第15章計算機病毒與防范隨著計算機在各行各業的大量應用，計算機病毒也隨之滲透到計算機世界的每個角落，常以人們意想不到的方式侵入計算機系統。計算機病毒的流行引起了人們的普遍關注，成為影響計算機安全運行的一個重要因素。隨著網絡的普及，計算機病毒的傳播速度大大提高了，傳播形式也有了新的變化。第15章計算機病毒與防范NetworkandInformationSecurity15.1計算機病毒簡介15.1.1惡意代碼在討論計算機病毒之前，我們先看惡意代碼的分類情況。這些威脅可以分成兩類：需要宿主的程序和可以獨立運行的程序。前者實際上是程序片段，它們不能脫離某些特定的應用程序、應用工具或系統程序而獨立存在；后者是完整的程序，操作系統可以調度和運行它們。

NetworkandInformationSecurity第15章計算機病毒與防范惡意代碼的分類

NetworkandInformationSecurity第15章計算機病毒與防范15.1.3計算機病毒的發展史DOS時代Windows時代3.Internet時代由于網絡的快速和便捷，網絡病毒的傳播是以幾何級數進行的，其危害比以前的任何一種病毒都要大?，F在，計算機病毒有一個新的發展趨勢。利用漏洞進行破壞性攻擊的病毒已經逐漸不再唱主角了，電腦用戶安全的最大威脅已經讓位于以經濟利益為目的，以欺騙用戶為手段，嚴重干擾人們日常工作、數據安全和個人隱私的各類間諜、木馬、釣魚軟件。有報告顯示，這類軟件的危害已經超越傳統病毒，成為互聯網安全最大的威脅。NetworkandInformationSecurity第15章計算機病毒與防范15.1.4計算機病毒的分類1.系統引導病毒系統引導病毒又稱引導區型病毒。直到20世紀90年代中期，引導區型病毒是最流行的病毒類型，主要通過軟盤在DOS操作系統里傳播。引導區型病毒侵染軟盤中的引導區，蔓延到用戶硬盤，并能侵染到用戶硬盤中的主引導記錄(也稱為主引導扇區)。一旦硬盤中的引導區被病毒感染，病毒就試圖侵染每一個插入計算機的從事訪問的軟盤的引導區。NetworkandInformationSecurity第15章計算機病毒與防范2.文件型病毒文件型病毒是文件侵染者，也被稱為寄生病毒。它運作在計算機存儲器里，通常它感染擴展名為COM、EXE、DRV、BIN、OVL、SYS等的文件。每一次它們激活時，被感染文件把自身復制到其他文件中，并能在存儲器里保存很長時間，直到病毒又被激活。NetworkandInformationSecurity第15章計算機病毒與防范5.網絡病毒網絡病毒大體上可分為兩類：一類是局域網上的病毒；另一類就是隨著互聯網的興起產生的新的網絡病毒。這類新的病毒又可以根據提供的服務來細分。互聯網提供了眾多的服務，如WWW服務、電子郵件服務、文件傳輸服務等。病毒可以利用這些服務來傳播，因而可以把網絡病毒分為郵件病毒、網頁病毒、FTP病毒等。其中，郵件病毒在網絡病毒中占絕大多數。NetworkandInformationSecurity第15章計算機病毒與防范15.1.5計算機病毒的特點計算機病毒一般具有以下八個特點：破壞性、隱蔽性、潛伏性、傳染性、未經授權而執行、依附性、針對性、不可預見性。

NetworkandInformationSecurity第15章計算機病毒與防范15.2.1計算機病毒的結構計算機病毒在結構上有著共同性，一般由引導部分、傳染部分、表現部分三部分組成。1.引導部分：也就是病毒的初始化部分，它隨著宿主程序的執行而進入內存，為傳染部分做準備。2.傳染部分：作用是將病毒代碼復制到目標上去。一般病毒在對目標進行傳染前，要首先判斷傳染條件是否滿足，判斷病毒是否已經感染過該目標等，如CIH病毒只針對Windows95/98操作系統。3.表現部分：這是病毒間差異最大的部分，前兩部分是為這部分服務的。它破壞被傳染系統或者在被傳染系統的設備上表現出特定的現象。大部分病毒都是在一定條件下才會觸發其表現部分的。NetworkandInformationSecurity15.2計算機病毒的工作機理

第15章計算機病毒與防范15.2.3文件型病毒的工作機理文件型病毒的宿主不是引導區而是一些可執行程序。病毒把自己附加在可執行文件中，并等待程序運行。病毒會駐留在內存中，企圖感染其它文件。同引導扇區病毒不同，文件型病毒把自己附著或追加在EXE和COM這樣的可執行文件上。根據附著類型不同可分為三種文件病毒：覆蓋型、前后附加型和伴隨型文件病毒。NetworkandInformationSecurity第15章計算機病毒與防范1.覆蓋型病毒簡單地把自己覆蓋到原始文件代碼上，顯然這會完全摧毀該文件，所以這種病毒比較容易被發現。當用戶運行該文件時，病毒代碼就會得到運行，而原始文件則不能正常運行?，F在有些新型病毒可以覆蓋那些不影響宿主程序運行的那部分代碼，人們也就不容易發現這種病毒。覆蓋病毒的優勢就是不改變文件長度，使原始文件看起來正常，但殺毒程序還是可以檢測到這種病毒代碼的存在。2.前后附加型病毒前附加型病毒把自己附加在文件的開始部分，后附加型正好相反。這種病毒會增加文件的長度。也就容易被檢測和發現，并被清除。NetworkandInformationSecurity第15章計算機病毒與防范3.伴隨型文件病毒為EXE文件創建一個同名的含有病毒代碼的COM文件。由于同名時COM文件先于EXE文件運行，因此當有人運行EXE文件時，控制權就會轉到COM文件上，病毒代碼就得以運行。它執行完之后，再將控制權轉到EXE文件，這樣用戶不會發現任何問題。NetworkandInformationSecurity第15章計算機病毒與防范宏病毒的傳播方法與其它病毒不同，在我們的Office目錄下，有一個“Templates”目錄，里面有一個Normal.dot文件，這個文件就是Word的常規模板文件，每次我們啟動Word的時候，該文件都會先被Word啟動并執行里面的VBA語句(宏語句)。通常來說，一般用戶的Normal.dot里面是沒有VBA語句的，畢竟不是每個人都會編寫VBA。因此，大多數宏病毒都會采用感染Normal.dot的方法，把自身的惡意VBA語句復制到Normal.dot里面，使Word每次啟動時都執行里面的惡意VBA語句，并將自己的代碼復制到其它Word文檔里面，以達到傳染的目的。NetworkandInformationSecurity第15章計算機病毒與防范15.2.5網絡病毒的工作機理以下將以典型的RemoteExplorer(遠程探險者)病毒為例進行分析。該病毒僅在WindowsNTServer和WindowsNTWorkstation平臺上起作用，專門感染EXE文件。RemoteExplorer的破壞作用主要表現在：加密某些類型的文件，使其不能再用，并且能夠通過局域網或廣域網進行傳播。NetworkandInformationSecurity第15章計算機病毒與防范15.3.1CIH病毒CIH病毒從分類來說屬于文件型病毒(只感染Windows9X下的可執行文件)。CIH攻擊的就是用戶的主板，發作時有兩個癥狀：一個是擦除ROMBIOS中的數據(當然也包括其中的程序)；另一個是從硬盤的主引導區開始做低級格式化。一旦ROMBIOS中的程序被破壞了，那么計算機連開機自檢、系統引導都無法進行了，更不用說啟動操作系統了。因此計算機被破壞后，企圖象往常一樣格式化硬盤，重裝操作系統是不可能的。數據丟失造成的損失先不管，僅僅恢復計算機的正常工作就是非常困難的。NetworkandInformationSecurity第15章計算機病毒與防范15.3常見的計算機病毒

RPC服務終止的對話框NetworkandInformationSecurity第15章計算機病毒與防范2004年5月1日，“震蕩波”病毒出現了。該病毒可利用Windows平臺的Lsass漏洞進行廣泛的傳播。中毒后的系統將開啟上百個線程去攻擊網上其他的用戶，可造成機器運行緩慢、網絡堵塞，并讓系統不停的進行倒計時重啟。其中毒現象非常類似于2003年的“沖擊波”。

NetworkandInformationSecurity第15章計算機病毒與防范兩大惡性病毒的四大區別：1.利用的漏洞不同：沖擊波病毒利用的是系統的RPC漏洞，病毒攻擊系統時會使RPC服務崩潰，震蕩波病毒利用的是系統的LSASS服務。2.產生的文件不同：沖擊波病毒運行時會在內存中產生名為msblast.exe的進程，在系統目錄中產生名為msblast.exe的病毒文件，震蕩波病毒運行時會在內存中產生名為avserve.exe的進程，在系統目錄中產生名為avserve.exe的病毒文件。3.利用的端口不同：沖擊波病毒會監聽端口69,模擬出一個TFTP服務器，并啟動一個攻擊傳播線程,不斷地隨機生成攻擊地址，嘗試用有RPC漏洞的135端口進行傳播。震蕩波病毒會在本地開辟后門，監聽TCP的5554端口，然后做為FTP服務器等待遠程控制命令，并瘋狂地試探連接445端口。4.攻擊目標不同：沖擊波病毒攻擊所有存在RPC漏洞的電腦和微軟升級網站，而震蕩波病毒攻擊的是所有存在LSASS漏洞的電腦，但目前還未發現有攻擊其它網站的現象。

NetworkandInformationSecurity第15章計算機病毒與防范15.4計算機病毒的預防和清除

關于計算機病毒的預防，應該用兩種手段：一是管理手段，二是技術手段，二缺一不可。15.4.1病毒發作時常見的現象（1）程序裝入時間比平時長，運行異常；（2）有規律的發現異常信息；（3）用戶訪問設備(例如打印機)時發現異常情況，如打印機不能聯機或打印符號異常；（4）磁盤的空間突然變小了，或不識別磁盤設備；（5）程序和數據神秘地丟失了，文件名不能辨認；（6）顯示器上經常出現一些莫名其妙的信息或異常顯示（如白斑、圓點等）；（7）機器經常出現死機現象或不能正常啟動；（8）發現可執行文件的大小發生變化或發現不知來源的隱藏文件。

NetworkandInformationSecurity第15章計算機病毒與防范15.4.2Word宏病毒的防范和清除（1）對于已染病毒的NORMAL.DOT文件，首先應將NORMAL.DOT中的自動宏清除，然后將NORMAL.DOT置成只讀方式。（2）對于其它已感染病毒的文件均應將自動宏清除，這樣就可以達到清除病毒的目的。（3）平時使用時要加強防范：定期檢查活動宏表，對來歷不明的宏最好予以刪除；如果發現后綴為.DOC的文件變成模板（.DOT）時，則可懷疑其已染宏病毒，其主要表現是在SaveAs文檔時，選擇文件類型的下拉框變為灰色。（4）在啟動Word、創建文檔、打開文檔、關閉文檔以及退出Word時，按住SHIFT鍵可以阻止自動宏的運行。（5）存儲一個文檔時，務必明確指定該文檔的擴展名。NetworkandInformationSecurity第15章計算機病毒與防范15.5.2江民殺毒軟件2005年9月6日，江民科技隆重發布了其KV2006新品，KV2006是能夠兼容32位操作系統的64位殺毒軟件，并在KV2005系統級殺毒、主動防御未知病毒以及諸多強大功能的基礎上，新增了BOOTSCAN殺毒技術、64位智能殺毒、插入移動設備自動查毒、系統漏洞檢查、垃圾郵件識別等10項強大功能。

NetworkandInformationSecurity第15章計算機病毒與防范15.5.3金山毒霸2005年12月6日，國內著名安全廠商金山軟件正式