第6章計算機病毒與惡意軟件6.1計算機病毒概述6.2典型的病毒分析6.3惡意軟件概述概述本章介紹計算機病毒和惡意軟件。在國外，有時將計算機病毒當作惡意軟件來處理。而在我國，惡意軟件沒有明確的法律定義，只在互聯網協會對惡意軟件做了介紹，其中并不包括計算機病毒。6.1計算機病毒概述6.1.1計算機病毒的概念計算機病毒：與醫學上的“病毒”不同，它不是天然存在的，是某些人利用計算機軟、硬件所固有的脆弱性，編制具有特殊功能的程序。它能通過某種途徑潛伏在計算機存儲介質（或程序）里，當達到某種條件時即被激活，它用修改其他程序的方法將自己的精確拷貝或者可能演化的形式放入其他程序中，從而感染它們，對計算機資源進行破壞的這樣一組程序或指令集合。6.1計算機病毒概述1994年2月18日，我國正式頒布實施了《中華人民共和國計算機信息系統安全保護條例》，在《條例》第二十八條中明確指出：

“計算機病毒，是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數據，影響計算機使用，并能自我復制的一組計算機指令或者程序代碼。”此定義具有法律性、權威性。6.1計算機病毒概述6.1.2計算機病毒產生的原因病毒產生的過程：程序設計－＞傳播－＞潛伏－＞觸發－＞運行－＞實行攻擊。

究其產生的原因不外乎以下幾種：6.1計算機病毒概述1.開個玩笑，一個惡作劇某些程序通過載體傳播出去后，在一定條件下被觸發。如顯示一些動畫，播放一段音樂，或提一些智力問答題目等，其目的無非是自我表現一下。這類病毒一般都是良性的，不會有破壞操作。例：小球病毒、1575/1591病毒、救護車病毒、揚基病毒、Dabi病毒等等6.1計算機病毒概述2.產生于個別人的報復心理國外的案例：

某公司職員在職期間編制了一段代碼隱藏在其公司的系統中，一旦檢測到他的名字在工資報表中刪除，該程序立即發作，破壞整個系統。6.1計算機病毒概述3.用于版權保護計算機發展初期，很多商業軟件被非法復制，有些開發商為了保護自己的利益制作了一些特殊程序，附在產品中。如：巴基斯坦病毒，其制作者是為了追蹤那些非法拷貝他們產品的用戶。用于這種目的的病毒目前已不多見。4.用于特殊目的某組織或個人為達到特殊目的，對政府機構、單位的特殊系統進行宣傳或破壞，或軍事目的。6.1計算機病毒概述6.1.3計算機病毒的歷史1988年發生在美國的“蠕蟲病毒”事件，給計算機技術的發展罩上了一層陰影。

莫里斯蠕蟲病毒是由美國CORNELL大學研究生莫里斯編寫。雖然并沒有惡意，但在當時，“蠕蟲”在INTERNET上大肆傳染，使得數千臺聯網的計算機停止運行，并造成巨額損失，成為一時的輿論焦點。蠕蟲病毒破壞發展趨勢6.1計算機病毒概述6.1.4計算機病毒的特征1.傳染性傳染性是病毒的基本特征。計算機病毒會通過各種渠道從已被感染的計算機擴散到未被感染的計算機，在某些情況下造成被感染的計算機工作失常甚至癱瘓。6.1.4計算機病毒的特征與生物病毒的區別：

計算機病毒是一段人為編制的計算機程序代碼，這段程序代碼一旦進入計算機并得以執行，它會搜尋其他符合其傳染條件的程序或存儲介質，確定目標后再將自身代碼插入其中，達到自我繁殖的目的。6.1計算機病毒概述2.隱蔽性病毒一般是具有很高編程技巧、短小精悍的程序。通常附在正常程序或磁盤較隱蔽的地方，也有個別的以隱含文件形式出現，目的是不讓用戶發現它的存在。計算機病毒程序取得系統控制權后，可以在很短的時間里傳染大量程序。而且受到傳染后，計算機系統通常仍能正常運行，使用戶不會感到任何異常。6.1計算機病毒概述3.潛伏性大部分的病毒感染系統之后一般不會馬上發作，它可長期隱藏在系統中，只有在滿足其特定條件時才啟動其破壞模塊。

如“PETER-2”在每年2月27日會提三個問題，答錯后會將硬盤加密。著名的“黑色星期五”在逢13號的星期五發作。國內的“上海一號”會在每年三、六、九月的13日發作。當然，最令人難忘的是26日發作的CIH。6.1計算機病毒概述4.破壞性根據病毒對計算機系統的破壞性可將病毒分為良性病毒與惡性病毒。

良性病度可能只顯示些畫面或出點音樂、無聊的語句，或者根本沒有任何破壞動作，但會占用系統資源。這類病毒較多，如：GENP、小球、W-BOOT等。

惡性病毒則有明確的目的，或破壞數據、刪除文件或加密磁盤、格式化磁盤，有的對數據造成不可挽回的破壞。6.1計算機病毒概述6.1.5計算機病毒的命名反病毒公司為了方便管理，會按照病毒的特性，將病毒進行分類命名。雖然每個反病毒公司的命名規則都不太一樣，但大體都是采用一個統一的命名規則。一般格式為：<病毒前綴>.<病毒名>.<病毒后綴>6.1計算機病毒概述病毒前綴是指一個病毒的種類，用來區別病毒的種族分類。比如我們常見的木馬病毒的前綴Trojan，蠕蟲病毒的前綴是Worm等等。病毒名是指一個病毒的家族特征，用來區別和標識病毒家族。如：CIH病毒的家族名都是統一的“CIH”。病毒后綴是指一個病毒的變種特征，用來區別具體某個家族病毒的某個變種，一般都采用26個字母表示。如：Worm.Sasser.b指振蕩波蠕蟲病毒的變種B。6.1計算機病毒概述常見的病毒前綴：1.系統病毒系統病毒的前綴為：Win32、PE、Win95、W32、W95等。

這些病毒的一般公有特性是可以感染windows操作系統的*.exe和*.dll文件，并通過這些文件進行傳播。如CIH病毒。6.1計算機病毒概述2.蠕蟲病毒蠕蟲病毒的前綴是：Worm。

這種病毒的公有特性是通過網絡或者系統漏洞進行傳播，很大一部分蠕蟲病毒都有向外發送帶毒郵件，阻塞網絡的特性。如：沖擊波（阻塞網絡），小郵差（發帶毒郵件）等。6.1計算機病毒概述3.木馬病毒、黑客病毒木馬病毒前綴是：Trojan，黑客病毒前綴一般為：Hack。

木馬病毒的公有特性是通過網絡或者系統漏洞進入用戶的系統并隱藏，然后向外界泄露用戶的信息；黑客病毒則有一個可視的界面，能對用戶的電腦進行遠程控制。

如：QQ消息尾巴木馬Trojan.QQ3344，針對網絡游戲的木馬病毒Trojan.LMir.PSW.60。6.1計算機病毒概述4.腳本病毒腳本病毒的前綴是：Script。腳本病毒還會有如下前綴：VBS、JS（表明是何種腳本編寫的），如歡樂時光（VBS.Happytime）、十四日（Js.Fortnight.c.s）等。

腳本病毒的公有特性是使用腳本語言編寫，通過網頁進行傳播，如紅色代碼（Script.Redlof）。6.1計算機病毒概述

5.宏病毒宏病毒的前綴是：Macro，第二前綴是：Word、Word97、Excel、Excel97等。宏病毒是一種寄存在文檔或模板的宏中的計算機病毒。一旦打開這樣的文檔，其中的宏就會被執行，于是宏病毒就會被激活，轉移到計算機上，并駐留在Normal模板上，從此以后，所有自動保存的文檔都會“感染”上這種宏病毒。如：著名的美麗莎(Macro.Melissa)。6.1計算機病毒概述凡是只感染WORD97及以前版本WORD文檔的病毒采用Word97做為第二前綴，格式是：Macro.Word97；凡是只感染WORD97以后版本WORD文檔的病毒采用Word做為第二前綴，格式是：Macro.Word；凡是只感染EXCEL97及以前版本EXCEL文檔的病毒采用Excel97做為第二前綴，格式是：Macro.Excel97；

凡是只感染EXCEL97以后版本EXCEL文檔的病毒采用Excel做為第二前綴，格式是：Macro.Excel，依此類推。6.1計算機病毒概述6.后門病毒后門病毒的前綴是：Backdoor。該類病毒的公有特性是通過網絡傳播，給系統開后門，給用戶電腦帶來安全隱患。如IRC后門Backdoor.IRCBot。7、病毒種植程序病毒這類病毒的公有特性是運行時會從體內釋放出一個或幾個新的病毒到系統目錄下，由釋放出來的新病毒產生破壞。如：冰河播種者（Dropper.BingHe2.2C）、MSN射手(Dropper.Worm.Smibag)等。6.1計算機病毒概述8．破壞性程序病毒

破壞性程序病毒的前綴是：Harm。

這類病毒的公有特性是本身具有好看的圖標來誘惑用戶點擊，當用戶點擊這類病毒時，病毒便會直接對用戶計算機產生破壞。

如：格式化C盤(Harm.formatC.f)、殺手命令(Harm.Command.Killer)等。6.1計算機病毒概述9．玩笑病毒玩笑病毒的前綴是：Joke，也稱惡作劇病毒。

這類病毒的公有特性是本身具有好看的圖標來誘惑用戶點擊，當用戶點擊這類病毒時，病毒會做出各種破壞操作來嚇唬用戶，其實病毒并沒有對用戶電腦進行任何破壞。

如：女鬼（Joke.Girlghost）病毒。6.1計算機病毒概述10．捆綁機病毒捆綁機病毒的前綴是：Binder。

這類病毒的公有特性是使用特定的捆綁程序將病毒與一些應用程序如QQ、IE捆綁起來，表面上看是一個正常的文件，當用戶運行這些文件時，表面上運行這些應用程序，實際隱藏運行捆綁在一起的病毒，從而給用戶造成危害。如：捆綁QQ（Binder.QQPass.QQBin）、系統殺手（Binder.killsys）等。6.1計算機病毒概述瑞星公司病毒命名規則：<主行為類型>.<子行為類型>.<宿主文件類型>.<主名稱>.<版本信息>.<主名稱變種號>參見：/virus/help/name_virus.htm病毒信息查詢參見：/6.2典型的病毒分析U盤病毒ARP病毒熊貓燒香病毒手機病毒6.2典型的病毒分析6.2典型的病毒分析6.2.1U盤“runauto..”文件夾病毒及清除方法1.“runauto..”文件夾病毒經常在計算機硬盤里會發現名為“runauto..”的一個文件夾，在正常模式或安全模式下都無法刪除，粉碎也不可以。如圖所示為runauto..文件夾。6.2典型的病毒分析2.病毒清除方法假設這個文件夾在C盤，則刪除辦法是：在桌面點擊“開始”→“運行”，輸入“cmd”，再輸入“C:”輸入“rd/s/qrunauto...\”。就可以了，如圖所示為刪除runauto..文件夾的方法。6.2典型的病毒分析6.2.2U盤autorun.inf文件病毒及清除方法1.autorun.inf文件病毒目前幾乎所有U盤類的病毒的最大特征都是利用autorun.inf這個來侵入的，而事實上autorun.inf相當于一個傳染途徑，經過這個途徑入侵的病毒，理論上可以是“任何”病毒。6.2典型的病毒分析autorun.inf這個文件是很早就存在的，在WinXP以前的其他windows系統（如Win98，2000等），需要讓光盤、U盤插入到機器自動運行的話，就要靠autorun.inf。這個文件是保存在驅動器的根目錄下的，是一個隱藏的系統文件。它保存著一些簡單的命令，告訴系統這個新插入的光盤或硬件應該自動啟動什么程序，也可以告訴系統讓系統將它的盤符圖標改成某個路徑下的icon。所以，這本身是一個常規且合理的文件和技術。6.2典型的病毒分析執行方式：一種是假回收站方式：病毒通常在U盤中建立一個“RECYCLER”的文件夾，然后把病毒藏在里面很深的目錄中，一般人以為這就是回收站了，而事實上，回收站的名稱是“Recycled”，而且兩者的圖標是不同的如圖所示。6.2典型的病毒分析6.2典型的病毒分析

2.病毒清除方法對于autorun.inf病毒的解決方案如下：(1)如果發現U盤有autorun.inf，且不是你自己創建生成的，請刪除它，并且盡快查毒。(2)如果有貌似回收站、瑞星文件等文件，而你又能通過對比硬盤上的回收站名稱、正版的瑞星名稱，同時確認該內容不是你創建生成的，請刪除它。(3)一般建議插入U盤時，不要雙擊U盤，另外有一個更好的技巧：插入U盤前，按住Shift鍵，然后插入U盤，建議按鍵的時間長一點。插入后，用右鍵點擊U盤，選擇“資源管理器”來打開U盤。

6.2典型的病毒分析6.2.3U盤RavMonE.exe病毒及清除方法1.病毒描述經常有人發現自己的U盤有病毒，殺毒軟件報出一個RavMonE.exe病毒文件，這個也是經典的一個U盤病毒。如圖所示為RavMonE.exe病毒運行后出現在進程里。6.2典型的病毒分析2.解決方法(1)打開任務管理器（ctrl+alt+del或者任務欄右鍵點擊也可），終止所有RavmonE.exe進程。(2)進入病毒目錄，刪除其中的ravmone.exe。(3)打開系統注冊表依次點開HK_Loacal_Machine\software\Microsoft\windows\CurrentVersion\Run\，在右邊可以看到一項數值是c:\windows\ravmone.exe的，把他刪除掉。(3)完成后，重新啟動計算機，病毒就被清除了。6.2典型的病毒分析6.2.4ARP病毒1.病毒描述ARP地址欺騙類病毒（以下簡稱ARP病毒）一般屬于木馬(Trojan)病毒，不具備主動傳播的特性，不會自我復制。

由于其發作的時候會向全網發送偽造的ARP數據包，干擾全網的運行，因此它的危害比一些蠕蟲還要嚴重得多。該病毒位居2007年病毒排行榜第二位，如表6.1所示。6.2典型的病毒分析6.2.4ARP病毒1.病毒描述6.2典型的病毒分析2.解決方法可以使用360ARP防火墻，這個防火墻可以在上下載。安裝完成后，可以在綜合設置里面設置對ARP病毒的防護，如圖所示。6.2典型的病毒分析6.2.5“熊貓燒香”病毒2006年底，中國互聯網上大規模爆發“熊貓燒香”病毒及其變種，盜取用戶游戲賬號、ＱＱ賬號等。

截至案發為止，已有上百萬個人用戶、網吧及企業局域網用戶遭受感染和破壞，引起社會各界高度關注，被稱為2006年中國大陸地區的“毒王”。6.2典型的病毒分析據警方調查，“熊貓燒香”病毒的制作者為湖北省武漢市的李俊，另外雷磊等五名犯罪嫌疑人通過改寫、傳播“熊貓燒香”等病毒，構建“僵尸網絡”，通過盜竊各種游戲和QQ賬號等方式非法牟利。目前，6名犯罪嫌疑人已被刑事拘留。圖為“熊貓燒香”病毒的制作者李俊。6.2典型的病毒分析6.2.6QQ與MSN病毒目前，網上利用QQ、MSN等聊天工具進行病毒傳播，下圖為通過QQ自動傳播的病毒和通過MSN傳播的網頁病毒。另外黑客給QQ、MSN加木馬，以盜取QQ、MSN的密碼等信息。6.2典型的病毒分析

可以ping一下它的網址，如圖所示。通過這種方式可以看到它的IP。6.2典型的病毒分析看到IP為7，再到網站上查找會發現這個網站實際上在香港。6.2典型的病毒分析2.QQ、MSN病毒防治方法對于QQ和MSN病毒的防治，可以采用專殺工具。例如，對于QQ病毒可以下載QQkav專殺工具，進行查殺。它的主界面如圖所示。6.2典型的病毒分析6.2.7典型手機病毒介紹隨著智能手機的不斷普及，手機病毒成為了病毒發展的下一個目標。現在手機病毒已經從過去的利用手機系統漏洞進行攻擊的類型，向針對開放式智能手機操作系統的類似電腦病毒的程序型轉變，目前為止已經出現了三十多種針對智能手機的病毒。本文將向你介紹典型手機病毒的特征、防治方法和殺毒軟件。6.2典型的病毒分析1.Cabir手機病毒介紹下面將介紹一種Cabir手機病毒。它的別名包括：EPOC.Cabir，Worm.Symbian.Cabir.a，EPOC/Cabir.A，EPOC_CABIR.A，Symbian/Cabir等。目標手機主要是SymbianOSS60平臺手機。主要危害包括干擾藍牙通訊，加大電力消耗等。6.2典型的病毒分析1.Cabir手機病毒介紹下面將介紹一種Cabir手機病毒。它的別名包括：EPOC.Cabir，Worm.Symbian.Cabir.a，EPOC/Cabir.A，EPOC_CABIR.A，Symbian/Cabir等。目標手機主要是SymbianOSS60平臺手機。主要危害包括干擾藍牙通訊，加大電力消耗等。6.2典型的病毒分析當文件被執行后，手機的屏幕上會提示“InstallCaribe？”，如圖所示。6.2典型的病毒分析一旦開始安裝，手機屏幕上會顯示“Caribe-VZ/29a”，如圖所示。6.2典型的病毒分析病毒安裝過程中，會對Symbian操作系統進行修改。此后用戶每次打開手機時，Cabir也隨之啟動。Cabir會在手機上創建以下文件夾，如圖所示。6.2典型的病毒分析2.Cabir手機病毒防治對于Cabir病毒最好的防治方法是：在不用藍牙功能時，將手機的藍牙設置為隱藏（不可被搜索到）或者直接關閉6.3惡意軟件概述惡意軟件俗稱流氓軟件，是對破壞系統正常運行的軟件的統稱。惡意軟件介于病毒軟件和正規軟件之間，同時具備正常功能（下載、媒體播放等）和惡意行為（彈廣告、開后門），給用戶帶來實質危害。目前，互聯網上有許多惡意軟件，如一搜工具條、完美網譯通、博采網摘、百度搜霸、3721上網助手、很棒小秘書、網絡豬、劃詞搜索等。6.3惡意軟件概述6.3.1惡意軟件的概述2006年，中國互聯網協會反惡意軟件協調工作組在充分聽取成員單位意見的基礎上，最終確定了“惡意軟件”定義并向社會公布：惡意軟件俗稱“流氓軟件”，是指在未明確提示用戶或未經用戶許可的情況下，在用戶計算機或其他終端上安裝運行，侵害用戶合法權益的軟件，但不包含我國法律法規規定的計算機病毒。6.3惡意軟件概述具有下列特征之一的軟件可以被認為是惡意軟件：強制安裝：指未明確提示用戶或未經用戶許可，在用戶計算機或其他終端上安裝軟件的行為。難以卸載：指未提供通用的卸載方式，或在不受其他軟件影響、人為破壞的情況下，卸載后仍然有活動程序的行為。瀏覽器劫持：指未經用戶許可，修改用戶瀏覽器或其他相關設置，迫使用戶訪問特定網站或導致用戶無法正常上網的行為。廣告彈出：未明確提示用戶或未經用戶許可，利用安裝在用戶計算機或其他終端上的軟件彈出廣告的行為。6.3惡意軟件概述惡意收集用戶信息：指未明確提示用戶或未經用戶許可，惡意收集用戶信息的行為。惡意卸載：指未明確提示用戶、未經用戶許可，或誤導、欺騙用戶卸載其他軟件的行為。惡意捆綁：指在軟件中捆綁已被認定為惡意軟件的行為。其他侵害用戶軟件安裝、使用和卸載知情權、選擇權的惡意行為。6.3惡意軟件概述6.3.2惡意軟件的類型根據惡意軟件的表現，可以分為以下9類。1.廣告軟件（Adware）指未經用戶允許，下載并安裝或與其他軟件捆綁并通過彈出式廣告或以其他形式進行商業廣告宣傳的程序。2.間諜軟件（Spyware）能夠在使用者不知情的情況下，在用戶電腦上安裝后門程序的軟件。6.3惡意軟件概述3.瀏覽器劫持：

指未經用戶許可，修改用戶瀏覽器或其他相關設置，迫使用戶訪問特定網站或導致用戶無法正常上網的行為。4.行為記錄軟件（TrackWare）指未經用戶許可竊取、分析用戶隱私數據，記錄用戶使用電腦、訪問網絡習慣的軟件。5.惡意共享軟件(MaliciousShareware)

指采用不正當的捆綁或不透明的方式強制安裝在用戶的計算機上，使軟件很難被卸載或采用一些非法手段強制用戶購買的免費、共享軟件。6.3惡意軟件概述6.搜索引擎劫持搜索引擎劫持是指未經用戶授權，自動修改第三方搜索引擎結果的軟件。7.自動撥號軟件指未經用戶允許，自動撥叫軟件中設定的電話號碼的程序。8.網絡釣魚(Phishing)

網絡釣魚一詞，是“Fishing”和“Phone”的綜合體，由于黑客始祖起初是以電話作案，所以用“Ph”來取代“F”，創造了Phishing，Phishing發音與Fishing相同。9.ActiveX控件

指使無論任何語言產生的軟件在網絡環境中能夠實現互操作性的一組技術。6.3惡意軟件概述6.3.3惡意軟件的清除防止惡意軟件入侵可以采取如下方法：養成良好健康的上網習慣，不訪問不良網站，不隨便點擊小廣告。下載安裝軟件盡量到該軟件的官方網站，或者信任度高的下載站點進行下載。安裝軟件的時候每個安裝步驟最好能仔細看清楚，防止捆綁軟件入侵。安裝如360安全衛士等安全類軟件，定時對系統做診斷，查殺惡意軟件。如圖所示為360安全衛士的主界面。6.3惡意軟件概述如圖所示為360安全衛士的主界面。思考題什么是計算機病毒，它怎么產生的？計算機病毒的特征有哪些？如何清除U盤里的autorun.inf病毒？什么是惡意軟件？惡意軟件有哪些類型？莫里斯蠕蟲病毒由美國康乃爾大學一年級研究生羅伯特·莫里斯編寫。程序只有99行，利用了Unix系統中的漏洞，用Finger命令查找聯機用戶名單，破譯用戶口令，再用Mail系統復制、傳播本身的源程序，再編譯生成代碼。最初的網絡蠕蟲設計目的是當網絡空閑時，程序就在計算機間“游蕩”而不帶來任何損害。當有機器負荷過重時，該程序可以從空閑計算機“借取資源”而達到網絡的負載平衡。莫里斯蠕蟲不是“借取資源”，而是“耗盡所有資源”。莫里斯蠕蟲病毒是通過互聯網傳播的第一種蠕蟲病毒，也是依據美國1986年的《計算機欺詐及濫用法案》而定罪的第一宗案件。莫里斯蠕蟲病毒影響

1990年5月5日，紐約地方法庭根據羅伯特·莫里斯設計病毒程序，造成包括國家航空和航天局、軍事基地和主要大學的計算機停止運行的重大事故，判處莫里斯三年緩刑，罰款一萬美金，義務為新區服務400小時。莫里斯事件震驚了美國社會乃至整個世界。而比事件影響更大、更深遠的是：黑客從此真正變黑，黑客倫理失去約束，黑客傳統開始中斷，大眾對黑客的印象永遠不可能恢復。而且，計算機病毒從此步入主流。愛蟲病毒

2000年5月4日，一種名為“我愛你”的電腦病毒開始在全球各地迅速傳播。這個病毒通過MicrosoftOutlook電子郵件系統傳播，郵件的主題為“ILOVEYOU”，并包含一個附件。一旦在MicrosoftOutlook里打開這個郵件，系統就會自動復制并向地址簿中的所有郵件地址發送這個病毒。這個病毒可以改寫本地及網絡硬盤上面的某些文件。用戶機器染毒以后，郵件系統將會變慢，并可能導致整個網絡系統崩潰。

“愛蟲”病毒的襲擊對象并不是普通的計算機用戶，而是那些具有高價值IT資源的電腦系統：據稱：“愛蟲”病毒是迄今為止發現的傳染速度最快而且傳染面積最廣的計算機病毒，它已對全球包括股票經紀、食品、媒體、汽車和技術公司以及大學甚至