計算機病毒概述

本章主要內容計算機病毒的基本概念計算機病毒發展的歷史計算機病毒的分類計算機病毒命名規則計算機病毒的發展趨勢計算機病毒的防治網上相關資源

一、計算機病毒的定義二、計算機病毒的特性三、計算機病毒簡史四、病毒人生五、計算機病毒的分類六、計算機病毒的傳播途徑七、染毒計算機的癥狀八、計算機病毒的主要危害九、計算機病毒的命名規則十、計算機病毒防治十一、殺毒軟件及評價十二、解決方案和策略十三、國內外病毒產品的技術發展態勢計算機病毒感染率變化趨勢數據來源：中國計算機病毒應急處理中心

2014年9月，國家計算機病毒應急處理中心發布了“2013年全國信息網絡安全狀況與計算機和移動終端病毒疫情調查結果”。調查結果顯示，2013年我國計算機病毒感染率為54.9%，比上年上升了9.8%，在連續5年下降后回升，但上升幅度趨緩。隨著移動互聯網技術的發展，網上銀行、網絡支付、移動金融等已經成為很多人生活的一部分，受經濟利益的驅動，它們也成為病毒的主要攻擊目標，在盜取錢財的同時，不法分子還會竊取用戶的私密信息。另一方面，微博也成為新的關注點。同時，針對大型企業、重點行業的病毒傳播和攻擊增多。另外，調查結果顯示，超過半數被抽檢政府網站存在安全隱患。

2015年4月，信息安全公司賽門鐵克和美國運營商Verizon分別發布的最新報告顯示，計算機用戶目前在上網過程中很難確保安全。隨著黑客越來越具有“創造性”，許多企業也面臨著如何應對信息安全攻擊的難題。賽門鐵克對2014年的信息安全威脅進行了分析。報告表示，黑客的行動速度比企業防御速度更快。而相對于此前幾年，黑客正在發動越來越多的惡意攻擊。2014年，全球開發出的惡意軟件，包括計算機病毒和其他惡意軟件的數量超過了3.17億種。這意味著，每天新出現的信息安全威脅接近100萬種。一、計算機病毒的定義“計算機病毒”與醫學上的“病毒”不同， 它不是天然存在的，是某些人利用計算機軟、硬件所固有的脆弱性，編制的具有特殊功能的程序。“計算機病毒”為什么叫做病毒？與生物醫學上的病毒同樣有傳染和破壞的特性，因此這一名詞是由生物醫學上的“病毒”概念引申而來。病毒感染示意

生物病毒感染與寄生計算機病毒感染與寄生FredCohen定義：

計算機病毒是一種程序，他用修改其它程序的方法將自身的精確拷貝或者可能演化的拷貝插入其它程序，從而感染其它程序。標準定義（中國）：直至1994年2月18日，我國正式頒布實施了《中華人民共和國計算機信息系統安全保護條例》，在《條例》第二十八條中明確指出："計算機病毒，是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數據，影響計算機使用，并能自我復制的一組計算機指令或者程序代碼。"此定義具有法律性、權威性。惡意程序未經授權便干擾或破壞計算系統/網絡的程序或代碼稱之為惡意程序/惡意代碼惡意程序大致可以分為兩類：依賴于主機程序的惡意程序不能獨立于應用程序或系統程序，即存在宿主獨立于主機程序的惡意程序能在操作系統上運行的、獨立的程序

二、計算機病毒的特性

破壞性傳染性隱蔽性

寄生性觸發（潛伏）性計算機病毒的基本特征計算機病毒的可執行性(程序性)計算機病毒的基本特征，也是計算機病毒最基本的一種表現形式程序性決定了計算機病毒的可防治性、可清除性，反病毒技術就是要提前取得計算機系統的控制權，識別出計算機病毒的代碼和行為，阻止其取得系統控制權，并及時將其清除“人為的特制程序”是任何計算機病毒都固有的本質屬性，這一屬性也決定了病毒的面目各異且多變計算機病毒的基本特征計算機病毒的傳染性計算機病毒的傳染性是指病毒具有把自身復制到其他程序的能力。計算機病毒會通過各種渠道從已被感染的計算機擴散到未被感染的計算機。計算機病毒的這種將自身復制到感染目標中的“再生機制”，使得病毒能夠在系統中迅速擴散。正常的計算機程序一般是不會將自身的代碼強行鏈接到其他程序之上的。是否具有傳染性，是判別一個程序是否為計算機病毒的首要條件。傳染性也決定了計算機病毒的可判斷性。計算機病毒的基本特征計算機病毒的非授權性計算機病毒未經授權而執行計算機病毒的隱蔽性計算機病毒通常附在正常程序中或磁盤較隱蔽的地方，也有個別的以隱含文件形式出現，目的是不讓用戶發現它的存在。計算機病毒的隱蔽性表現在兩個方面：傳染的隱蔽性病毒程序存在的隱蔽性計算機病毒的基本特征計算機病毒的潛伏性一個編制精巧的計算機病毒程序，進入系統之后一般不會馬上發作潛伏性愈好，其在系統中的存在時間就會愈長，病毒的傳染范圍就會愈大計算機病毒的可觸發性計算機病毒因某個事件或數值的出現，誘使病毒實施感染或進行攻擊的特性稱為可觸發性為了隱蔽自己，病毒必須潛伏，少做動作。如果完全不動作，一直潛伏的話，病毒既不能感染也不能進行破壞，便失去了殺傷力。病毒既要隱蔽又要維持殺傷力，它必須具有可觸發性計算機病毒的基本特征計算機病毒攻擊的主動性計算機病毒對系統的攻擊是主動的，是不以人的意志為轉移的計算機病毒的針對性要使計算機病毒得以運行，就必須具有適合該病毒發生作用的特定軟硬件環境計算機病毒的衍生性衍生性為一些好事者提供了一種創造新病毒的捷徑。衍生出來的變種病毒造成的后果可能比原版病毒嚴重衍生性，是導致產生變體病毒的必然原因計算機病毒的基本特征計算機病毒的寄生性(依附性)病毒程序嵌入到宿主程序中，依賴于宿主程序的執行而生存，這就是計算機病毒的寄生性計算機病毒的不可預見性反病毒軟件預防措施和技術手段往往滯后于病毒的產生速度計算機病毒的誘惑欺騙性某些病毒常以某種特殊的表現方式，引誘、欺騙用戶不自覺地觸發、激活病毒，從而實施其感染、破壞功能計算機病毒的持久性即使在病毒程序被發現以后，數據和程序以至操作系統的恢復都非常困難計算機病毒的本質無論是DOS病毒還是Win32病毒，其本質是一致的，都是人為制造的程序其本質特點是程序的無限重復執行或復制，因為病毒的最大特點是其傳染性，而傳染性的原因是其自身程序不斷復制的結果，即程序本身復制到其他程序中或簡單地在某一系統中不斷地復制自己/*引導功能模塊*/{將病毒程序寄生于宿主程序中；加載計算機程序；病毒程序隨其宿主程序的運行進入系統；}{傳染功能模塊；}{破壞功能模塊；}main(){調用引導功能模塊；A：do{尋找傳染對象；if(傳染條件不滿足) gotoA；}while(滿足傳染條件)；調用傳染功能模塊；while(滿足破壞條件) {激活病毒程序； 調用破壞功能模塊；}運行宿主源程序； if不關機 gotoA；關機；}三、計算機病毒簡史年份計算機病毒簡史計算機病毒產生的動機(原因)：計算機系統的脆弱性作為一種文化（hacker）病毒編制技術學習惡作劇\報復心理用于版權保護（江民公司）用于特殊目的（軍事、計算機防病毒公司）計算機病毒簡史在第一部商用電腦出現之前，馮·諾伊曼在他的論文《復雜自動裝置的理論及組識的進行》里，就已經勾勒出了病毒程序的藍圖。70年代美國作家雷恩出版的《P1的青春－TheAdolescenceofP1》一書中作者構思出了計算機病毒的概念。美國電話電報公司(AT&T)的貝爾實驗室中，三個年輕程序員道格拉斯.麥耀萊、維特.維索斯基和羅伯.莫里斯在工作之余想出一種電子游戲叫做“磁芯大戰(corewar)”。

博士論文的主題是計算機病毒1983年11月3日，FredCohen博士研制出第一個計算機病毒（Unix）。

1986年初，巴基斯坦的拉合爾，巴錫特和阿姆杰德兩兄弟編寫了

Pakistan病毒，即Brain，其目的是為了防范盜版軟件。Dos–PC–引導區1987年世界各地的計算機用戶幾乎同時發現了形形色色的計算機病毒，如大麻、IBM圣誕樹、黑色星期五等等。視窗病毒1988年3月2日，一種蘋果機的病毒發作，這天受感染的蘋果機停止工作，只顯示“向所有蘋果電腦的使用者宣布和平的信息”。以慶祝蘋果機生日。肇事者-RobertT.Morris,美國康奈爾大學學生，其父是美國國家安全局安全專家。機理-利用sendmail,finger等服務的漏洞，消耗CPU資源，并導致拒絕服務。影響Internet上大約6000臺計算機感染，占當時Internet聯網主機總數的10%，造成9600萬美元的損失。莫里斯事件震驚了美國社會乃至整個世界。

黑客從此真正變黑，黑客倫理失去約束，黑客傳統開始中斷。大眾對黑客的印象永遠不可能回復。而且，計算機病毒從此步入主流。

CERT/CC的誕生-DARPA成立CERT（ComputerEmergencyResponseTeam），以應付類似事件。莫里斯蠕蟲（MorrisWorm）1988年

1989年，全世界計算機病毒攻擊十分猖獗，其中“米開朗基羅”病毒給許多計算機用戶（包括中國）造成了極大損失。全球流行DOS病毒伊拉克戰爭中的病毒-AF/91（1991）在沙漠風暴行動的前幾周，一塊被植入病毒的計算機芯片被安裝進了伊拉克空軍防衛系統中的一臺點陣打印機中。該打印機在法國組裝，取道約旦、阿曼運到了伊拉克。病毒癱瘓了伊拉克空軍防衛系統中的一些Windows系統主機以及大型計算機，據說非常成功。宏病毒1996年，出現針對微軟公司Office的“宏病毒”。1997年公認為計算機反病毒界的“宏病毒年”。特點：書寫簡單，甚至有很多自動制作工具CIH（1998-1999）1998年，首例破壞計算機硬件的CIH病毒出現，引起人們的恐慌。1999年4月26日，CIH病毒在我國大規模爆發，造成巨大損失。蠕蟲——病毒新時代1999年3月26日，出現一種通過因特網進行傳播的美麗莎病毒(宏病毒，通過郵件傳播)。2001年7月中旬，一種名為“紅色代碼”的病毒在美國大面積蔓延，這個專門攻擊web服務器的病毒攻擊了白宮網站，造成了全世界恐慌。2003年，“2003蠕蟲王”病毒在亞洲、美洲、澳大利亞等地迅速傳播，造成了全球性的網絡災害。蠕蟲病毒流行的3年（2003-2005）2004年是蠕蟲泛濫的一年，大流行病毒：網絡天空(Worm.Netsky)高波(Worm.Agobot)愛情后門(Worm.Lovgate)震蕩波(Worm.Sasser)SCO炸彈(Worm.Novarg)沖擊波(Worm.Blaster)惡鷹(Worm.Bbeagle)小郵差(Worm.Mimail)求職信(Worm.Klez)大無極(Worm.SoBig)

2005年是木馬流行的一年，新木馬包括：8月9日，“閃盤竊密者（Trojan.UdiskThief）”病毒。該木馬病毒會判定電腦上移動設備的類型，自動把U盤里所有的資料都復制到電腦C盤的“test”文件夾下，這樣可能造成某些公用電腦用戶的資料丟失。11月25日，“證券大盜”（Ｔｒｏｊａｎ／ＰＳＷ．Ｓｏｕｆａｎ）。該木馬病毒可盜取包括南方證券、國泰君安在內多家證券交易系統的交易賬戶和密碼，被盜號的股民賬戶存在被人惡意操縱的可能。7月29日，“外掛陷阱”（troj.Lineage.hp）。此病毒可以盜取多個網絡游戲的用戶信息，如果用戶通過登陸某個網站，下載安裝所需外掛后，便會發現外掛實際上是經過偽裝的病毒，這個時候病毒便會自動安裝到用戶電腦中。9月28日，"我的照片"(Trojan.PSW.MyPhoto)病毒。該病毒試圖竊取《熱血江湖》、《傳奇》、《天堂Ⅱ》、《工商銀行》、《中國農業銀行》等數十種網絡游戲及網絡銀行的賬號和密碼。該病毒發作時，會顯示一張照片使用戶對其放松警惕。

2006年木馬仍然是病毒主流，變種層出不窮2006年上半年，江民反病毒中心共截獲新病毒33358種，另據江民病毒預警中心監測的數據顯示，1至6月全國共有7,322,453臺計算機感染了病毒，其中感染木馬病毒電腦2,384,868臺，占病毒感染電腦總數的32.56%，感染廣告軟件電腦1,253,918臺，占病毒感染電腦總數的17.12%，感染后門程序電腦

664,589臺，占病毒感染電腦總數的9.03%，蠕蟲病毒216,228臺，占病毒感染電腦總數的2.95%，監測發現漏洞攻擊代碼感染181,769臺，占病毒感染電腦總數的2.48%，腳本病毒感染15152臺，占病毒感染電腦總數的2.06%。最前沿病毒2007年：流氓軟件——反流氓軟件技術對抗的階段。3721–yahoo熊貓燒香2008年：木馬ARPPhishing（網絡釣魚）

2009年惡意代碼產業化木馬是主流其他：瀏覽器劫持、下載捆綁、釣魚

2010年新增惡意代碼750萬（瑞星）；流行惡意代碼：快捷方式真假難分、木馬依舊猖獗，但更注重經濟利益和特殊應用。

移動智能終端惡意代碼2004年第一個運行于手機上的病毒Cabir出現僅僅運行于Android平臺上的惡意代碼已達35萬（趨勢科技2012年底統計）惡意代碼的發展趨勢卡巴斯基實驗室的高級研究師DavidEmm研究獲悉，到2008年底為止，全球大約存在各種惡意代碼1,400,000個。

發展趨勢網絡化發展專業化發展簡單化發展多樣化發展自動化發展犯罪化發展四、病毒人生（法律）1983年11月3日，弗雷德·科恩(FredCohen)博士研制出一種在運行過程中可以復制自身的破壞性程序，倫·艾德勒曼(LenAdleman)將它命名為計算機病毒(computerviruses)，并在每周一次的計算機安全討論會上正式提出。

1988年冬天，正在康乃爾大學攻讀的莫里斯，把一個被稱為“蠕蟲”的電腦病毒送進了美國最大的電腦網絡——互聯網。1988年11月2日下午5點，互聯網的管理人員首次發現網絡有不明入侵者。當晚，從美國東海岸到西海岸，互聯網用戶陷入一片恐慌。

CIH病毒，又名“切爾諾貝利”，是一種可怕的電腦病毒。它是由臺灣大學生陳盈豪編制的，九八年五月間，陳盈豪還在大同工學院就讀時，完成以他的英文名字縮寫“CIH”名的電腦病毒起初據稱只是為了“想紀念一下1986的災難”或“使反病毒軟件公司難堪”。

年僅18歲的高中生杰弗里·李·帕森因為涉嫌是“沖擊波”電腦病毒的制造者于2003年8月29日被捕。對此，他的鄰居們表示不敢相信。在他們的眼里，杰弗里·李·帕森是一個電腦天才，而決不是什么黑客，更不會去犯罪。

李俊，技校畢業，中專2007年1月初肆虐網絡大于1000萬用戶染毒損失數億元人民幣處罰：獲刑四年2013年6月參與開設網絡賭場再次被捕2014年1月被判三年五、計算機病毒的分類1、按病毒存在的媒體分類網絡病毒：通過計算機網絡傳播感染網絡中的可執行文件；文件病毒：感染計算機中的文件（如：ＣＯＭ，ＥＸＥ，ＤＯＣ等）；引導型病毒：感染啟動扇區（Boot）和硬盤的系統引導扇區（ＭＢＲ）；混合型病毒：是上述三種情況的混合。例如：多型病毒（文件和引導型）感染文件和引導扇區兩種目標，這樣的病毒通常都具有復雜的算法，它們使用非常規的辦法侵入系統，同時使用了加密和變形算法。2、按病毒傳染的方法分類引導扇區傳染病毒：主要使用病毒的全部或部分代碼取代正常的引導記錄，而將正常的引導記錄隱藏在其他地方。執行文件傳染病毒：寄生在可執行程序中，一旦程序執行，病毒就被激活，進行預定活動。網絡傳染病毒：這類病毒是當前病毒的主流，特點是通過互聯網絡進行傳播。例如，蠕蟲病毒就是通過主機的漏洞在網上傳播。3、按病毒破壞的能力分類無害型：除了傳染時減少磁盤的可用空間外，對系統沒有其它影響。

無危險型：這類病毒僅僅是減少內存、顯示圖像、發出聲音及同類音響。

危險型：這類病毒在計算機系統操作中造成嚴重的錯誤。

非常危險型：這類病毒刪除程序、破壞數據、清除系統內存區和操作系統中重要的信息。4、按病毒算法分類伴隨型病毒：這一類病毒并不改變文件本身，它們根據算法產生EXE文件的伴隨體，具有同樣的名字和不同的擴展名（COM），例如：XCOPY.EXE的伴隨體是XCOPY.COM。病毒把自身寫入COM文件并不改變EXE文件，當DOS加載文件時，伴隨體優先被執行到，再由伴隨體加載執行原來的EXE文件。蠕蟲型病毒：通過計算機網絡傳播，不改變文件和資料信息，利用網絡從一臺機器的內存傳播到其它機器的內存，計算網絡地址，將自身的病毒通過網絡發送。有時它們在系統存在，一般除了內存不占用其它資源寄生型病毒：依附在系統的引導扇區或文件中，通過系統的功能進行傳播。練習型病毒：病毒自身包含錯誤，不能進行很好的傳播，例如一些病毒在調試階段。變形病毒：這一類病毒使用一個復雜的算法，使自己每傳播一份都具有不同的內容和長度。它們一般的作法是一段混有無關指令的解碼算法和經過變化的病毒體組成。5、按計算機病毒的鏈結方式分類源碼型病毒：該病毒攻擊高級語言編寫的程序，該病毒在高級語言所編寫的程序編譯前插入到原程序中，經編譯成為合法程序的一部分。嵌入型病毒：這種病毒是將自身嵌入到現有程序中，把計算機病毒的主體程序與其攻擊的對象以插入的方式鏈接。這種計算機病毒是難以編寫的，一旦侵入程序體后也較難消除。如果同時采用多態性病毒技術，超級病毒技術和隱蔽性病毒技術，將給當前的反病毒技術帶來嚴峻的挑戰。外殼型病毒：外殼型病毒將其自身包圍在主程序的四周，對原來的程序不作修改。這種病毒最為常見，易于編寫，也易于發現，一般測試文件的大小即可知。操作系統型病毒：這種病毒用自身的程序加入或取代部分操作系統進行工作，具有很強的破壞力，可以導致整個系統的癱瘓。圓點病毒和大麻病毒就是典型的操作系統型病毒。6、按病毒攻擊操作系統分類MicrosoftDOSMicrosoftWindows95/98/MEMicrosoftWindowsNT/2000/XPUnix(Linux)Macintosh（MacMag病毒、Scores病毒）OS/2（AEP病毒）病毒的發展是伴隨著計算機軟硬件的發展而發展的。沿著操作系統發展的幾個階段來看看病毒技術與反病毒技術演化。DOS時代（1981－）Window9x時代（1995－）WindowsNT/2000時代（1996－）嵌入式系統（2000—）操作系統及病毒變化（一）DOS操作系統時代的病毒DOS操作系統簡介16位的操作系統（8086、8088）實模式、單用戶、單任務字符界面中斷機制DOS可執行文件病毒原理COM病毒EXE病毒常見感染手法通過查目錄進行傳播通過執行進行傳播通過文件查找進行傳播通過文件關閉的時候進行傳播DOS反病毒原理特征碼技術模糊匹配技術（廣譜殺毒）行為判定技術啟發式掃描技術對各種可疑功能進行加權判斷；MOVAH,5；INT,13h;format（二）Windows操作系統32位操作系統搶占式多任務操作系統保護模式下運行友好的圖形界面Windows病毒可執行文件病毒宏病毒腳本病毒蠕蟲病毒木馬病毒可執行文件病毒典型病毒（CIH）感染原理特點反病毒技術文件監控內存監控蠕蟲病毒典型病毒感染原理特點反病毒技術郵件監控網絡監控席卷全球的NIMDA病毒木馬病毒典型病毒感染原理特點反病毒技術文件監控防火墻宏病毒典型病毒感染原理特點反病毒技術OFFICE嵌入式查毒特征代碼腳本病毒典型病毒感染原理特點反病毒技術腳本監控智能手機病毒-手機木馬（WinCE.Brador.A）病毒名稱：

WinCE.Brador.A

類型：Backdoor公布日期：未知影響平臺：WindowsMobile病毒別名：Backdoor.WinCE.Brador.a大小：5632發源地區：俄羅斯概述：Brador.A是已知第一個針對PocketPC手持設備的后門程序。運行時，后門程序將自己復制到啟動文件夾，將PDA的IP地址郵件發送給后門程序的作者，并開始監聽一個TCP端口的命令。然后黑客可以通過TCP端口連接回PDA，通過后門程序控制PDA。

運行時，Brador.A會將自己作為svchost.exe復制到PocketPC設備上的Windows\StartUp文件夾，以致設備每次啟動時它都會自動啟動

安裝程序對復制到Windows\StartUp文件夾的文件作了輕微修改。因此文件每次啟動時會有所不同，雖然這不會影響后門程序的操作。仍不清楚這是安裝程序有意的還是附帶的結果。

危害當Brador.A安裝到系統時，會讀取本地主機IP地址并email發送給作者。郵件發送IP地址后后門程序打開一個TCP端口，開始監聽來自它的命令。后門程序能夠從PDA上傳、下載文件，執行任意命令并對PDA用戶顯示信息。六、計算機病毒的傳播途徑

1、軟盤軟盤作為最常用的交換媒介，在計算機應用的早期對病毒的傳播發揮了巨大的作用，因那時計算機應用比較簡單，可執行文件和數據文件系統都較小，許多執行文件均通過軟盤相互拷貝、安裝，這樣病毒就能通過軟盤傳播文件型病毒；另外，在軟盤列目錄或引導機器時，引導區病毒會在軟盤與硬盤引導區內互相感染。因此軟盤也成了計算機病毒的主要的寄生“溫床”。2、光盤光盤因為容量大，存儲了大量的可執行文件，大量的病毒就有可能藏身于光盤，對只讀式光盤，不能進行寫操作，因此光盤上的病毒不能清除。以謀利為目的非法盜版軟件的制作過程中，不可能為病毒防護擔負專門責任，也決不會有真正可靠的技術保障避免病毒的傳入、傳染、流行和擴散。當前，盜版光盤的泛濫給病毒的傳播帶來了極大的便利。甚至有些光盤上殺病毒軟件本身就帶有病毒，這就給本來“干凈”的計算機帶來了災難。

3、硬盤（含移動硬盤、USB）有時，帶病毒的硬盤在本地或移到其他地方使用甚至維修等，就會將干凈的軟盤傳染或者感染其他硬盤并擴散。網絡——〉病毒的加速器網絡病毒技術社區集體攻擊病毒蠕蟲病毒特洛伊木馬黑客技術腳本病毒郵件病毒病毒源碼發布4、有線網絡觸目驚心的計算——卿斯漢如果：20分鐘產生一種新病毒，通過因特網傳播（30萬公里/秒）。聯網電腦每20分鐘感染一次，每天開機聯網2小時。結論：一年以內一臺聯網的電腦可能會被最新病毒感染2190次。另一個數字：75％的電腦被感染。網絡服務——〉傳播媒介網絡的快速發展促進了以網絡為媒介的各種服務（FTP,WWW,BBS,EMAIL等）的快速普及。同時，這些服務也成為了新的病毒傳播方式。電子布告欄（BBS）：電子郵件（Email）：即時消息服務（QQ,ICQ,MSN等）：WEB服務：FTP服務：新聞組：5、無線通訊系統病毒對手機的攻擊有3個層次：攻擊WAP服務器，使手機無法訪問服務器；攻擊網關，向手機用戶發送大量垃圾信息；直接對手機本身進行攻擊，有針對性地對其操作系統和運行程序進行攻擊，使手機無法提供服務。七、染毒計算機的癥狀病毒表現現象：計算機病毒發作前的表現現象病毒發作時的表現現象病毒發作后的表現現象與病毒現象相似的硬件故障與病毒現象相似的軟件故障1、發作前的現象平時運行正常的計算機突然經常性無緣無故地死機操作系統無法正常啟動運行速度明顯變慢以前能正常運行的軟件經常發生內存不足的錯誤打印和通訊發生異常無意中要求對軟盤進行寫操作以前能正常運行的應用程序經常發生死機或者非法錯誤系統文件的時間、日期、大小發生變化運行Word，打開Word文檔后，該文件另存時只能以模板方式保存磁盤空間迅速減少網絡驅動器卷或共享目錄無法調用基本內存發生變化陌生人發來的電子郵件2、發作時的現象提示一些不相干的話發出一段的音樂產生特定的圖像硬盤燈不斷閃爍進行游戲算法Windows桌面圖標發生變化計算機突然死機或重啟自動發送電子郵件鼠標自己在動

顯示圖片3、發作后的現象硬盤無法啟動，數據丟失系統文件丟失或被破壞文件目錄發生混亂部分文檔丟失或被破壞部分文檔自動加密修改Autoexec.bat文件使部分可軟件升級主板的BIOS程序混亂，主板被破壞網絡癱瘓，無法提供正常的服務4、與病毒現象類似的軟件故障出現“Invaliddrivespecification”(非法驅動器號)軟件程序已被破壞(非病毒)軟件與操作系統的兼容性引導過程故障用不同的編輯軟件程序5、與病毒現象類似的硬件故障系統的硬件配置電源電壓不穩定插件接觸不良軟驅故障關于CMOS的問題八、計算機病毒的主要危害直接危害：1.病毒激發對計算機數據信息的直接破壞作用2.占用磁盤空間和對信息的破壞3.搶占系統資源4.影響計算機運行速度5.計算機病毒錯誤與不可預見的危害6.計算機病毒的兼容性對系統運行的影響病毒的危害情況

間接危害：1.計算機病毒給用戶造成嚴重的心理壓力2.造成業務上的損失3.法律上的問題近幾年來的重大損失

年份攻擊行為發起者受害PC數目損失金額(美元)2006木馬和惡意軟件————2005木馬————2004Worm_Sasser(震蕩波)————2003Worm_MSBLAST(沖擊波)超過140萬臺——2003SQLSlammer超過20萬臺9.5億至12億2002Klez超過6百萬臺90億2001RedCode超過1百萬臺26億2001NIMDA超過8百萬臺60億2000LoveLetter——88億1999CIH超過6千萬臺近100億九、計算機病毒的命名規則通用命名規則按病毒發作的時間命名如“黑色星期五”按病毒發作癥狀命名如“小球”病毒按病毒的傳染方式命名如黑色星期五病毒，又命名為瘋狂拷貝病毒按病毒自身宣布的名稱或包含的標志命名CIH病毒的命名源于其含有“CIH”字符按病毒發現地命名如“黑色星期五”又稱Jerusalem(耶路撒冷)病毒按病毒的字節長度命名如黑色星期五病毒又稱作1813病毒思考：這種命名方式，存在什么不足？國際上對病毒命名的慣例計算機病毒英文命名規則也就是國際上對病毒命名的一般慣例為“前綴+病毒名+后綴”，即三元組命名規則前綴表示該病毒發作的操作平臺或者病毒的類型，而DOS下的病毒一般是沒有前綴病毒名為該病毒的名稱及其家族后綴一般可以不要，只是以此區別在該病毒家族中各病毒的不同，可以為字母，或者為數字以說明此病毒的大小三元組中“病毒名”的命名優先級為：病毒的發現者(或制造者)→病毒的發作癥狀→病毒的發源地→病毒代碼中的特征字符串例如：WM.Cap.AA表示在Cap病毒家族中的一個變種，WM表示該病毒是一個Word宏(Macro)病毒病毒名中若有PSW或者PWD之類的，一般都表示該病毒有盜取口令的功能病毒命名待進一步規范、統一由于存在“靈活”的命名規則和慣例，再加上殺毒軟件開發商各自的命名體系存在差異、計算機病毒研究學者/反病毒人員在為病毒命名時的個人觀點、所依據的方法也各不相同，最終造成同種病毒出現不同名稱的混亂現象如“新歡樂時光”病毒HTML.Redlof.A[Symantec]VBS.KJ[金山]Script.RedLof[瑞星]VBS/KJ[江民]病毒命名可以做出更細致的規定，如：[病毒前綴]+[主要變量]+[次要變量]+[病毒名]+[病毒后綴]比如一個病毒名為：DosV.BOOT.kot.B，那么可以解釋為：這是一個DOS病毒，僅僅感染.COM，感染引導區，病毒名為kot，版本號為B。十、計算機病毒防治病毒防治的公理1、不存在這樣一種反病毒軟硬件，能夠防治未來產生的所有病毒。2、不存在這樣一種病毒程序，能夠讓未來的所有反病毒軟硬件都無法檢測。3、目前的反病毒軟件和硬件以及安全產品是都易耗品，必須經常進行更新、升級。4、病毒產生在前，反病毒手段滯后的現狀，將是一個長期的過程。人類為防治病毒所做出的努力立體防護網絡版單機版防病毒卡對計算機病毒應持有的態度

1.客觀承認計算機病毒的存在，但不要懼怕病毒。

3.樹立計算機病毒意識，積極采取預防（備份等）措施。4.掌握必要的計算機病毒知識和病毒防治技術，對用戶至關重要。5.發現病毒，冷靜處理。目前廣泛應用的幾種防治技術：特征碼掃描法特征碼掃描法是分析出病毒的特征病毒碼并集中存放于病毒代碼庫文件中，在掃描時將掃描對象與特征代碼庫比較，如有吻合則判斷為染上病毒。該技術實現簡單有效，安全徹底；但查殺病毒滯后，并且龐大的特征碼庫會造成查毒速度下降；虛擬執行技術該技術通過虛擬執行方法查殺病毒，可以對付加密、變形、異型及病毒生產機生產的病毒，具有如下特點：在查殺病毒時在機器虛擬內存中模擬出一個“指令執行虛擬機器”在虛擬機環境中虛擬執行（不會被實際執行）可疑帶毒文件在執行過程中，從虛擬機環境內截獲文件數據，如果含有可疑病毒代碼，則殺毒后將其還原到原文件中，從而實現對各類可執行文件內病毒的查殺

智能引擎技術

智能引擎技術發展了特征碼掃描法的優點，改進了其弊端，使得病毒掃描速度不隨病毒庫的增大而減慢。剛剛面世的瑞星殺毒軟件2003版即采用了此項技術，使病毒掃描速度比2002版提高了一倍之多；計算機監控技術文件實時監控內存實時監控腳本實時監控郵件實時監控注冊表實時監控參考：未知病毒查殺技術

未知病毒技術是繼虛擬執行技術后的又一大技術突破，它結合了虛擬技術和人工智能技術，實現了對未知病毒的準確查殺。壓縮智能還原技術世界上的壓縮工具、打包工具、加“殼”工具多不勝數，病毒如果被這樣的工具處理后被層層包裹起來，對于防病毒軟件來說，就是一個噩夢。為了使用統一的方法來解決這個問題，反病毒專家們發明了未知解壓技術，它可以對所有的這類文件在內存中還原，從而使得病毒完全暴露出來。多層防御，集中管理技術反病毒要以網為本，從網絡系統的角度設計反病毒解決方案，只有這樣才能有效地查殺網絡上的計算機病毒。在網絡上，軟件的安裝和管理方式是十分關鍵的，它不僅關系到網絡維護和管理的效率和質量，而且涉及到網絡的安全性。好的殺毒軟件需要能在幾分鐘之內便可輕松地安裝到組織里的每一個NT服務器上，并可下載和散布到所有的目的機器上，由網絡管理員集中設置和管理，它會與操作系統及其它安全措施緊密地結合在一起，成為網絡安全管理的一部分，并且自動提供最佳的網絡病毒防御措施。病毒免疫技術病毒免疫技術一直是反病毒專家研究的熱點，它通過加強自主訪問控制和設置磁盤禁寫保護區來實現病毒免疫的基本構想。實際上，最近出現的軟件安全認證技術也應屬于此技術的范疇，由于用戶應用軟件的多樣性和環境的復雜性，病毒免疫技術到廣泛使用還有一段距離。病毒防治技術的趨勢前瞻加強對未知病毒的查殺能力加強對未知病毒的查殺能力是反病毒行業的持久課題，目前國內外多家公司都宣布自己的產品可以對未知病毒進行查殺，但據我們研究，國內外的產品只有少數可以對同一家族的新病毒進行預警，不能清除。目前有些公司已經在這一領域取得了突破性的進展，可以對未知DOS病毒、未知PE病毒、未知宏病毒進行防范。其中對未知DOS病毒能查到90%以上，并能準確清除其中的80%，未知PE病毒能查到70%以上、未知宏病毒能實現查殺90%.防殺針對掌上型移動通訊工具和PDA的病毒隨著掌上型移動通訊工具和PDA的廣泛使用，針對這類系統的病毒已經開始出現，并且威脅將會越來越大，反病毒公司將投入更多的力量來加強此類病毒的防范。兼容性病毒的防殺

目前已經發現可以同時在微軟WINDOWS和日益普及的LINUX兩種不同操作系統內運作的病毒，此類病毒將會給人們帶來更多的麻煩，促使反病毒公司加強防殺此類病毒。蠕蟲病毒和腳本病毒的防殺不容忽視

蠕蟲病毒是一種能自我復制的程序，駐留內存并通過計算機網絡復制自己，它通過大量消耗系統資源，最后導致系統癱瘓。給人們帶來了巨大的危害，腳本病毒因為其編寫相對容易正成為另一種趨勢，這兩類病毒的危害性使人們絲毫不能忽視對其的防殺。十一、殺毒軟件及評價病毒查殺能力對新病毒的反應能力對文件的備份和恢復能力實時監控功能及時有效的升級功能智能安裝、遠程識別功能界面友好、易于操作對現有資源的占用情況（一）殺毒軟件必備功能

系統兼容性軟件的價格軟件商的實力（二）國內外殺毒軟件及市場金山毒霸、瑞星殺毒、KV3000、PC-CillinVirusBuster、NortonAntiVirus、McafeeVirusScan、KasperskyAntivirus、F-SecureAntivirus,Nod32等。《電腦報》2008評測結果AV-Test2007年5月排名十二、解決方案和策略企業網絡中的病毒漏洞FileServerMailServerClientInternetGatewayFirewallInternet

企業網絡基本結構

網關（Gateway)服務器（Servers)

郵件服務器文件/應用服務器客戶端（clients)趨勢整體防病毒解決方案FirewallInternetFileServerClientInternetGatewayInterScanVirusWallServerProtectforNT

forNetWareCentralControlTVCSMailServerScanMailforExchange

forLotusNotesOfficeScanClientsOfficeScanServerOfficeScanServer趨勢整體防病毒解決方案1網關級解決方案InterScanViruswall

2服務器級解決方案

郵件服務器ScanMail

forExchange/forNotes文件服務器ServerProtect

forNT/Netware3客戶端解決方案OfficeScan4集中管理系統解決方案TVCS