局域網終端用戶病毒特點與防護策略

據《2006年全國信息網絡安全狀況與計算機病毒疫情調查分析報告》統計，54%的被調查單位發生過信息網絡安全事件；其中發生過3次以上的占22%，比去年上升7%。感染計算機病毒、蠕蟲和木馬程序仍然是最突出的網絡安全情況，占發生安全事件總數的84%；“遭到端口掃描或網絡攻擊”（36%）和“垃圾郵件”（35%）次之。教育科研單位發生網絡安全事件發生的比例處于較高之列。校園局域網的建設，滿足了現代化教學的要求為學校開展CAI以及遠程教學提供了開發和運行的平臺，通過與Internet的聯接提供了多種類型信息高速傳送的環境，從而為教學、科研提供了新的手段和工具，為教學及科研人員能了解最新教育科研動態與進展，增進學術交流，密切與各科研單位的協作關系提供了很大幫助。

一、計算機病毒種類

事務的發展總是一分為二的，由于校園網中有大量的終端用戶，終端用戶極易受到病毒的侵害，校園網絡安全已經成為當前各高校局域網絡建設中不可忽視的首要問題。根據病毒感染的型態，計算機病毒分為：

1.開機型：每次開機時， 在操作系統還沒被加載之前就被加載到內存中。

2.文件型：文件型的病毒依傳染方式的不同， 又分成非常駐型以及常駐型兩種：

(1)非常駐型病毒(Non-memory Resident Virus)

非常駐型病毒將自己寄生在 *.COM， *.EXE或是 *.SYS的文件中。當這些中毒的程序被執行時，就會嘗試去傳染給另一個或多個文件。

(2)常駐型病毒(Memory Resident Virus) :

常駐型病毒躲在內存中，只要執行文件被執行， 它就對其進行感染的動作。

3.復合型:復合型病毒兼具開機型病毒以及文件型病毒的特性。

4.隱形飛機型：又稱作中斷截取者(Interrupt Interceptors)。它通過控制DOS的中斷向量，把所有受其感染的文件“假還原”，再把“看似跟原來一模一樣”的文件丟回給DOS。

5.千面人：在于每當它們繁殖一次， 就會以不同的病毒碼傳染到別的地方去。

6.文件宏：宏病毒主要是利用軟件本身所提供的宏能力來設計病毒， 所以凡是具有寫宏能力的軟件都有宏病毒存在的可能， 如Word、 Excel 、AmiPro 等等。

7.特洛伊木馬病毒與計算機蠕蟲:特洛依木馬（ Trojan ）和計算機蠕蟲（ Worm ）之間，有某種程度上的依附關系，有愈來愈多的病毒同時結合這兩種病毒型態的破壞力，達到雙倍的破壞能力。

例如：“ MELISSA-梅莉莎” 便是結合“病毒”及“計算機蠕蟲”的兩項特性。該惡性程序不但會感染 Word 的 Normal.dot，而且會通過 Outlook E-mail 大量散播。

二、如何正確判斷是否感染

事實上，在真實世界中單一型態的惡性程序其實愈來愈少了，許多惡性程序不但具有傳統病毒的特性，更結合了“特洛伊木馬程序”、“計算機蠕”型態來造成更大的影響力。那么，怎么來正確地判斷計算機是否被感染了病毒呢？

1.系統無法啟動：病毒修改了硬盤的引導信息，或者刪除了某些啟動文件。如引導型病毒引導文件損壞；硬盤損壞或參數設置不正確；系統文件人為地誤刪除等。

2.文件打不開：病毒修改了文件格式；病毒修改了文件鏈接位置。文件損壞或硬盤損壞；文件快捷方式對應的鏈接位置發生了變化；原來編輯文件的軟件刪除了；如果是在局域網中多表現為服務器中文件存放位置發生了變化，而工作站沒有及時刷新服務器的內容。

3.報告內存不夠：病毒非法占用了大量內存；打開了大量的軟件；運行了需要大量內存資源的軟件；系統配置不正確；內存容量太小等。

4.提示硬盤空間不夠：病毒復制了大量的病毒文件。硬盤每個分區容量太小；安裝了大量的大容量軟件；所有軟件都集中安裝在一個分區之中；硬盤本身就小；如果是在局域網中系統管理員為每個用戶設置了工作站用戶的“私人盤”使用空間限制，因查看的是整個網絡盤的大小，其實“私人盤”上容量已用完了。

5.軟盤等設備未訪問時出讀寫信號：病毒感染，軟盤取走了還在打開曾經在軟盤中打開過的文件。

6.出現大量來歷不明的文件:病毒復制文件;可能是一些軟件安裝中產生的臨時文件;也或許是一些軟件的配置信息及運行記錄。

7.數據丟失：病毒刪除了文件；硬盤扇區損壞；因恢復文件而覆蓋原文件；如果是在網絡上的文件，也可能是由于其他用戶誤刪除了。

三、對策

在有大量終端用戶的校園網中，做好防護工作，減少病毒侵襲，保障校園網的正常運行，是教學、科研以及管理工作正常運轉的保證。為此需要做好以下幾方面的工作：

1.使用正版的殺毒軟件：殺毒軟件顧名思義，用于殺掉計算機中的病毒，殺毒軟件自然是把殺毒放在第一位。其實殺毒軟件的最大用處在于防毒，使用殺毒軟件應該每日更新以減少被病毒侵襲的機會。每天都有大量新的病毒如洪水般出現在我們面前，單純靠殺毒軟件防御潛在的危險是遠遠不夠的，畢竟目前的殺毒軟件還處于被動狀態，只有當病毒出現后，殺毒軟件才會升級更新。

2.安裝系統維護工具：系統維護工具有很多，它能清理大多數的文件、注冊表里的垃圾，同時強力的軟件卸載功能可以清理一個軟件在電腦內的所有記錄，優化、設置系統可以打造自己的啟動環境， IE修復、IE保護、惡意程序檢測及清除工能能給你提供良好的上網環境，還能防止其它人瀏覽網站，阻擋色情網站，以及端口的過濾。

3.防止通過網上鄰居進行病毒傳播：如果你的終端只是需要簡單的辦公、教學及上網查閱資料，在本地連接的屬性中將不需要的服務、協議卸載，只保留一個Internet協議（TCP/IP）協議即可，以防止通過網上鄰居進行病毒傳播。

4.小心使用移動存儲設備：通過U盤、MP3、移動硬盤等移動存儲設備傳播，一般表現為移動存儲設備內東西無法剪切、移動存儲設備無法移出等，尤其在公用電腦上表現極為明顯，傳播極為迅速。當必需使用移動存儲設備時，先按住shift鍵，然后插入移動存儲設備，使用殺毒軟件起先查殺或手動刪除可疑文件，以防止通過移動存儲設備進行病毒傳播。

除止之外，還要做到潔身自好。只要你潔身自好，不去瀏覽各種色情、暴力等不良網站（很多惡意代碼都與這些網站形成聯盟），同時時刻注意電腦的運行狀況，在一定程度上也可以減少網絡威脅發生的可能。

注：本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文。