計(jì)算機(jī)病毒的研究與防范

摘要：該文介紹了計(jì)算機(jī)病毒的產(chǎn)生、定義和發(fā)展，描述了病毒的分類和危害，闡述了防御手段的發(fā)展，并通過一個(gè)實(shí)例來具體描述手動查殺病毒的方法，最后總結(jié)了病毒防范中的幾點(diǎn)經(jīng)驗(yàn)。

關(guān)鍵詞：計(jì)算機(jī)病毒；木馬；殺毒

中圖分類號：TP393文獻(xiàn)標(biāo)識碼：A文章編號：1009-3044(2009)04-0831-02

Reasurch and Defence of Computer Viruses

XIAO Hong-wei

(Laboratory Apparatus Plant，Academy of Military Medical Sciences，Beijing 100850，China)

Abstract: The paper introduces the origination， definition and development of computer viruses， discribes their types and harm， analyzes the development of anti-virus technologies. It also details the means of cleaning viruses through an example.Finally gives some experience to protect computers from danger.

Key words:computer virus; trojan; anti-virus

1 引言

隨著互聯(lián)網(wǎng)的普及與發(fā)展，來自互聯(lián)網(wǎng)的各種安全問題時(shí)刻威脅著計(jì)算機(jī)的安全。10月24日凌晨，微軟緊急發(fā)布了一項(xiàng)重要的安全更新，涉及桌面操作系統(tǒng)的絕大多數(shù)版本。微軟公告稱，黑客可以利用該漏洞向網(wǎng)絡(luò)中的電腦發(fā)出遠(yuǎn)程的特制RPC請求，無需身份驗(yàn)證便可在電腦中任意執(zhí)行遠(yuǎn)程代碼，遠(yuǎn)程執(zhí)行一段下載惡意程序的代碼后，不但能隨意彈出廣告、盜取用戶賬號，還可以控制本機(jī)進(jìn)而攻擊其他用戶，使破壞力持續(xù)放大。據(jù)安全專家分析，這一漏洞的危害極為嚴(yán)重，局域網(wǎng)的用戶一旦有一個(gè)中招病毒就會迅速擴(kuò)散，其危害程度毫不遜于當(dāng)年波及80%以上Windows用戶的“沖擊波”病毒[1]。由此看出，如何切實(shí)、有效地進(jìn)行計(jì)算機(jī)安全防護(hù)，保證用戶能夠獲得完整的安全體驗(yàn)，已經(jīng)成為當(dāng)務(wù)之急。

2 計(jì)算機(jī)病毒

2.1 病毒定義及分類

20世紀(jì)70年代中期有幾位美國科普作家在他們的科幻小說中描寫了計(jì)算機(jī)病毒。1983年11月3日Fred.Cohen博士研制出一種在運(yùn)行過程中不斷復(fù)制自身的破壞性程序，Len.Adleman將其命名為計(jì)算機(jī)病毒(Computer Viruses)[2]。所謂病毒，是指人為編制的，干擾計(jì)算機(jī)正常運(yùn)行并造成計(jì)算機(jī)軟硬件故障，甚至破壞計(jì)算機(jī)數(shù)據(jù)的可以自我復(fù)制的計(jì)算機(jī)程序或者指令集合。

該文將術(shù)語\"計(jì)算機(jī)病毒\"用作一個(gè)集合名詞，來指代故意在計(jì)算機(jī)系統(tǒng)上執(zhí)行惡意任務(wù)的病毒、蠕蟲和特洛伊木馬。接下來，將介紹病毒、蠕蟲以及特洛伊木馬的確切含義和特征。特洛伊木馬不能夠自行傳播，這是木馬與病毒或蠕蟲的根本區(qū)別。該程序看上去有用或無害，但卻包含了旨在竊取信息、開放并監(jiān)聽后門端口的隱藏代碼，通常通過沒有正確說明此程序的用途和功能的電子郵件傳遞給用戶，也稱為特洛伊代碼。特洛伊木馬可能在系統(tǒng)中提供后門，使黑客可以竊取數(shù)據(jù)或更改配置設(shè)置。常見的兩種木馬有：遠(yuǎn)程訪問特洛伊和Rootkit。某些特洛伊木馬程序使黑客或數(shù)據(jù)竊取者可以遠(yuǎn)程地控制系統(tǒng)，此類程序稱為遠(yuǎn)程訪問特洛伊 (RAT) 或后門。Rootkit 是軟件程序集，黑客可用來獲取計(jì)算機(jī)未經(jīng)授權(quán)的遠(yuǎn)程訪問權(quán)限，并發(fā)動其他攻擊，包括監(jiān)視擊鍵、更改系統(tǒng)日志文件、在系統(tǒng)中創(chuàng)建后門以及對網(wǎng)絡(luò)上的其他計(jì)算機(jī)發(fā)起攻擊[3]。

蠕蟲能夠自行傳播的惡意代碼，其危害為消耗網(wǎng)絡(luò)或本地系統(tǒng)資源。蠕蟲病毒可以通過網(wǎng)絡(luò)連接自動將其自身從一臺計(jì)算機(jī)分發(fā)到另一臺計(jì)算機(jī)上，可在無須感染可執(zhí)行文件的情況下進(jìn)行復(fù)制或通過用戶直接執(zhí)行蠕蟲代碼傳播。例如，Sasser 蠕蟲依賴服務(wù)的安全漏洞最初感染一個(gè)系統(tǒng)，然后使用已感染系統(tǒng)的網(wǎng)絡(luò)連接來試圖進(jìn)行復(fù)制[3]。

病毒 病毒將其自身附加到宿主程序，宿主程序執(zhí)行時(shí)病毒代碼也隨之運(yùn)行。通過將其自身的副本添加到文件、文檔或磁盤驅(qū)動器的啟動扇區(qū)來進(jìn)行復(fù)制，有時(shí)還會傳遞額外負(fù)載。它可能會損害硬件、軟件、數(shù)據(jù)或消耗系統(tǒng)資源并占用網(wǎng)絡(luò)帶寬。

2.2 病毒的發(fā)展

計(jì)算機(jī)病毒大致可以分成幾個(gè)階段。第一個(gè)階段為上世紀(jì)90年代之前，那時(shí)基本上是搗亂的病毒比較多，如最早的小球病毒、米開朗基羅，都是技術(shù)炫耀型的，但病毒的數(shù)量并不多，處理起來相對容易，只要是樣本分析清楚后，就能處理掉。

第二個(gè)階段與第一個(gè)階段中傳統(tǒng)的病毒制造不同。目前，從病毒的編寫、傳播到出售，整個(gè)病毒產(chǎn)業(yè)鏈已經(jīng)完全互聯(lián)網(wǎng)化。在互聯(lián)網(wǎng)上，從挖掘漏洞、制造病毒、傳播病毒到出售竊取來的具有價(jià)值的商業(yè)信息，已經(jīng)形成了一個(gè)高效的流水線，黑客們各司其職，運(yùn)作效率極高，這也是導(dǎo)致病毒數(shù)量暴增的根本原因。2008年1月至10月，瑞星公司共截獲病毒樣本930余萬個(gè)，全國約有8100多萬電腦曾被病毒感染。目前，互聯(lián)網(wǎng)上每天新增病毒2萬余種，每10個(gè)上網(wǎng)者中就有3人訪問過帶毒網(wǎng)站[4]。

2.3 病毒入侵方式

雖然病毒、蠕蟲以及特洛伊木馬對用戶電腦造成的安全威脅和危害程度不同，但它們的入侵方式卻是大同小異。如圖1所示，一般來說，當(dāng)病毒傳播到計(jì)算機(jī)后，首先做的工作就是隱藏自身，通過隱藏文件名或隱藏路徑來達(dá)到不被發(fā)現(xiàn)的目的，通常的做法是起個(gè)極其普通的文件名，或類似于系統(tǒng)文件的文件名，或與系統(tǒng)文件重名而將系統(tǒng)文件改名或刪除。接下來，病毒將修改注冊表中某些值或添加注冊表項(xiàng)，使得病毒能夠?qū)崿F(xiàn)隨計(jì)算機(jī)的啟動或應(yīng)用程序的使用而運(yùn)行以及自行復(fù)制等目的。隱藏自身和修改注冊表后，病毒通過運(yùn)行來達(dá)到其目的。

比如著名的“熊貓燒香”病毒，當(dāng)用戶感染此病毒后，病毒進(jìn)行如下步驟來入侵電腦。

1) 隱藏文件

病毒運(yùn)行后，會把自己拷貝到C:\\WINDOWS\\System32\\Drivers\\spoclsv.exe

2) 添加注冊表自啟動

病毒會添加自啟動項(xiàng)

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

svcshare -> C:\\WINDOWS\\System32\\Drivers\\spoclsv.exe

3) 病毒行為

病毒行為有很多，主要有以下幾種：用戶電腦中毒后可能會出現(xiàn)藍(lán)屏、頻繁重啟以及系統(tǒng)硬盤中數(shù)據(jù)文件被破壞等現(xiàn)象；被感染的用戶系統(tǒng)中所有.exe可執(zhí)行文件全部被改成熊貓舉著三根香的模樣；添加病毒網(wǎng)址，導(dǎo)致用戶一打開這些網(wǎng)頁文件，IE就會自動連接到指定的病毒網(wǎng)址中下載病毒。在硬盤各個(gè)分區(qū)下生成文件autorun.inf和setup.exe，可以通過U盤和移動硬盤等方式進(jìn)行傳播，并且利用Windows系統(tǒng)的自動播放功能來運(yùn)行，搜索硬盤中的.exe可執(zhí)行文件并感染， “熊貓燒香”還可以通過共享文件夾、系統(tǒng)弱口令等多種方式進(jìn)行傳播。該病毒會在中毒電腦中所有的網(wǎng)頁文件尾部添加病毒代碼。一些網(wǎng)站編輯人員的電腦如果被該病毒感染，上傳網(wǎng)頁到網(wǎng)站后，就會導(dǎo)致用戶瀏覽這些網(wǎng)站時(shí)也被病毒感染。

3 病毒防御

3.1 病毒防御技術(shù)的發(fā)展

傳統(tǒng)的防病毒工作包括：收集病毒樣本、開發(fā)特征碼，然后迅速把這些特征碼發(fā)布給用戶。殺毒軟件在計(jì)算機(jī)程序中尋找特征碼，然后與病毒庫比對。這樣作有許多弊端：首先當(dāng)病毒數(shù)量巨大時(shí)，殺毒軟件的運(yùn)行極大的消耗計(jì)算機(jī)資源；其次由于很多網(wǎng)絡(luò)威脅都是有針對性的聯(lián)合攻擊，所以標(biāo)準(zhǔn)樣本收集、特征碼創(chuàng)建，以及部署不能充分發(fā)揮效用；這樣的防病毒技術(shù)只能防范已知病毒，而對新出現(xiàn)的病毒沒有防御能力。所以，在這種形勢下，研發(fā)和推出更高水平的計(jì)算機(jī)反病毒技術(shù)比任何時(shí)候都顯得更加迫切和重要。

2008年，許多防病毒廠商紛紛推出自己的“云安全”戰(zhàn)略。所謂“云計(jì)算”是指終端用戶連接到互聯(lián)網(wǎng)后，與云端的服務(wù)器保持實(shí)時(shí)聯(lián)絡(luò)，當(dāng)發(fā)現(xiàn)異常行為或病毒等風(fēng)險(xiǎn)后，自動提交到云端的服務(wù)器群組中，由云計(jì)算技術(shù)進(jìn)行集中分析和處理。然后，“云計(jì)算“技術(shù)會生成一份對風(fēng)險(xiǎn)的處理意見，同時(shí)對全世界的客戶端進(jìn)行統(tǒng)一分發(fā)，客戶端可以自動地進(jìn)行阻斷攔截、查殺等操作[5]。

通過“云計(jì)算”實(shí)現(xiàn)病毒查殺，主要有兩個(gè)好處：一個(gè)是客戶端可以不保留病毒特征庫。相對于動輒上百兆的防病毒軟件安裝程序來說，利用“云計(jì)算”技術(shù)，安裝程序的體積可以縮小很多；第二個(gè)是“云計(jì)算”的安全體系中集合了數(shù)萬臺計(jì)算機(jī)，擁有強(qiáng)大的計(jì)算能力，在傳統(tǒng)的防病毒方法已經(jīng)達(dá)到能力極限的情況下，“云計(jì)算”為病毒防范找到了一條新的出路。

3.2 手動清除病毒的一般方法

知道病毒的傳播、隱藏與運(yùn)行后，就能有針對的列出相關(guān)應(yīng)對措施。當(dāng)懷疑計(jì)算機(jī)感染病毒時(shí)，可以先進(jìn)行病毒排查，找到引起計(jì)算機(jī)故障的根源。如圖2所示，首先查看可疑進(jìn)程，因?yàn)榇蠖鄶?shù)情況下病毒只要運(yùn)行了，一般會在進(jìn)程中有所體現(xiàn)，比如當(dāng)用戶感染“熊貓燒香”病毒時(shí)，會關(guān)閉Ravmond.exe\\Ccenter.exe\\RavTask.exe\\Rav.exe\\Ravmon.exe\\RavmonD.exe等進(jìn)程，打開任務(wù)管理器，若發(fā)現(xiàn)可疑進(jìn)程，可以通過搜索，輸入進(jìn)程名，搜索相關(guān)文件，也可通過監(jiān)測程序查看隱藏的惡意進(jìn)程。同時(shí)到注冊表中全盤搜索注冊表啟動項(xiàng)，這樣便可以找到在注冊表中被修改的地方，然后根據(jù)具體情況選擇修改或刪除。一般病毒的手工查殺的步驟如下。

1) 同時(shí)按下“Ctrl+Alt+Del”鍵調(diào)出任務(wù)管理器，強(qiáng)行關(guān)閉病毒進(jìn)程。

2) 從注冊表中刪掉病毒相關(guān)的自啟動項(xiàng)和關(guān)聯(lián)項(xiàng)。

3) 到相應(yīng)的目錄下刪掉病毒文件。

4) 重啟計(jì)算機(jī)。

3.3 手動清除病毒的實(shí)例

接下來將介紹在工作中遇到的一個(gè)計(jì)算機(jī)病毒的實(shí)例，用戶的計(jì)算機(jī)配置為Windows XP系統(tǒng)，打印機(jī)型號為HP 1200。用戶反映計(jì)算機(jī)突然不能打印，打印機(jī)在控制面板中消失了，單擊添加打印機(jī)，系統(tǒng)提示：操作無法完成，打印后臺程序服務(wù)沒有運(yùn)行。打開“組件”中的“服務(wù)”，試圖啟動打印后臺程序“Print Spool服務(wù)”，發(fā)現(xiàn)服務(wù)無法啟動。這是由于病毒程序?qū)哟蛴》?wù)的必要文件刪除，致使由于無法找到文件不能啟動，因此也無法安裝打印驅(qū)動。

按照手動清除病毒的一般方法，首先查找病毒相關(guān)信息。在Google中輸入“打印后臺程序服務(wù)無法運(yùn)行“，搜索發(fā)現(xiàn)，病毒文件為文件夾spoolsv和miscn以及1116，病毒的動作有：刪除系統(tǒng)文件夾下system32\\spoolsv.exe文件，在system32\\spoolsv下面創(chuàng)建spoolsv.exe，注冊表相應(yīng)項(xiàng)也被破壞。

解決方法：首先從其他沒有中毒的相同版本的計(jì)算機(jī)上拷貝spoolsv，exe文件到system32系統(tǒng)目錄。然后，將spool文件夾下面的PRINT子文件夾里面所有文件刪除，因?yàn)闆]有中病毒的這個(gè)文件夾應(yīng)該是空的，同時(shí)將病毒文件文件夾spoolsv和miscn以及1116也刪除。

最后修復(fù)注冊表。從一臺沒有中病毒的計(jì)算機(jī)上，在命令行中輸入命令“regedit”，打開注冊表，導(dǎo)出分支HKEY_LOCAL_MACHINE\\System\\CurrentControlset\\Services\\Spooler，然后導(dǎo)入到已中毒計(jì)算機(jī)的注冊表內(nèi)。

接下來開始安裝打印驅(qū)動。在“我的電腦”上單擊鼠標(biāo)右鍵，單擊“管理”。 在“計(jì)算機(jī)管理“窗口中，單擊服務(wù)和應(yīng)用程序→服務(wù)→Print Spooler，在Print Spooler上單擊右鍵→啟動，服務(wù)被啟動后，即可安裝驅(qū)動。值得注意的是，驅(qū)動安裝成功后，“打印機(jī)和傳真“里面顯示可用的打印機(jī)，需要將打印機(jī)從“脫機(jī)”改為“共享打印”，選擇好端口（一般選擇USB端口），這時(shí)就可以打印了。

4 經(jīng)驗(yàn)總結(jié)

要減少計(jì)算機(jī)受到病毒的侵害，至少需要做到以下幾點(diǎn)：

1) 打開系統(tǒng)的自動更新功能，或使用“360安全衛(wèi)士”等軟件，及時(shí)修補(bǔ)系統(tǒng)漏洞。

2) 安裝正版殺毒軟件，定時(shí)更新掃描并實(shí)時(shí)監(jiān)控，動態(tài)監(jiān)視軟盤、硬盤、網(wǎng)絡(luò)以及Email中可能出現(xiàn)的病毒。

3) 關(guān)閉無關(guān)服務(wù)，微軟中有很多服務(wù)都不是必須的，若打開則容易被攻擊。

4) 下載的軟件一定要經(jīng)過本部門專業(yè)人員查毒、殺毒后才能安裝使用。

5) 不要隨意點(diǎn)擊別人發(fā)來的網(wǎng)址和文件（尤其是QQ中），Email附件中的*.exe文件，不要運(yùn)行，直接將信件刪除。

5 結(jié)論

計(jì)算機(jī)和網(wǎng)絡(luò)給我們生活提供的便利，遠(yuǎn)非計(jì)算機(jī)病毒帶來的不便所能比擬的。只要我們了解病毒的傳播方式，依靠專業(yè)人員的支持，就可以抵御病毒帶來的各種危害，從而更為有效地利用計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)改進(jìn)我們的生活。

參考文獻(xiàn)：

[1] Microsoft 安全公告MS08-067， http://www.microsoft.com/china/technet/security/bulletin/MS08-067.mspx.

[2] 高志海.病毒是什么[OL].http://www.mwr.gov.cn/，2008，1.

[3] 什么是惡意軟件及其特征[OL].http://zhangyazhou128.blog.163.com/blog.

[4] 劉歡.病毒互聯(lián)網(wǎng)化導(dǎo)致數(shù)量暴增[N].北京日報(bào)，2008，11.

[5] 邊欽.防病毒的未來在“云”中[J].網(wǎng)絡(luò)世界，2008，10(40).