计算机病毒的类型特征，传播途径及防范措施

计算机病毒的类型特征，传播途径及防范措施 目前,病毒已成为困扰计算机系统安全和网络发展的重要问题。掌握了计算机病毒的基本知识,一旦遇到计算机病毒就不会束手无策。本文通过对计算机病毒的特征、类型、传播途径的基本介绍,使读者对其有一个理性的认识,并在此基础上提出了一些有效的防范措施,最大限度地减少计算机病毒所带来的危害。 随着计算机技术的飞速发展和计算机应用的日益普及,计算机病毒也在不断地推陈出新,目前,病毒已成为困扰计算机系统安全和网络发展的重要问题。据国家信息安全办公室与公安部发布的调查显示,全国只有27 %的计算机用户没有被病毒侵害过。各行各业中的管理部门更是要增强计算机病毒防范意识,最大限度地减少计算机病毒所带来的危害。只有了解病毒,才能更有效的防范病毒。 一、什么是计算机病毒 计算机病毒是一种人为制造的、在计算机运行中对计算机信息或系统起破坏作用的程序。这种程序不是独立存在的,它隐蔽在其他可执行的程序之中,既有破坏性,又有传染性和潜伏性。轻则影响机器运行速度,使机器不能正常运行;重则使机器处于瘫痪,会给用户带来不可估量的损失。通常就把这种具有破坏作用的程序称为计算机病毒。 二 计算机病毒的主要特征 (1)可执行性 计算机病毒与其他合法程序一样,是一段可执行程序,但它不是一个完整的程序,而是寄生在其他可执行程序上,因此它享有一切程序所能得到的权力。在病毒运行时,与合法程序争夺系统的控制权。 计算机病毒只有当它在计算机内得以运行时,才具有传染性和破坏性等活性。也就是说计算机CPU的控制权是关键问题。若计算机在正常程序控制下运行,而不运行带病毒的程序,则这台计算机总是可靠的。在这台计算机上可以查看病毒文件的名字,查看计算机病毒的代码,打印病毒的代码,甚至拷贝病毒程序,却都不会感染上病毒。反病毒技术人员整天就是在这样的环境下工作。他们的计算机虽也存有各种计算机病毒的代码,但己置这些病毒于控制之下,计算机不会运行病毒程序,整个系统是安全的。相反,计算机病毒一经在计算机上运行,在同一台计算机内病毒程序与正常系统程序,或某种病毒与其他病毒程序争夺系统控制权时往往会造成系统崩溃,导致计算机瘫痪。 (2)传染性 传染性是生物病毒的基本特征。同样,计算机病毒也会通过各种渠道从已被感染的计算机扩散到未被感染的计算机,在某些情况下造成被感染的计算机工作失常甚至瘫痪。与生物病毒不同的是,计算机病毒是一段人为编制的计算机程序代码,这段程序代码一旦进入计算机并得以执行,它就会搜寻其他符合其传染条件的程序或存储介质,确定目标后再将自身代码插入其中,达到自我繁殖的目的。只要一台计算机染毒,如不及时处理,那么病毒会在这台机子上迅速扩散,其中的大量文件(一般是可执行文件) 会被感染。而被感染的文件又成了新的传染源,再与其他机器进行数据交换或通过网络接触,病毒会继续进行传染。 (3)破坏性 所有的计算机病毒都是一种可执行程序,而这一可执行程序又必然要运行,所以对系统来讲,所有的计算机病毒都存在一个共同的危害,即降低计算机系统的工作效率,占用系统资源,其具体情况取决于入侵系统的病毒程序。同时计算机病毒的破坏性主要取决于计算机病毒设计者的目的,如果病毒设计者的目的在于彻底破坏系统的正常运行的话,那么这种病毒对于计算机系统进行攻击造成的后果是难以设想的,它可以毁掉系统的部分数据,也可以破坏全部数据并使之无法恢复。但并非所有的病毒都对系统产生极其恶劣的破坏作用。有时几种本没有多大破坏作用的病毒交叉感染,也会导致系统崩溃等重大恶果。 (4)潜伏性 一个编制精巧的计算机病毒程序,进入系统之后一般不会马上发作,可以在几周或者几个月内甚至几年内隐藏在合法文件中,对其他系统进行传染,而不被人发现,潜伏性愈好,其在系统中的存在时间就会愈长,病毒的传染范围就会愈大。潜伏性的第一种现是指,病毒程序不用专用检测程序是检查不出来的,因此病毒可以静静地躲在磁盘里呆上几天,甚至几年,一旦时机成熟,得到运行机会,就又要四处繁殖、扩散,继续为害。潜伏性的第二种表现是指,计算机病毒的内部往往有一种触发机制,不满足触发条件时,计算机病毒除了传染外不做什么破坏。触发条件一旦得到满足,有的在屏幕上显示信息、图形或特殊标识,有的则执行破坏系统的操作,如格式化磁盘、删除磁盘文件、对数据文件做加密、封锁键盘以及使系统死锁等。 (5)隐蔽性 病毒一般是具有很高编程技巧,短小精悍的程序。通常附在正常程序中或磁盘较隐蔽的地方,也有个别的以隐含文件形式出现。目的是不让用户发现它的存在。如果不经过代码分析,病毒程序与正常程序是不容易区别开来的。一般在没有防护措施的情况下,计算机病毒程序取得系统控制权后,可以在很短的时间里传染大量程序。而且受到传染后,计算机系统通常仍能正常运行,使用户不会感到任何异常,好像不曾在计算机内发生过什么。正是由于隐蔽性,计算机病毒得以在用户没有察觉的情况下扩散并游荡于世界上百万台计算机中。大部分的病毒的代码之所以设计得非常短小,也是为了隐藏。病毒一般只有几百或1 K 字节,而PC 机对DOS 文件的存取速度可达每秒几百KB 以上,所以病毒转瞬之间便可将这短短的几百字节附着到正常程序之中,使人非常不易察觉。 (6)针对性 计算机病毒一般都是针对于特定的操作系统,比如说微软的Windows98 、2000 和XP。还有针对特定的应用程序,现在比较典型的微软的Outlook、IE、服务器,叫CQ 蠕虫,通过感染数据库服务器进行传播的,具有非常强的针对性,针对一个特定的应用程序或者就是针对操作系统进行攻击,一旦攻击成功,它会发作。这种针对性有两个特点,一个是如果对方就是他要攻击的机器,他能完全对操作系统获得对方的管理权限,就可以肆意妄为。还有如果对方不是他针对的操作系统,比如对方用的不是微软的Windows ,用的可能是Unix ,这种病毒就会失效。 (7)可触发性 病毒因某个事件或数值的出现,诱使病毒实施感染或进行攻击的特性称为可触发。为了隐蔽自己,病毒必须潜伏,少做动作。如果完全不动,一直潜伏的话,病毒既不能感染也不能进行破坏,便失去了杀伤力。病毒既要隐蔽又要维持杀伤力,它必须具有可触发性。病毒的触发机制就是用来控制感染和破坏动作的频率的。病毒具有预定的触发条件,这些条件可能是时间、日期、文件类型或某些特定数据等。病毒运行时,触发机制检查预定条件是否满足,如果满足,启动感染或破坏动作,使病毒进行感染或攻击;如果不满足,使病毒继续潜伏。 三 常见的计算机病毒分类 (1)系统引导型病毒 这类病毒隐藏在硬盘或软盘的引导区,当计算机从感染了引导区病毒的硬盘或软盘启动,或当计算机从受感染的软盘中读取数据时,引导区病毒就开始发作。一旦它们将自己拷贝到机器的内存中,马上就会感染其他磁盘的引导区,或通过网络传播到其他计算机上。早期出现的大麻病毒、小球病毒就属此类。 (2)文件型病毒 文件型病毒是指能够寄生于文件的病毒,文件包括. COM、. EXE 可执行文件以及. DOC 等文档,当执行文件的时候病毒会首先运行。早期的1575/1591 病毒,以及最近的Win32. Xorala (劳拉) 病毒都属于文件型病毒。如果集中系统引导型病毒和文件型病毒共有的特点, 那可以称之为复合型病毒。 (3)宏病毒 这是一种特殊的文件型病毒,由于宏功能的强大,一些软件开发商在产品研发中引入宏语言,并允许这些产品在生成载有宏的数据文件之后出现。宏病毒就是主要利用Microsoft Word 提供的宏功能来将病毒驻进到带有宏的. DOC 文档中,病毒的传输速度很快,对系统和文件都可以造成破坏。 (4)脚本病毒 脚本病毒依赖一种特殊的脚本语言(如: VB2 、J ava 等) 起作用,同时需要主软件或应用环境能够正确识别和翻译这种脚本语言中嵌套的命令。脚本病毒在某方面与宏病毒类似,但脚本病毒可以在多个产品环境中进行,还能在其他所有可以识别和翻译它的产品中运行。脚本语言比宏语言更具有开放终端的趋势,这样使得病毒制造者对感染脚本病毒的机器可以有更多的控制力。 (5)“网络蠕虫”病毒 “网络蠕虫”病毒是一种通过间接方式复制自身非感染型病毒,是互联网上危害极的病毒,该病毒主要借助于计算机对网络进行攻击,传播速度非常快。有些网络蠕虫拦截E - mail 系统向世界各地发送自己的复制品;有些则出现在高速下载站点中同时使用两种方法与其它技术传播自身。它的传播速度相当惊人,成千上万的病毒感染造成众多邮件服务器先后崩溃,给人们带来难以弥补的损失。比如“冲击波”病毒可以利用系统的漏洞让计算机重启,无法上网,而且可以不断复制,造成计算机和网络的瘫痪。 (6)“特洛伊木马”病毒 特洛伊木马程序通常是指伪装成合法软件的非感染型病毒,主要用于窃取远程计算机上的各种信息(比如各种登录账号、机密文件等等) ,对远程计算机进行控制,但它不进行自我复制。有些木马可以模仿运行环境,收集所需的信息,最常见的木马便是试图窃取用户名和密码的登录窗口,或者试图从众多的Internet 服务器提供商( ISP) 盗窃用户的注册信息和账号信息。比如网络神偷等。 四 计算机病毒的主要传播途径 (1)软盘 软盘作为最常用的交换媒介,在计算机应用的早期对病毒的传播发挥了巨大的作用,因那时计算机应用比较简单,可执行文件和数据文件系统都较小,许多执行文件均通过软盘相互拷贝、安装,这样病毒就能通过软盘传播文件型病毒;另外,在软盘列目录或引导机器时,引导区病毒会在软盘与硬盘引导区互相感染。因此软盘也成了计算机病毒的主要寄生的“温床”。 (2)光盘 光盘因为容量大,存储了大量的可执行文件,大量的病毒就有可能藏身于光盘,对只读式光盘,不能进行写操作,因此光盘上的病毒不能清除。以谋利为目的非法盗版软件的制作过程中,不可能为病毒防护担负专门责任,也决不会有真正可靠可行的技术保障避免病毒的传入、传染、流行和扩散。当前,盗版光盘的泛滥给病毒的传播带来了极大的便利。 字串8 (3)硬盘 由于带病毒的硬盘在本地或移到其他地方使用、维修等,将干净的软盘传染并再扩散。 (4)BBS 电子布告栏(BBS) 因为上站容易、投资少,因此深受大众用户的喜爱。BBS 是由计算机爱好者自发组织的通讯站点,用户可以在BBS 上进行文件交换(包括自由软件、游戏、自编程序) 。由于BBS 站一般没有严格的安全管理,亦无任何限制,这样就给一些病毒程序编写者提供了传播病毒的场所。各城市BBS 站间通过中心站间进行传送,传播面较广。随着BBS 在国内的普及,给病毒的传播又增加了新的介质。 (5)网络 现代通信技术的巨大进步已使空间距离不再遥远,数据、文件、电子邮件可以方便地在各个网络工作站间通过电缆、光纤或电话线路进行传送,但也为计算机病毒的传播提供了新的“高速公路”。计算机病毒可以附着在正常文件中,当您从网络另一端得到一个被感染的程序,并在您的计算机上未加任何防护措施的情况下运行它,病毒就传染开来了。在我们信息国际化的同时,我们的病毒也在国际化。大量的国外病毒随着互联网络传入国内。Internet带来两种不同的安全威胁,一种威胁来自文件下载,这些被浏览的或是通过FTP 下载的文件中可能存在病毒;另一种威胁来自电子邮件。网络使用的简易性和开放性使得这种威胁越来越严重。 五 计算机病毒防范策略 病毒的侵入必将对系统资源构成威胁,即使是良性病毒,至少也要占用少量的系统空间影响系统的正常运行,特别是通过网络传播的计算机病毒,能在很短的时间内使整个计算机网络处于瘫痪状态,从而造成巨大的损失。因此,防止病毒的侵入要比病毒入侵后再去发现和消除它更重要。为了将病毒拒之门外,就要做好以下防范措施。 (1)把好入口关 很多病毒都是因为使用了含有病毒的盗版光盘,拷贝了隐藏病毒的软盘资料等而感染的,所以必须把好电脑的“入口”关,在使用这些光盘、软盘之前必须使用杀毒工具进行病毒的扫描,看是否有病毒。 (2)日常维护 在日常使用电脑的过程中,应该养成定期查毒、杀毒的习惯。因为很多病毒在感染后会在后台运行,用肉眼是无法看到的,而有的病毒会存在潜伏期,在特定的时间会自动发作,比如著名的CIH 病毒在每月26 日发作, “欢乐时光”病毒会在满足条件“日 月= 13”时发作。针对这样的病毒,我们可以采取更改系统日期跳过病毒发作期的方法来防御。安装正版的杀毒软件和防火墙,并随时升级到最新版本(如江民、瑞星、诺顿等) 。因为每天都有各种各样的新病毒和变种出现,所以还要定期升级杀毒软件病毒库并经常更新windows 操作系统的安全补丁。 (3)不要随便登录不明网站 将浏览器的安全级别设为中级以上。不要轻易打开来历不明的邮件,尤其是邮件的附件。 (4)将操作系统单独存放于一个分区 数据、文件等存放在其他的分区,并做好系统以及数据的备份,以便在遭受病毒感染后及时恢复,降低损失。 掌握了计算机病毒的知识,一旦遇到计算机病毒就不会“闻毒色变”,只要对计算机病毒有一个理性的认识并掌握一些防毒知识,就完全有理由让病毒远离我们。