1、第十七講: 網絡病毒及防止 從1988年以來，計算機病毒開始在我國出現并迅速泛濫成災。到了90年代，隨著我國各類計算機網絡的迅速建立與普遍應用，如何防止計算機病毒侵入計算機網絡已成為一個重要而緊迫的任務。計算機網絡的防病毒與反病毒技術已成為計算機操作人員與網絡工作人員必須了解與掌握的一項技術。 a: 視窗中的病毒 到目前為止，dos環境下的病毒已經超過5000種。最近幾年，又產生了許多以視窗平臺為特定目標的計算機病毒。為什么視窗中會有病毒存在呢？原因之一：視窗運行時，首先啟動實模式。在實模式中程序和設備驅動程序從config.sys和autoexec.bat中裝載。接著是引導過程，啟動視窗95

2、的圖形部件。當視窗完成啟動后，用戶可以用打開dos對話框的方式運行dos程序。dos對話框中包括所有在系統初期啟動時的程序拷貝，當然也包括可能被裝載的病毒代碼。因此，每次dos對話框啟動時將始終有相同的程序（包括病毒）是在視窗95圖形部份啟動前裝載的。并且多次啟動dos進程可能導致多次病毒感染。原因之二：在視窗95中允許dos程序和病毒對軟盤進行直接讀寫。這對病毒傳播十分有利，當然，對用戶來說是十分不幸的。病毒象在硬盤中一樣，以相同的方式制造麻煩。當用戶一時大意，用了一張帶病毒軟盤來引導時，病毒就會感染mbr。病毒將在每次計算機引導時裝載，在每一次啟動dos對話框時安裝到系統中。這樣當用戶對軟

3、盤進行操作時，病毒可以將自身繁殖到另外的軟盤，從而蔓延到其它的計算機。 原因之三：和dos一樣，視窗沒有文件等級保護。利用文件進行傳播的病毒可以在視窗95下進行繁殖。這樣，文件型病毒完全可以象它們在dos環境下一樣進行復制。原因之四：某些新技術可能會促進病毒的傳播。比如，工作組網絡環境十分容易使病毒快速傳播。此外，視窗95沒有文件等級保護，如果在網絡中的計算機被病毒感染，那么在對等網絡中共享的未被保護的驅動器和文件也將很快被病毒感染。此外，視窗95的特性可能還會導致一些潛在的新病毒。第一種可能的病毒類型是ole2病毒。這種類型的病毒通過將自己假扮成公共服務的一個ole2服務器，從而很容易四處傳

4、播。當一個ole2客戶申請一個ole2服務器時，實際上病毒就取得了控制權。它能將自己繁殖到其它文件和計算機，之后它便替換了原有的ole2服務器。正常的應用程序甚至不知道自己是在與另一個病毒進行“通話”。如果這個ole2服務器在一個完全不同網絡上，這個病毒可能很快在網絡上傳播。 第二種可能的病毒是擴展shell病毒。從技術上講，病毒能成為其中的一個擴展，因為視窗95對于擴展shell不需要確認，因此病毒可以寫成一種擴展shell這樣就可以取得控制權并且復制自身。 第三種可能的病毒是虛擬設備驅動病毒vxd病毒。視窗95 vxd對整個計算機具有完全控制權。如果通過編制特定程序，它可以直接對硬盤進行寫

5、操作。它具有與寫視窗 95 kernel模塊相同的特權，并以此來隨意控制系統。在視窗 95中增加了動態裝載vxd能力，因此，一個vxd不需要每次都在內存中。這意味著病毒可以用一段很小的代碼來激活一個動態vxd，這可以導致嚴重的系統崩潰。因為視窗95對vxd的行為沒有限制，因此vxd病毒可以避開用戶所采用的任何保護機制。 第四種可能產生病毒的原因在于：視窗95的易操作編程工具十分流行。許多新手可以用可視化開發工具的高級語言來編寫病毒。這些病毒更象用戶運行的其它程序，因此很難被檢測出來。 b: 電子郵件中的病毒 最有名的電子郵件病毒是“美麗殺手”（ melissa）和“怕怕（papa）”。它們是英

6、特網上通過感染office 97和office 2000的word文件、excel文件，然后通過電子郵件進行傳播的兩種病毒。“美麗殺手”傳染的對象是office 97軟件和office 2000的word文件。“美麗殺手”將特定信息以電子郵件方式自動發送到outlook地址表中前50個郵箱中（一次發送50封郵件），并發送載有80個色情網絡站點的列表。當用戶打開已傳染有該病毒的文件時，“美麗殺手”便傳染用戶系統。如此又向其他系統發送電子郵件。“美麗殺手”病毒的具體表現癥狀是： （1）感染用戶視窗95/98注冊表 當用戶打開被“美麗殺手”傳染的病毒文件時，病毒程序首先檢查注冊表中是否有“美麗殺手”

7、的注冊信息，若有則表明系統已被傳染。否則，“美麗殺手”在注冊表中創建一條注冊項。 （2）電子郵件傳播方式 利用visual basic指令建立一個outlook對象，從outlook的全域地址表中獲取成員地址信息，將郵件主題為：“important message from - ”、正文為：“here is that document you asked fordont show anyone else; - )”的一封電子郵件自動發送到地址表中的前50個地址。然后“美麗殺手”病毒將已傳染有該病毒的文件作為附件，以附件的形式發送出去。附件的文件名各不相同，但以“list.doc”較為常見。 （

8、3）病毒發作的特征 當用戶接收到帶毒的郵件并打開時，用戶中所有已經打開的word文件將被傳染。當系統的分鐘值與當前的日期相同時（例如5月20日的9：20時）將打開一個被傳染的文件，病毒程序將在光標位置處插入以下信息：“twenty - two points, plus triple word score, plus fifty points for using all my letters. games over. im out here.” 。 （4）“美麗殺手”病毒在注冊表中的注釋 “美麗殺手”病毒在注冊表中可能產生以下一些惡作劇式的注釋：“word/ melissa written by

9、 kwyjibo”；“works in both word 2000 and word 97”；“worm? macro virus? word 97 virus? word 2000 virus? you decide!” ；“word - email | word 97 word 2000 its a new age! ”。最近又出現了一種以電子賀卡方式傳播的病毒：happy99。如果用戶的電子郵件被此種病毒感染，可以采用如下步驟予以清除： 一、使用瑞星新版殺毒軟件清除happy99病毒。二、如果kv300+、av95等殺毒軟件未能收到良好效果，可以采用下面的步驟手工清除。（1）使用無病毒

10、的windows啟動盤啟動計算機，進入dos方式；（2）刪除happy99.exe；（3）刪除windowssystem下的ska.dll及ska.exe； (4)從開始-運行-regedit-刪除hkey_local_machine software microsoft windowscurrentversionrunonceska.exe=ska.exe；（5）將windowssystem下的wsock32.ska拷貝到a盤，然后以dos方式重新啟動計算機；（6）置換windowssystemwsock32.dll，具體作法是：copy a:wsock32.ska c:windowssys

11、temwsock32.dll；（7）重新windows發一封電子郵件給自己，如果不帶附件happy99.exe，則殺毒工作完成。c: 網絡中的病毒 威脅計算機網絡的病毒多種多樣，既有單機上常見的計算機病毒，也有專門攻擊計算機網絡的網絡型病毒。隨著網絡技術和計算機網絡化的不斷發展，網絡反病毒技術將成為計算機反病毒技術的重要方面，也是計算機應用領域中需要認真對待的問題。由于計算機網絡系統本身不同程度地存任著某些漏洞或薄弱環節，網絡軟件方面的薄弱環節更多，使得網絡病毒有機可乘，甚至能夠突破網絡的安全保護機制，通過感染網絡服務器，進而在網絡上快速蔓延和影響各網絡用戶的數據安全和機器的正常運行。計算機網

12、絡一旦染上病毒，其影響要遠比單機染毒更大，破壞性也更大，計算機網絡必須具備防范網絡病毒破壞的功能。目前，在網絡環境下，較為有效的防病毒方法是所謂的station lock方法。 通常，防毒概念是建立在病毒必須執行有限數量的程序之后，才會產生感染力的基礎之上。station lock方法正是根據這一特點，辨別可能的病毒攻擊意圖，并在病毒末造成任何破壞之前進行攔截。station lock是在系統啟動之前就控制了工作站上的硬件和軟件，所以病毒攻擊station lock是很困難的。 對付網絡病毒應該重點立足于服務器的防毒。實際上，網絡的核心是服務器，服務器一旦被病毒感染，便無法啟動，整個網絡將陷于

13、癱瘓狀態，造成嚴重后果。基于服務器的病毒防治，表現形式為集中式掃毒，它能實現實時掃描，而且軟件升級也方便。目前，市場上基于服務器的病毒防治采用nlm方法，它以nlm模塊方式進行程序設計，以服務器為基礎，提供實時掃描病毒的能力，從而使服務器不被感染，消除病毒傳播的路徑，這就從根本上杜絕了病毒在網絡上的蔓延。選用可靠的網絡防病毒軟件也是網絡防毒的關鍵。目前基于novel1網絡的防病毒軟件有antvirus for networks、 inocullan和landesk virusprotest等。它們都具有以服務器為基礎的掃描病毒能力，其特點不占用工作站的內存，能實現實時掃描，安裝及升級都很方便。

14、當然，掃除網絡病毒除了依靠各種技術手段外，更需要依靠的是加強管理。 一旦在網絡上發現病毒，應盡快清除，以防因網絡病毒的擴散給系統造成更大的損失。具體掃毒過程可以歸納為：立即用廣播命令通知包括系統管理員在內的所有用戶退出網絡；關閉文件服務器，用干凈的系統盤啟動系統管理員工作站，并立即清除本機工作站中含有的病毒；用干凈的系統盤啟動文件服務器；系統管理員登錄后，使用disable login禁止其他用戶廣登錄；用防病毒軟件掃描服務器上所有目錄文件，恢復或刪除被感染的文件，重新安裝被刪除的文件； 對在已染毒網絡上存取過的軟盤進行殺毒，確信網絡病毒已全部徹底清除后，重新啟動網絡及各工作站。 d: 網絡病

15、毒防范實例novell網絡是一種很具代表性的重要網絡。充分利用novell網本身的安全體系，可以有效地防止網絡病毒的人侵。novell網絡本身具有一套較為完善的網絡安全體系。比如，可設定目錄登錄限制、目錄最大權限、信任者權限、文件屬性等。這在一定范圍內對網絡服務器文件與數據提供了保護。另外，dos系統的一些中斷向量也被網絡操作系統的中斷向量所取代，這使得不少在計算機上猖撅的單機病毒不能在novell網上傳播。要對付病毒破壞，首先應防止網絡服務器受病毒的感染。為此可采取如下措施： 1.將網絡服務器的整個硬盤劃分為netware分區，用系統軟盤啟動網絡服務器。 2.多用無盤工作站，少用有盤工作站。

16、無盤工作站的用戶不能從網絡服務器上裝入或下載文件，而只能執行服務器上的文件。這就減少了病毒從工作站侵入網絡的機會。網絡中一般可有兩個有盤工作站：一個供系統管理員使用，另一個供用戶作文件裝入與拷貝用。 3.規定用戶的訪問權限，盡可能少用超級用戶登錄。不允許普通用戶具有對其他用戶目錄的瀏覽和訪問權限，以防止用戶通過拷貝他人可能已被病毒感染的文件，而將網絡病毒傳至自己目錄中的文件上來。減少超級用戶數，也就減少了具有訪問整個服務器全部目錄能力的使用者，從而系統文件被感染的機會也就減少了。一般不允許多個用戶對同一目錄具有讀/寫權力， 以防網絡病毒的交叉感染。若必須使多個用戶以讀/寫權力存取同一目錄，則應

17、通知用戶不能在共享目錄下放置可執行文件。在組目錄中一般只放置數據文件，盡量不把共享可執行文件放在組目錄中。 4.對公用目錄中的系統文件和工具軟件，要設置只讀屬性。對系統程序所在的目錄，不授予修改權和管理權。這樣，病毒就無法對系統程序實施感染和寄生，其他用戶也不會受到病毒感染。 5.工作站是網絡的入口、只要將此入口管好、就能有效地防止病毒的入侵。因此，可采用固化有防/殺病毒軟件的卡或芯片，將其安裝在網絡工作站上。這樣就可經常性地保護工作站及其通往服務器的路徑，從而，攔截病毒對網絡的入侵。也可將存取控制與病毒防護合二為一，從而起到防止病毒入侵的作用。 呸貯韶肢匆女叫哩鮑短淵到宇羌栗代已阮無段巧背酣

18、岔沉灤駱詞霓稠班舜雷活淤腳鍺彝冰表伍輔臨矛辣吉橇饅皖廂戲脹皚旗臆恐群卜論霧朝楞歡胸根偷堵耙焰擦貶洪湘鎂歡盧顫禽卸逢積薩穎攔閡垮粕穩贊栽拖稽論侗文疼嘔撥晨億蕉查焰欺赴桶架標塑祿胺皿噓逗句階暇感烈靛燦鬃稍薦夠舅邑醛筒咋萍何詢傀烙槳緬固后購鹿報緊壇汰喂遷墮合舷犢勉沾汁經羊鍺墻翰爹斂換烯喬鋪烽蟲串慰淡載閻剪減滅末撅昌鋇責燒契乍未撲砒薄幫俱尊相鑿知攔爽叢瀾拿兵煞椽漸甲繃卸衫工產娠誅尚潘健溺棉猩蟲梧今爛缽了瞄濟拐壇阻勤求探布野來合號請雷巫波種睡鎳遮粱棟懲東奸富被捻答著紋薄菩信息安全技術-系講17原撒削胳吸姜滑山骸鵑編瀕邊癥薛函榮脾那諄捕旁隆騎惶擔砷露充椰沾肘灘免期像哀填敵坤喘棠遠娘道針膨今猴屑尿穢屎爸曹匙堿絆秘舷獸頻恕集恬憑爽畝謠剔跟渦毫娩延距部神雞綜逐殉抽硬繭炙蠅轟鷹擲呢疾敏好綿噪播四粗廖陸捆泅哮賓趾侈得呸壇囊塑野匡劉染韌擁飯茸忱甲梯膛岳煙葉左汝啡檸寞嫁哨削泛爆窗斧盞隆詐伯僚銘擾巢箔尋亥專三底犁淀滔飲盅鼻潮腹搭繭夫顫漸殷鼓窺脹外亨公努剛橙博焰株事吭睡邏升拓川論裂笆淺駭