既没有必要这样做,也不可能这样做。很多计算机病毒都是个别人在一台计算机上匆匆编制调试后就向外抛出。反病毒专家在分析大量病毒后发现,绝大部分病毒都存在不同程度的错误。
错误病毒的另一个主要来源是变种病毒。有些初学计算机者尚不具备独立编制软件的能力,出于好奇或其他原因修改别人的病毒,造成错误。
计算机病毒错误所产生的后果往往是不可预见的,反病毒工作者曾经详细指出黑色星期五病毒存在9处错误, 乒乓病毒有5处错误等。但是人们不可能花费大量时间去分析数万种病毒的错误所在。 大量含有未知错误的病毒扩散传播,其后果是难以预料的。
4.1.6计算机病毒的兼容性对系统运行的影响
兼容性是计算机软件的一项重要指标,兼容性好的软件可以在各种计算机环境下运行,反之兼容性差的软件则对运行条件“挑肥拣瘦”,要求机型和操作系统版本等。病毒的编制者一般不会在各种计算机环境下对病毒进行测试,因此病毒的兼容性较差,常常会导致死机的情况发生。
4.1.7计算机病毒给用户造成严重的心理压力
据有关计算机销售部门统计,计算机售后用户怀疑“计算机有病毒”而提出咨询约占售后服务工作量的60%以上。
经检测确实存在病毒的约占70%,另有30%情况只是用户怀疑,而实际上计算机并没有病毒。那么用户怀疑病毒的理由是什么呢?多半是出现诸如计算机死机、软件运行异常等现象。这些现象确实很有可能是计算机病毒造成的。但又不全是,实际上在计算机工作“异常”的时候很难要求一位普通用户去准确判断是否是病毒的所作所为。
大多数用户对病毒采取的是宁可信其有的态度,这对于保护计算机安全无疑是十分必要的,然而往往要付出时间、金钱等方面的代价。仅仅怀疑病毒而冒然格式化磁盘所带来的损失更是难以弥补的。不仅是个人单机的用户,在一些大型网络系统中,也难免出现为甄别病毒而停机的现象。
4.2计算机病毒在经济管理中的危害
计算机病毒在经济管理中由于其特有的传播性以及破坏性给众多的公司企业带来了无法估计的损失。一般说来,计算机病毒的使用者将病毒用于经济管理上是带有以利益为主导目的的目的性。
经济管理中,计算机病毒猖獗的主导因素还是自身的利益,具体表现在以下方面:1)破坏修改磁盘资料,删除重要文件;2)窃取商业机密。
商场如战场,其变化是瞬息万变的,只有掌握了先机的人才有可能在如战场般的商业领域取得成功。随着近年来计算机的普及,电脑成了公司企业办公的必备用品,许多重要信息就储存在计算机里,有些人就利用计算机病毒破坏对手的磁盘内的资料,格式化磁盘、改写文件分配表和目录区、删除重要文件或者用无意义的“垃圾”数据来改写文件、破坏CMO5的设置等,想以此来抑或窃取商业机密资料,或者破坏对手的信息资料等作为,以争取在商场的主动地位。
总之计算机病毒像“幽灵”一样笼罩在广大企事业单位心头,给人们造成巨大的心理压力,极大地影响了现代计算机的使用效率,由此带来的无形损失是难以估量的。
5. 解决计算机病毒的对策
5.1针对经济管理中的计算机病毒的带来的危害采取的对策
5.1.1建立有效的计算机病毒防护体系。
有效的计算机病毒防护体系应包括多个防护层。一是访问控制层;二是病毒检测层;三是病毒遏制层;四是病毒清除层;五是系统恢复层;六是应急计划层。上述六层计算机防护体系,须有有效的硬件和软件技术的支持,如安全设计及规范操作。
5.1.2严把收硬件安全关
国家的机密信息系统所用设备和系列产品,应建立自己的生产企业,实现计算机的国产化、系列化;对引进的计算机系统要在进行安全性检查后才能启用,以预防和限制计算机病毒伺机入侵。
5.1.3防止电磁辐射和电磁泄露
采取电磁屏蔽的方法,阻断电磁波辐射,这样,不仅可以达到防止计算机信息泄露的目的,而且可以防止“电磁辐射式”病毒的攻击。
5.1.4加强计算机应急反应分队建设
应成立自动化系统安全支援分队,以解决计算机防御性的有关问题。早在1994年,美国软件工程学院就成立了计算机应急反应分队。
5.1.5在对抗中保持领先,实施跟踪研究
计算机病毒攻击与防御手段是不断发展的,要在计算机病毒对抗中保持领先地位,必须根据发展趋势,在关键技术环节上实施跟踪研究。实施跟踪研究应着重围绕以下方面进行:一是计算机病毒的数学模型。二是计算机病毒的注入方式,重点研究“固化”病毒的激发。三是计算机病毒的攻击方式,重点研究网络间无线传递数据的标准化,以及它的安全脆弱性和高频电磁脉冲病毒枪置人病毒的有效性。四是研究对付计算机病毒的安全策略及防御技术。
5.2用实例说明相关对策的可行性
下面着重介绍两种病毒的案例:
5.2.1“熊猫烧香”病毒起源于利益的驱使,通过破坏、删除、感染文件等手段造成文件删除、丢失等,造成极其严重的经济损失。在其被发现并解决这次危机中,计算机病毒防护体系、计算机应急反应分队体现了其积极的作用。
“熊猫烧香”病毒其实是一种蠕虫病毒的变种,而且是经过多次变种而来的。尼姆亚变种W(Worm.Nimaya.w),由于中毒电脑的可执行文件会出现“熊猫烧香”图案,所以也被称为“熊猫烧香”病毒。
用户电脑中毒后可能出现蓝屏、频繁重启及系统硬盘中数据文件被破坏等现象。同时,该病毒的某些变种可以通过局域网进行传播,进而感染局域网内所有计算机系统,最终导致企业局域网瘫痪,无法正常使用,它能感染系统中exe,com,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件,使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。
病毒会删除扩展名为gho的文件,使用户无法使用ghost软件恢复操作系统。“熊猫烧香”感染系统的.exe .com. f.src .html.asp文件,添加病毒网址,导致用户一打开这些网页文件,IE就会自动连接到指定的病毒网址中下载病毒。在硬盘各个分区下生成文件autorun.inf和setup.exe,可以通过U盘和移动硬盘等方式进行传播,并且利用Windows系统的自动播放功能来运行,搜索硬盘中的.exe可执行文件并感染,感染后的文件图标变成“熊猫烧香”图案。“熊猫烧香”还可以通过共享文件夹、系统弱口令等多种方式进行传播。该病毒会在中毒电脑中所有的网页文件尾部添加病毒代码。一些网站编辑人员的电脑如果被该病毒感染,上传网页到网站后,就会导致用户浏览这些网站时也被病毒感染。据获悉,多家著名网站已经遭到此类攻击,而相继被植入病毒。由于这些网站的浏览量非常大,致使“熊猫烧香”病毒的感染范围非常广,中毒企业和政府机构已经超过千家,其中不乏金融、税务、能源等关系到国计民生的重要单位。江苏等地区成为“熊猫烧香”重灾区。
此次事件是中国近些年来发生的比较严重的一次蠕虫病毒发作案例。影响了较多公司,造成很大的损失,而且对于一些疏于防范的用户来说,熊猫烧香病毒导致较为严重的损失。
由于此病毒可以盗取用户名与密码,因此,带有明显的牟利目的。所以,作者才有可能将此病毒当作商品出售,与一般的病毒制作者只是自娱自乐、或显示威力、或炫耀技术有很大的不同。
但天网恢恢,疏而不漏,其作者逃脱不了法律的制裁,最终被逮捕归案。被抓后,作者李俊在公安机关的监视下,编写出了该病毒的解毒软件。
5.2.2红色代码是大规模破坏和信息丢失的一个开始,而这种程度是我们前所未见的。对于我们所依赖的互联网结构而言,这是第一次重大的威胁——红色代码及其变异的危害。
2001年7月中旬该病毒在美国等地大规模蔓延,引起了恐慌,国外通讯社连续报道该病毒的破坏情况;8月初,该病毒做了一些修改,针对中文操作系统加强了攻击能力,导致在国内大规模蔓延,特别是北京等信息化程度较高的地区,受灾情况相当严重,公安部发布紧急通告,要求对该病毒严加防范。
红色代码及其变异红色代码Ⅰ和红色代码Ⅱ是恶意程序,它们可通过公用索引服务上的漏洞来感染Microsoft IIS Web服务器,并试图随机繁殖到其它的Microsoft IIS服务器上。最初原始的红色代码带有一个有效负载曾致使美国白宫网站服务器服务中断。红色代码Ⅱ比原来的红色代码I危险得多,因为它安装了通路可使任何人远程接入服务器并使用管理员权限执行命令,且行踪无法确定。红色代码Ⅱ带有不同的有效负载,它允许黑客远程监控网站服务器。
主要网络安全厂商——赛门铁克公司的安全响应中心的全球请求救援信号表明,大量网站服务器受到了感染。进一步说明了红色代码Ⅱ的危害性很强。令人恐怖的是,人们还发现这种蠕虫代码程序如此成功:一旦受到感染,人们只需扫描计算机的80端口就能发现大量危及安全的文件包,而无需已公布的病毒列表。尽管红色代码的危害性令人恐惧,但仍未引起舆论的重视。
值得注意的是,由于媒体的报道并没有深层剖析原始红色代码蠕虫及其变异间的区别,媒体对报道这类病毒的深度也不够,使用户有一种已经安全的错觉,使得他们集中精力对付红色代码变种的劲头减弱,但是这种变异的危险性远远大于原始蠕虫。如果用户没有对其Windows NT或Windows 2000服务器进行完全评估,它们可能更容易被入侵,从而导致瘫痪。这些Web服务器有良好的带宽,可以想象分布的服务机构中断会对宽带造成多么恶劣的影响。而且这些Web服务器与其它重要的系统如信用卡交易服务器和秘密文件等也有潜在的依赖关系,这将危及其它机器的安全。
还要明确的是,一个易被红色代码攻击的系统不一定是运行之中的IIS。必须了解的是,当一个标准操作环境安装网站服务器时,微软操作环境默认安装,这一系统也因此容易受蠕虫攻击,除非用户明确设定关掉此类服务,或命令不初始安装IIS。测定一台服务器是否容易被攻击的唯一办法是评估其是否安装了IIS,假如是的话,最好采用修补方法或移开IIS予以补救。
红色代码可怕的原因揭秘:受红色代码Ⅱ感染的成百上千台机器都在互联网上做过广告,这使得黑客很容易就能得到大批受感染的机器名单,然后远程登陆到这些机器上,得到一个命令提示符,随后黑客便可在这些机器上任意执行所需命令了。黑客极有可能利用这次机会来全面替代这些文件包,他们可能会使用自动录入工具退出并安装根源工具包(root包),发布拒绝服务代理到易感染红色代码的文件包,并对它们进行修改。实现这些非常简单,红色代码Ⅱ文件包宣布它们是易于攻入的,黑客不需要非法进入,他只需远程登录该进程并获得一个命令提示符,那么他便可为所欲为。
所有这些黑客都可以用自己的电脑就能帮他完成——不断连接到存在安全隐患的文件包,安装根源工具包,进行修改,然后转向另一台机器。黑客可以堆积上千个根源文件包,每一个进程都是一个分布式的“拒绝服务”代理。一组300至500个分布式“拒绝服务”代理足以使一个大型互联网站点瘫痪。通常情况会看到黑客每次可以攻击10,000或更多的服务代理,这就意味着黑客可以使互联网的主要部分如ISP、主要供应商和多重互联网的电子商务站点同时瘫痪。
由此可见,红色代码的真正危害在于单个流窜的黑客。拿暴动作为比喻,暴动中群众的心理是,一旦暴动展开,都想参与进去,因为人们可以用他自己以往不能独立采取的方式做想做的事情。有了红色代码Ⅱ蠕虫病毒,黑客会更加厚颜无耻,他们可以对更多的机器直接取得控制,因为文件包已经是易于攻入的了,并且被红色代码Ⅱ蠕虫病毒暴露在那里,安装根源工具包和拥有这些文件包也不再感觉是违背伦理的。
总而言之,他们不用“破门而入”,只是“进入”而已。因为最艰苦的部分已经由蠕虫病毒完成了。而对防范者而言,一般用户都感觉旁若无人,因为我们所有的注意力都放在蠕虫病毒上,而没有放在到处流窜安装root包的单个黑客上。可以说,面对“美丽莎”、“爱虫”等蠕虫病毒,媒体曾经大喊“狼来了”,然而什么也没有发生——但是这次确实是真实的。红色代码II是大规模破坏和信息丢失的一个开始,而这种破坏程度是我们前所未见的。这对于我们所依赖的互联网结构而言,堪称是第一次重大的打击。
如何解除红色代码的武装
广大的受害者都陷于未能对这些成百上千台机器进行修补而是进行操作系统重新安装的尴尬境地。此时受害者还不知道自己的机器上运行着什么。他们面临的选择只有两种:要么重新安装操作系统并进行修补;要么进行非常详尽的分析并安装补丁。但我们是否肯定必须要这么做吗?修补这些文件包需要花费多长的时间?这样做的意义何在?这些问题烦之又烦。任何处身在互联网中并享受服务的人都有责任采取合理的步骤来保护他们的系统,确保各种基础设施的完好以及开销的合理。
在以往传统的网络信息安全保护体系中,要清除网络体系内的病毒和黑客程序,必须采用在网络出口处设置防火墙或入侵检测软件,通过日志或流量异常定位网络病毒的存在,再使用反病毒软件进行清除,这样的做法不仅成本高昂,而且操作复杂,是一种被动式的查杀方法
瑞星公司提供的瑞星杀毒软件网络版+微软补丁程序是彻底解决“红色代码”类病毒的最佳方法。最新的瑞星杀毒软件网络版已增加自动探测计算机是否存在微软IIS安全漏洞的功能,变“被动查杀”为“主动防杀”,大大节省了系统管理员的劳动强度和软件使用难度。
利用瑞星杀毒软件网络版独有的“全网杀毒”功能,系统管理员可以通过瑞星移动控制台,只需几分钟,不仅可杀灭全网范围内的“红色代码”病毒,同时还可准确了解网络中存在IIS安全漏洞的所有计算机。只要对这些存在IIS安全漏洞的计算机安装微软补丁程序,就可防范“红色代码”类病毒再次攻击,彻底与“红色代码”告别。
红色代码只是威胁的一个开始,但是否每一次都能有厂商未雨绸缪推出最新产品,是否用户都能对即将到来的重大威胁保持高度警惕而提前防范,这就需要用户与厂商共同努力。
结论
我国信息网络安全研究历经了通信保密、数据保护两个阶段,正在进入网络信息安全研究阶段,现已开发研制出防火墙、安全路由器、安全网关、黑客入侵检测、系统脆弱性扫描软件等。但因信息网络安全领域是一个综合、交叉的学科领域它综合了利用数学、物理、生化信息技术和计算机技术的诸多学科的长期积累和最新发展成果, 提出系统的、完整的和协同的
解决信息网络安全的方案, 目前应从安全体系结构、安全协议、现代密码理论、信息分析和监控以及信息安全系统五个方面开展研究,各部分相互协同形成有机整体。
同时我们在使用计算机的过程中养成一个好习惯, 尽量的不用盗版软件, 尽量的不串用机器, 尽量的使用正版的计算机杀毒软件, 将计算机病毒控制在有限的空间, 它就不可能给工作带来大的影响。
【参考文献:】
[1] 《计算机病毒揭秘》,人民邮电出版社,2002-9,ISBN:7115104484,版次:1-1页数:432
[2] 《黑客攻防与计算机病毒分析检测及安全解决方案》,电子信息技术出版社,2006年5月出版
[3] 曲实强,《王江民谈:电脑病毒及防杀》,学苑出版社,2004-1-1,ISBN:97872507722284
[4] wz坐标工作室,《电脑安全设置与病毒防范应用大全》,中国铁道工业出版社,2009-2-1,ISBN:9787113094492
[4] 神龙工作室,《新编系统优化·安全设置·防杀电脑病毒从入门到精通》,人民邮电出版社,2008-4-1,ISBN:9787115176226
25
展开阅读全文
浙ICP备2021020529号-1 | 浙B2-20240490 
