網絡病毒及其防治方法綜述

摘要：隨著計算機網絡的普及，網絡安全問題日益突出。網絡病毒的迅迅傳播、再生、發作將造成比單機病毒更大的危害，該文結合網絡操作系統的特點介紹一些防治病毒的基本方法和技術，預防網絡病毒的方法。

關鍵詞：網絡病毒；防治

中圖分類號：TP311文獻標識碼：A文章編號：1009-3044(2008)26-1669-02

計算機病毒對計算機網絡影響是災難性的。從80年的“蠕蟲”“小球”病毒起至今，計算機使用者都在和計算機病毒斗爭，創造了形形色色的病毒產品和方案。近年Internet的發展，E-MAIL和一批網絡工具的出現改變了人類信息的傳播方式和生活，同時也使計算機病毒的種類迅速增加，擴散速度大大加快，出現了一批新的傳播方式和表現力的病毒，病毒的主發地點和傳播方式己經由以往的單機之間的介質傳染完成了向網絡系統的轉化，類似于“CIH，Melisa，Exploer”網絡傳染性質的病毒大量出現，隨著計算機網絡的普及，網絡安全問題日益突出。計算機網絡的主要特點是資源共享。一旦共享資源感染病毒，網絡各結點間信息的頻繁傳輸會把病毒傳染到所有共享的機器上，從而形成多種共享資源的交叉感染。病毒的迅迅傳播、再生、發作將造成比單機病毒更大的危害，后果不堪設想。因此，網絡環境下病毒的防治就顯得更加重要了。

本文結合網絡操作系統的特點介紹一些防治病毒的基本方法和技術，預防網絡病毒的方法。

1 網絡安全性的缺陷

雖然Ｎetware對一些病毒具有“免疫力”，許多病毒由于Ｎetware dos shell的作用，不能與Ｎetware共存，但是在網絡系統的各個組成部分，如接口和界面，以及各層次的相互轉換畢竟存在著不少的漏洞和薄弱的環節，尤其在軟件方面漏洞更多。網絡病毒一旦突破網絡安全系統，傳播到網絡服務器，進而在整個網絡上感染、再生，就會使網絡系統資源遭到破壞。

例如，由于ＮetWare取代了ＤＯＳ的中斷向量，大多數病毒在Ｎetware環境下不能運行，這就大大減少了病毒對ＮetWare的攻擊，但是，仍有一些病毒能以ＮetWare的可裝入模塊（ＮＬＭ）方式運行于網絡中。

2 網絡病毒的特點

1）破壞性：網絡病毒破壞性極強，一旦服務的硬盤被病毒感染，就會破壞ＮetWare分區中某些區域的內容，使文件服務器無法啟動，整個網絡陷于癱瘓，造成災難性后果。

2）傳播性：網絡是一個很好的病毒傳播媒介，網絡病毒可以按指數增長速度進行再生，并能很快地傳播到整個網絡上。

3）可激發性：網絡病毒激發的條件多樣化，可以是時鐘、系統的日期和用戶名，也可以是網絡的一次通信等。一個病毒程序可以按照設計者的要求，在某個工作站上激活并發出攻擊。

4）潛在性：網絡一旦感染了病毒。即使病毒已被消除，其潛在的危險也是巨大的。根據DATAQUEST公司的研究發現，病毒在網絡上被消除后，85%的網絡在30天內會再次被感染。

3 網絡病毒防治的重要性

在網絡環境下，防治病毒總是顯得尤為重要，這主要有以下兩個方面的原因：首先病毒感染速度快，具有很大的破壞力，造成的網絡癱瘓損失難以估計；其次是遭到病毒破壞的網絡要進行恢復非常麻煩，有時幾乎不大可能恢復。網絡服務器一旦中毒，清毒、解毒所需的時間很長，往往是單機的幾十倍。因此，防治網絡病毒是一件非常重要的事情。

4 網絡病毒防治的基本方法、技術和措施

目前，網絡大都采用Client/Server(客戶機／服務器)的工作模式，防治網絡病毒需要從服務器和工作站兩個主要方面并結合網絡管理著手解決。

4.1 網絡管理方面

1） 對網絡用戶進行病毒防治的教育，制定嚴格的工作站安全操作規程。網上各工作站的操作人員必須嚴格按照網絡操作手冊進行操作。

2） 建立一整套網絡軟件及硬件的維護制度，定期對各工作站進行維護。

3） 建立網絡系統軟件的安全管理制度，對網絡系統軟件指定專人管理、定期備件，并建立網絡資源表和網絡設備檔案，對網上各工作站的資源分配情況、故障情況、維修記錄要分別記錄在案。

4） 嚴格加強軟件的管理，嚴禁軟件隨意流通，必要時取消分散在各用戶計算機上的軟盤驅動器，以避免用戶將有病毒的軟盤在機器上運行。

5） 設置正確的訪問權限和文件屬性，可以有效地防止病毒侵入。Ｎetware提供了目錄或文件的訪問權限與屬性兩種安全性措施。

訪問權限有：read(讀)、create（建立）、write（寫）、erase（刪除）modify（修改）、file scan（文件掃描）access control（訪問控制）superuisory（管理權）.

文件屬性有：archive needed（需歸檔）、 copy inhibit（拷貝禁止）、Delete inhibit(刪除禁止)、 execute only（只執行）、 read only （只讀）、read write（讀寫）、 rename inhibit（改名禁止）、 shareable（可共享）、以及 system（系統）等。屬性優先于訪問權限，應根據用戶對目錄和文件的操作能力，分配不同的訪問屬性；

a） 將所有用戶對PUBLIC、LOGIN和其它應用程序目錄的權限設置為Read(讀)和File Scan（文件掃描）；

b） 將擴展名為.EXE和.COM的文件屬性設置為Read only(只讀)和Rename Inhibit（改名禁止）等兩種屬性附于文件；

c） 有一些文件存有用戶進程所需的配置信息，由于用戶必須具備修改這些文件的權限，以便修改配置信息，所以這些配置文件易被病毒感染。解決這一問題的方法最好是創造一個對進程所在目錄具有Supervisory(管理權)的用戶。當你想修改此進程的配置信息時，必須以此用戶登錄，在進程修改之前，可通過Login Scrip自動地運行防病毒軟件，以確保內存中不存在活動著的病毒。

4.2 工作站方面

工作站是網絡的門，只要將這扇門關好，就能有效地防止病毒的入侵。以下方法能從工作站方面防止病毒的侵襲。

1） 按期做文件備份和病毒檢測；

2） 確保遠程輸入的資源沒有攜帶病毒。在接受遠程文件輸入時，決不要將文件直接寫入本地硬盤，而應先將遠程輸入的文件寫到軟盤上，然后對這些軟盤進行查毒，確認無毒后再拷貝到硬盤；

3） 對不能共享的軟件，將其可執行文件、覆蓋文件如.EXE、.COM、.OVL等備份到服務器上，定期從文件服務器上拷貝到硬盤上進行操作；

4） 如果你的工作站檢測到一個病毒，應馬上停止一切工作，使用正確的殺毒軟件將病毒清除，然后再繼續工作；

5） 采用工作站防毒芯片。這種方法是將防病毒功能集成在一個芯片上，把防毒芯片安裝在網絡工作站上，以便經常性地保護工作站及其通往服務器的路徑。比如防病毒網卡Chipway就是網絡工作站防病毒的一種理想的選擇。在工作站DOS引導過程中，ROM-BIOS、Extemded BIOS裝入后，Paartition Table裝入之前，chipway獲得控制權，這樣可以防止引導型病毒的入侵。

4.3 服務器方面

服務器是網絡的核心，一旦服務器被病毒感染，無法啟動，整個網絡就會陷于癱瘓。目前基于服務器的防治病毒方法主要以NLM可裝載模塊技術進行程序設計，以服務器為基礎，提供實時掃描病毒能力。基于服務器的防毒技術一般具有以下功能：

1） 服務器所有文件掃描。對服務器中的所有文件集中檢查是否帶毒，若有帶毒文件，則提供Supervisory等幾種處理方法；

2） 實時在線掃描。全天24小時臨近網絡中是否有帶毒文件進入服務器；

3） 服務器掃描選擇。系統管理員（Supervisor）定期檢查服務器中是否帶毒，可按月、周或天集中掃描一下網絡服務器；

4） 自動報告功能及病毒存檔；

5） 工作站掃描。基于服務器的防病毒軟件不能保護本地工作站的硬盤，有效方法是在服務器上安裝防毒軟件，同時在上網的工作站內存中調入一個常駐掃毒程序，實時檢測在工作站中運行的程序；

6） 對用戶開放的特征接口，對用戶遇到的帶毒文件，經過病毒特征分析程序，自動將病毒特征加入特征庫，以隨時增強抗毒能力。

5 優秀網絡防病毒產品介紹

目前，我國廣為流行的具有代表性的網絡防病毒產品是LANProtect和LANClear for NetWare，它們是非常優秀的在服務器上運行的防毒產品。

5.1 LANProtect

Trend(趨勢)公司的LANProtect是針對Novell網絡的防病毒產品，后由Intel公司購得其版權，更名為LANdesk Virus Protect.LANProtect功能很強，且結構緊湊，程序模塊141K，運行時服務器總內存占用小于300K，不需要工作站TSR。LANProtect主要包括3部分：掃描器、用戶接口和NetWare接口。下面對其性能及特點作一簡介：

1） 采用NetWare的可裝入模塊（NLM）設計，完全不干擾工作站；

2） 掃描器使用“深掃描（DEEP SCAN）”的獨特掃描技術。所謂“深掃描”，即不掃描整個文件，而通過轉移指令精確測定病毒在被感染文件中的位置，可在約50ms內掃描一個文件而不論文件大小，其快速有效的特點非常適合于網絡中龐大的文件系統；

3） 用戶接口使網絡管理員可對LANProtect進行預配置及調度，設定掃描時間和頻率、被掃描的卷和目錄、對LANProtect的加鎖解鎖功能和被掃描的文件類型，發現病毒后及時通知NetWare的用戶組；

4） NetWare接口始終觀測網絡通信情況，并請示掃描對進出文件服務器的所有文件執行實時掃描。實時掃描能監控網絡通信，是LANProtect的心臟；

5） 自動追蹤病毒的文件來源（使用者ID、工作站名、執行時間、日期），并及時通知網絡管理員；

6） 提供給網絡用戶兩個工作站工具軟件：LPSCAN和LPVIEW。LPSCAN是一個掃描器，它能清除工作站驅動器上受感染的文件，LPVIEW允許在“工作站上“察看LANProtect的配置情況。

5.2 LANClear for Net Ware

LANClear for Net Ware是我國獨立設計研制的Novell網絡防病毒系統，除了擁有LANProtect的基本功能外，還具有以下幾點：1） 在Novell網絡上自動殺毒；2） 實現了網絡工作站的網上智能免疫。這也是網絡防病毒的發展新方向；3）用戶升級特別方便、迅速；4） 尤為適用國內的病毒。

常見的網絡防病毒產品除了上述兩種外，還有Central Point AntiVirus for NetWare、Netsnield以及Norton AntiVirus for NetWare等，在此不作一一介紹。

計算機網絡既是信息傳播的媒體，又是病毒擴散的良好渠道。隨著計算機網絡應用的普及，網絡病毒將不斷地向人們提出新的挑戰。同時，隨著人們對網絡病毒的認識和研究逐步加深，各種網絡防病毒技術會不斷推出，并走向完善。

參考文獻：

[1] 袁忠良.計算機病毒防治實用技術[M].北京:清華大學出版社，2004.

[2] Mark O，Neil.Web服務安全技術與原理[M].冉曉呈，郭文偉.譯.北京:清華大學出版社，2003.

[3] 梅筱琴.計算機病毒防治與網絡安全手冊[M].重慶:海洋出版社，2001.