下载掌阅APP,畅读海量书库
立即打开
20世纪60年代,被称为计算机之父的数学家冯·诺依曼在其遗著《计算机与人脑》中,详细论述了程序能够在内存中进行繁殖活动的理论。计算机病毒的出现和发展是计算机软件技术发展的必然结果。本节介绍计算机病毒的特征、原理及分类,并对典型病毒与其他破坏型程序,如宏病毒、木马程序、蠕虫等进行了分析,最后给出计算机病毒的诊断与防预措施。
要真正地识别病毒,及时地查杀病毒,就有必要对病毒有较详细的了解,知道计算机病毒到底是什么,又是怎样分类的。
当前,计算机安全的最大威胁是计算机病毒(Computer Virus)。计算机病毒实质上是一种特殊的计算机程序。这种程序具有自我复制能力,可非法入侵而隐藏在存储媒体中的引导部分、可执行程序或数据文件中。当病毒被激活时,源病毒能把自身复制到其他程序体内,影响和破坏程序的正常执行和数据的正确性。有些恶性病毒对计算机系统具有极大的破坏性。计算机一旦感染病毒,病毒就可能迅速扩散,这种现象和生物病毒入侵生物体并在生物体内传染一样。
在《中华人民共和国计算机信息系统安全保护条例》中,计算机病毒被明确定义为:“计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。
计算机病毒一般具有寄生性、破坏性、传染性、潜伏性和隐蔽性的特征。
1)寄生性
它是一种特殊的寄生程序,不是一个通常意义下的完整的计算机程序,而是寄生在其他可执行的程序中,因此,它能享有被寄生的程序所能得到的一切权利。
2)破坏性
破坏是广义的,不仅仅是指破坏系统、删除或修改数据甚至格式化整个磁盘,它们或是破坏系统,或是破坏性数据并使之无法恢复,从而给用户带来极大的损失。
3)传染性
传染性是病毒的基本特征。计算机病毒往往能够主动地将自身的复制品或变种传染到其他未染毒的程序上。计算机病毒只有在运行时才具有传染性。此时,病毒寻找符合传染条件的程序或文件,然后将病毒代码嵌入其中,达到不断传染的目的。判断一个程序是不是计算机病毒的最重要因素就是其是否具有传染性。
4)潜伏性
病毒程序通常短小精悍,寄生在别的程序上使得其难以被发现,在外界激发条件出现之前,病毒可以在计算机内的程序中潜伏、传播。
5)隐蔽性
计算机病毒是一段寄生在其他程序中的可执行程序,具有很强的隐蔽性。当运行受感染的程序时,病毒程序能首先获得计算机系统的监控权,进而能监视计算机的运行,并传染其他程序。但不到发作时机,整个计算机系统看上去一切如常,很难被察觉,其隐蔽性使广大计算机用户对病毒失去应有的警戒性。
计算机病毒是计算机科学发展过程中出现的“污染”,是一种新的高科技类型犯罪。它可以造成重大的政治、经济危害。因此,舆论谴责计算机病毒是“射向文明的黑色子弹”。
计算机病毒的分类方法很多,按计算机病毒的感染方式,分为如下五类:
(1)引导区型病毒
通过读U盘、光盘及各种移动存储介质感染引导区型病毒,感染硬盘的主引导记录,当硬盘主引导记录感染病毒后,病毒就企图感染每个插入计算机进行读写的移动盘的引导区。这类病毒常常将其病毒程序替代主引导区中的系统程序。引导区病毒总是先于系统文件装入内存储器,获得控制权并进行传染和破坏。
(2)文件型病毒
这类病毒主要感染扩展名为.COM、.EXE、.DRV、.BIN、.SYS等可执行文件。通常寄生在文件的首部或尾部,并修改程序的第一条指令。当染毒程序执行时就先跳转去执行病毒程序,进行传染和破坏。这类病毒只有当带毒程序执行时才能进人内存,一旦符合激发条件就发作。
(3)混合型病毒
这类病毒既传染磁盘的引导区,也传染可执行文件,兼有上述两类病毒的特点。混合型病毒综合系统型和文件型病毒的特性,它的“性情”也就比系统型和文件型病毒更为“凶残”。这种病毒通过这两种方式来传染,更增加了病毒的传染性以及存活率。不管以哪种方式传染,只要中毒就会经开机或执行程序而感染其他的磁盘或文件,此种病毒也是最难杀灭的。
(4)宏病毒
开发宏可以让工作变得简单、高效。然而,黑客利用了宏具有的良好扩展性编制寄存在Microsoft Office文档或模板的宏中的病毒。它只感染Microsoft Word文档(DOC)和模板文件(DOT),与操作系统没有特别的关联。它们大多以Visual Basic或Word提供的宏程序语言编写,比较容易制造。它能通过E-mail下载Word文档附件等途径蔓延。当对感染宏病毒的Word文档操作时(如打开文档、保存文档、关闭文档等操作)它就进行破坏和传播。宏病毒还可衍生出各种变形病毒,这种“父生子子生孙”的传播方式实在让许多系统防不胜防,这也使宏病毒称为威胁计算机系统的“第一杀手”。Word宏病毒破坏造成的结果是:不能正常打印;封闭或改变文件名称或存储路径,删除或随意复制文件;封闭有关菜单,最终导致无法正常编辑文件。
(5)Internet病毒(网络病毒)
Internet病毒大多是通过E-Mail传播的。“黑客”是危害计算机系统的源头之一,“黑客”利用通信软件,通过网络非法进入他人的计算机系统,截取或篡改数据,危害信息安全。
如果网络用户收到来历不明的E-mail,不小心执行了附带的“黑客程序”,该用户的计算机系统就会被偷偷修改注册表信息,“黑客程序”也会悄悄地隐藏在系统中。当用户运行Windows时,“黑客程序”会驻留在内存,一旦该计算机联入网络,外界的“黑客”就可以监控该计算机“为所欲为”。已经发现的“黑客程序”有BO(Back Orifice)、Netbus、Netspy、Backdoor等。
计算机病毒虽然很难检测,但是,只要细心留意计算机的运行状况,还是可以发现计算机感染病毒的一些异常情况。例如:
(1)磁盘文件数目无故增多。
(2)系统的内存空间明显变小。
(3)文件的日期/时间值被修改成最近的日期或时间(用户自己并没有修改)。
(4)感染病毒后的可执行文件的长度通常会明显增加。
(5)正常情况下可以运行的程序突然因内存不足而不能装入。
(6)程序加载时间或程序执行时间比正常时明显变长。
(7)计算机经常出现死机现象或不能正常启动。
(8)显示器上经常出现一些莫名其妙的信息或异常现象。
我国计算机病毒应急处理中心通过对互联网监测发现新型后门程序Backdoor_Undef.CDR,该后门程序利用一些常用的应用软件信息,诱骗计算机用户点击下载运行。一旦点击运行,恶意攻击者就会通过该后门远程控制计算机用户的操作系统,下载其他病毒或是恶意木马程序,进而盗取用户的个人私密数据信息,甚至控制监控摄像头等。该后门程序运行后,会在受感染的操作系统中释放一个伪装成图片的动态链接库DLL文件,之后将其添加成系统服务,实现后门程序随操作系统开机而自动启动运行。
另外,该后门程序一旦开启后门功能,就会收集操作系统中用户的个人私密数据信息,并且远程接受并执行恶意攻击者的代码指令。如果恶意攻击者远程控制了操作系统,那么用户的计算机名与IP地址就会被窃取。随后,操作系统会主动访问恶意攻击者指定的Web网址,同时下载其他病毒或是恶意木马程序,更改计算机用户操作系统中的注册表、截获键盘与鼠标的操作、对屏幕进行截图等,给计算机用户的隐私和其操作系统的安全带来较大的危害。
还有“代理木马”新变种Trojan_Agent.DDFC。专家说,该变种是远程控制的恶意程序,自身为可执行文件,在文件资源中捆绑动态链接库资源,运行后鼠标没有任何反应,以此来迷惑计算机用户,且不会进行自我删除。
变种运行后,将自身复制到系统目录中重命名为一个可执行文件,随即替换受感染操作系统的系统文件;用同样的手法替换掉系统中即时聊天工具的可执行程序文件,并设置成开机自动运行。在计算机用户毫不知情的情况下,恶意程序就可以自动运行加载。
该变种还会在受感染操作系统的后台自动记录键盘按键信息,然后保存在系统目录下的指定文件中。迫使操作系统与远程服务器进行连接,发送被感染机器的用户名、操作系统、CPU型号等信息。除此之外,变种还会迫使受感染的操作系统主动连接访问互联网中指定的Web服务器,下载其他木马、病毒等恶意程序。
随着制造病毒和反病毒双方较量的不断深入,病毒制造者的技术越来越高,病毒的欺骗性、隐蔽性也越来越好。用户要在实践中细心观察,发现计算机的异常现象。
如果计算机染上了病毒,文件被破坏了,最好立即关闭系统。如果继续使用,会使更多的文件遭受破坏。针对已经感染病毒的计算机,专家建议立即升级系统中的防病毒软件,进行全面杀毒。一般的杀毒软件都具有清除/删除病毒的功能。清除病毒是指把病毒从原有的文件中清除掉,恢复原有文件的内容,删除是指把整个文件删除掉。经过杀毒后,被破坏的文件有可能恢复成正常文件。对未感染病毒的计算机建议打开系统中防病毒软件的“系统监控”功能,从注册表、系统进程、内存、网络等多方面对各种操作进行主动防御。
用反病毒软件消除病毒是当前比较流行的做法。它既方便,又安全,一般不会破坏系统中的正常数据。特别是优秀的反病毒软件都有较好的界面和提示,使用相当方便。通常,反病毒软件只能检测出已知的病毒并消除它们,不能检测出新的病毒或病毒的变种。所以,各种反病毒软件的开发都不是一劳永逸的,而要随着新病毒的出现而不断升级。目前较著名的反病毒软件都具有实时检测进程驻留在系统的后台中,随时检测是否有病毒入侵。
目前较流行的杀毒软件有诺顿、卡巴斯基、金山毒霸及360杀毒软件等。
计算机感染病毒后,用反病毒软件检测和消除病毒是被迫的处理措施。况且已经发现相当多的病毒在感染之后会永久性地破坏被感染程序,如果没有备份将不易恢复。所以,我们要有针对性的防范。所谓防范,是指通过合理、有效的防范体系及时发现计算机病毒的侵入,并能采取有效的手段阻止病毒的破坏和传播,保护系统和数据安全。
计算机病毒主要通过移动存储介质(如U盘、移动硬盘)和计算机网络两大途径进行传播。人们从工作实践中总结出一些预防计算机病毒的简易可行的措施,这些措施实际上是要求用户养成良好的使用计算机的习惯,具体归纳如下。
①安装有效的杀毒软件并根据实际需求进行安全设置。同时,定期升级杀毒软件并经全盘查毒、杀毒。
②扫描系统漏洞,及时更新系统补丁。
③未经检测过是否感染病毒的文件、光盘、U盘及移动硬盘等移动存储设备在使用前应首先用杀毒软件查毒后再使用。
④分类管理数据。对各类数据、文档和程序应分类备份保存。
⑤尽量使用具有查毒功能的电子邮箱,尽量不要打开陌生的可疑邮件。
⑥浏览网页、下载文件时要选择正规的网站。
⑦关注目前流行病毒的感染途径、发作形式及防范方法,做到预先防范,感染后及时查毒以避免遭受更大损失。
⑧有效管理系统内建的Administrator账户、Guest账户以及用户创建的账户,包括密码理、权限管理等。
⑨禁用远程功能,关闭不需要的服务。
⑩修改IE浏览器中与安全相关的设置。
计算机病毒的防治宏观上讲是一系统工程,除了技术手段之外还涉及诸多因素,如法律、教育、管理制度等。从教育着手,是防止计算机病毒的重要策略。通过教育,使广大用户认识到病毒的严重危害,了解病毒的防治常识,提高尊重知识产权的意识,增强法律、法规意识,最大限度地减少病毒的产生与传播。