計(jì)算機(jī)病毒的特征及防治策略

摘要:隨著計(jì)算機(jī)病毒技術(shù)的發(fā)展，病毒給人們?cè)斐傻膿p失越來越大。該文通過分析常見的6種病毒的特征，提出了一些病毒防治的策略，對(duì)于保護(hù)計(jì)算機(jī)免受病毒侵害具有一定的參考價(jià)值。

關(guān)鍵詞:計(jì)算機(jī)病毒;防治策略;木馬;蠕蟲

中圖分類號(hào):TP309.5文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1009-3044(2010)05-1049-03

Computer Virus Characteristics and Cure Strategies

LI Wei-min， GE Fu-hong， ZHANG Li-ping

(College of Education Science and Technology，Shanxi Datong University， Datong 037009， China)

Abstract: With the development of computer virus technology， the damages of virus are worsening. This paper analyzes the characteristics of six kinds of viruses and provides some cure strategies. These strategies have reference value to protect computer from viruses.

Key words: computer virus; cure strategy; trojan horse; worm

在我們享受網(wǎng)絡(luò)帶給我們的種種便利的同時(shí)，也有人同時(shí)在編造病毒攻擊計(jì)算機(jī)。雖然防毒軟件不斷升級(jí)，但病毒也在不斷增加和升級(jí)。這些日新月異更新的病毒借助于網(wǎng)絡(luò)給計(jì)算機(jī)用戶帶來不同程度的損失。下面介紹幾種常見的計(jì)算機(jī)病毒的特征及防治策略。

1 計(jì)算機(jī)病毒概述

計(jì)算機(jī)病毒是一種人為制造的、在計(jì)算機(jī)運(yùn)行中對(duì)計(jì)算機(jī)信息或系統(tǒng)起破壞作用的程序。計(jì)算機(jī)病毒有六大特性:寄生性、傳染性、潛伏性、隱蔽性、破壞性、可觸發(fā)性。病毒的侵入必將對(duì)系統(tǒng)資源構(gòu)成威脅，輕則占用大量的系統(tǒng)空間影響系統(tǒng)的正常運(yùn)行，重則能在很短的時(shí)間內(nèi)使整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)處于癱瘓狀態(tài)，從而造成巨大的損失。

2 CIH病毒特征及防治策略

2.1 CIH病毒的基本特征

CIH病毒傳播的主要途徑是Internet、電子郵件，U盤或光盤來傳播。CIH是一種Windows 95/98系統(tǒng)下的32位文件型病毒，它只感染PE格式且擴(kuò)展名為EXE的文件， 病毒通過修改文件頭部的程序入口地址，使其指向病毒的引導(dǎo)代碼。當(dāng)病毒代碼駐留內(nèi)存后，每當(dāng)系統(tǒng)中有文件服務(wù)請(qǐng)求時(shí)，首先被調(diào)用的將是病毒代碼，它都要從CMOS保存的信息中讀取系統(tǒng)當(dāng)前日期，如果是4月26日，則執(zhí)行病毒的破壞代碼:通過輸入輸出指令改寫B(tài)IOS引導(dǎo)程序，然后將內(nèi)存中從地址C0001000H處開始的內(nèi)容寫到硬盤上從0柱面、0頭開始的位置， 直到用戶關(guān)機(jī)或系統(tǒng)死機(jī)為止。

CIH病毒破壞性很大，它首先會(huì)毀壞掉磁盤上的所有文件;其次，CIH病毒會(huì)感染硬盤上的所有邏輯驅(qū)動(dòng)器，最壞的情況是硬盤所有數(shù)據(jù)(含全部邏輯盤數(shù)據(jù))均被破壞;更為嚴(yán)重的是，CIH病毒還會(huì)破壞主板上的BIOS，將計(jì)算機(jī)中的BIOS內(nèi)容重新改寫，造成計(jì)算機(jī)無法啟動(dòng)，假如用戶的BIOS是可FLASH型的，那么主板有可能徹底損壞。

2.2 CIH的防護(hù)策略

1)對(duì)CIH病毒進(jìn)行免疫。設(shè)置兩重防線，使CIH病毒代碼不能再進(jìn)入內(nèi)存，從根本上杜絕CIH病毒的傳播和破壞。

具體過程是:通過調(diào)用VXD函數(shù)IFSMgr_InstallFileSystemApiHook，獲得系統(tǒng)當(dāng)前的文件系統(tǒng)鉤子函數(shù)的地址和函數(shù)IFSMgr_InstallFileSystemApiHoo的入口地址，根據(jù)獲得的地址，掃描相應(yīng)的內(nèi)存區(qū)，判斷內(nèi)存中是否有CIH病毒。如果發(fā)現(xiàn)內(nèi)存中有CIH病毒，調(diào)用VXD函數(shù)IFSMgr_RemoveFileSystemApiHook 先撤消其設(shè)置的文件系統(tǒng)鉤子函數(shù)，然后利用函數(shù)_PageFree將其占用的內(nèi)存釋放。

病毒在駐留內(nèi)存之前，先要檢查該寄存器的值是否為零，以判斷病毒代碼是否已在內(nèi)存中。因此，我們可以將該寄存器的值設(shè)置為非零值，讓病毒以為內(nèi)存中已有病毒代碼存在，從而不駐留內(nèi)存，這是第一道防線。

考慮到寄存器dr0的值可能被其它程序修改，讓病毒代碼獲得進(jìn)入內(nèi)存的機(jī)會(huì)，我們?cè)僭O(shè)置第二道防線。 在內(nèi)存高端申請(qǐng)一頁內(nèi)存空間，駐留一段代碼在這一內(nèi)存空間中，修改系統(tǒng)中IFSMgr_InstallFileSystemApiHook 函數(shù)的入口地址，使其指向我們自己設(shè)置的代碼，該代碼負(fù)責(zé)監(jiān)視文件系統(tǒng)鉤子函數(shù)的安裝過程，如果是病毒代碼要進(jìn)入內(nèi)存，則拒絕讓其進(jìn)入，并釋放其申請(qǐng)的內(nèi)存。

有了這兩道防線，就能較好地防止CIH病毒進(jìn)入內(nèi)存，即便是運(yùn)行染有病毒的程序，也不會(huì)對(duì)系統(tǒng)造成不利的影響。

2)若出現(xiàn)以上所寫的中毒特征，則首要要保護(hù)好自己的主板BIOS。現(xiàn)在的主板一般使用EEPROM作為BIOS芯片，沒有任何的安全保護(hù)措施，所以當(dāng)中毒時(shí)，切記千萬不要輕易重新啟動(dòng)計(jì)算機(jī)，尤其是從C盤啟動(dòng)應(yīng)被絕對(duì)禁止，正確的措施是應(yīng)該及時(shí)進(jìn)入CMOS設(shè)置程序，將系統(tǒng)引導(dǎo)順序設(shè)置為A盤優(yōu)先，然后用干凈無毒的系統(tǒng)軟盤引導(dǎo)系統(tǒng)到DOS狀態(tài)，這時(shí)即可對(duì)硬盤的所有邏輯驅(qū)動(dòng)器進(jìn)行一次全面掃描并查殺CIH病毒;當(dāng)然最好的辦法 是平時(shí)將主板上的BIOS刷新跳線設(shè)定在Disabled狀態(tài)。

3)CIH的清除

現(xiàn)在CIH在網(wǎng)絡(luò)上廣泛流行，除了使用專業(yè)殺毒軟件清除它以外，還可以使用手工的方式清除，清除的方法如下。

在染毒文件中找到特征字串:查找5ECC568BF0把CC改為90，查找5ECCFB33DB把CC改為90。

在染毒文件中找:查找CD205300010083C420改為909090909090909090;查找CD2067004000改變909090909090。

3 “木馬”病毒特征及防治策略

3.1 “木馬”病毒的特征

“木馬”全稱是“特洛伊木馬(Trojan Horse)”，“木馬”病毒是一種專門用來偷取用戶資料的病毒，是一種極度危險(xiǎn)的惡意程序?！澳抉R”病毒雖然和其他惡意程序一樣，也會(huì)刪除或修改文件、格式化硬盤、上傳和下載文件、騷擾用戶、驅(qū)逐其他惡意程序，但除此之外，“木馬”病毒還有其獨(dú)一無二的特點(diǎn):竊取內(nèi)容和遠(yuǎn)程控制。這使得它們成為最危險(xiǎn)的惡意軟件。

1)“木馬”病毒具有捕獲每一個(gè)用戶屏幕、每一次鍵擊事件的能力，這意味著攻擊者能夠輕松地竊取用戶的密碼、目錄路徑、驅(qū)動(dòng)器映射，甚至醫(yī)療記錄、銀行賬戶和信用卡、個(gè)人通信方面的信息。假如你的電腦中帶有麥克風(fēng)，那么“木馬”病毒就可能竊聽到你的談話內(nèi)容。

2)“木馬”病毒帶有嗅探器，它能夠捕獲和分析流經(jīng)網(wǎng)卡的每一個(gè)數(shù)據(jù)包。攻擊者可以利用木馬竊取的信息設(shè)置后門，即使“木馬”病毒后來被清除了，攻擊者仍可以利用以前留下的后門方便地闖入。

3)如果一個(gè)未經(jīng)授權(quán)的用戶掌握了遠(yuǎn)程控制宿主機(jī)器的能力，宿主機(jī)器就變成了強(qiáng)大的攻擊武器?！澳抉R”病毒不僅使遠(yuǎn)程用戶擁有了隨意操控PC本身資源的能力，而且還能夠冒充PC合法用戶。

3.2 “木馬”病毒的防護(hù)

隨著病毒編寫技術(shù)的發(fā)展，木馬程序?qū)τ脩舻耐{越來越大，尤其是一些木馬程序采用了極其狡猾的手段來隱蔽自己，因此用戶在使用計(jì)算機(jī)時(shí)應(yīng)該采取以下措施來有效地預(yù)防“木馬”病毒的侵襲。

1)不要隨意打開來歷不明的郵件

現(xiàn)在許多“木馬”都是通過郵件來傳播的。所以當(dāng)你收到來歷不明的郵件時(shí)，請(qǐng)不要打開應(yīng)直接刪除。同時(shí)，我們還應(yīng)該加強(qiáng)郵件監(jiān)控系統(tǒng)，拒收垃圾郵件。對(duì)于郵件附件要先用防病毒軟件和專業(yè)清除木馬的工具進(jìn)行掃描后再使用。

2)不要隨意下載來歷不明的安裝軟件

現(xiàn)在大多數(shù)“木馬”都直接隱藏在安裝軟件中，同時(shí)出現(xiàn)在網(wǎng)頁的最顯眼處來引導(dǎo)用戶下載。所以用戶在下載必要軟件安裝時(shí)，最好用殺毒軟件查看有沒有病毒，之后才進(jìn)行安裝。

3)經(jīng)常升級(jí)系統(tǒng)及時(shí)修補(bǔ)漏洞和關(guān)閉可疑的端口

一般木馬都是通過漏洞在系統(tǒng)上打開端口留下后門，以便上傳木馬文件和執(zhí)行代碼。用戶在使用計(jì)算機(jī)時(shí)應(yīng)及時(shí)更新系統(tǒng)漏洞修補(bǔ)程序以防“木馬”病毒入侵。在把漏洞修補(bǔ)上的同時(shí)，也要及時(shí)對(duì)端口進(jìn)行檢查，把可疑的端口關(guān)閉。

4)盡量少用共享文件夾

如果必須使用共享文件夾，則最好設(shè)置賬號(hào)和密碼保護(hù)。注意千萬不要將系統(tǒng)目錄設(shè)置成共享，最好將系統(tǒng)下默認(rèn)共享的目錄關(guān)閉。

5)禁用Windows系統(tǒng)對(duì)移動(dòng)存儲(chǔ)設(shè)備的自動(dòng)播放功能

“木馬”病毒也會(huì)利用U盤傳播，例如有名的“機(jī)器狗木馬”就屬此類。如果U盤中含有此病毒時(shí)，如果直接雙擊打開U盤，就會(huì)激活病毒，從而感染進(jìn)電腦中。因此建議用戶通過組策略的方式禁用U盤的自動(dòng)播放功能。在使用U盤等移動(dòng)存儲(chǔ)設(shè)備時(shí)要先查殺病毒再使用。

6)運(yùn)行實(shí)時(shí)監(jiān)控程序及時(shí)更新病毒庫

用戶在上網(wǎng)時(shí)最好運(yùn)行反木馬實(shí)時(shí)監(jiān)控程序和個(gè)人防火墻，并定時(shí)對(duì)系統(tǒng)進(jìn)行病毒檢查，同時(shí)啟動(dòng)病毒庫實(shí)時(shí)升級(jí)程序及時(shí)更新病毒庫。

4 蠕蟲病毒特征及防治策略

4.1 蠕蟲病毒的特征

蠕蟲病毒的前綴是:Worm。這種病毒的公有特性是通過網(wǎng)絡(luò)或者系統(tǒng)漏洞進(jìn)行傳播，很大部分的蠕蟲病毒都有向外發(fā)送帶毒郵件，阻塞網(wǎng)絡(luò)的特性。蠕蟲病毒的破壞性很強(qiáng)，部分蠕蟲病毒不僅可以在因特網(wǎng)上興風(fēng)作浪，局域網(wǎng)也成了它們“施展身手”的舞臺(tái)――蠕蟲病毒可以潛伏在基于客戶機(jī)/服務(wù)機(jī)模式的局域網(wǎng)的服務(wù)機(jī)上的軟件內(nèi)，當(dāng)客戶機(jī)訪問服務(wù)機(jī)，并對(duì)有毒的軟件實(shí)施下載后，病毒就神不知、鬼不覺地從服務(wù)機(jī)上“拷貝”到客戶機(jī)上了。

大部分蠕蟲病毒通過腳本語言實(shí)現(xiàn)其復(fù)制能力、潛伏性、破壞性和觸發(fā)性，通過電子郵件實(shí)現(xiàn)其很強(qiáng)的傳播性。

4.2 蠕蟲病毒的防治策略

1)破解病毒的破壞力最強(qiáng)的功能模塊――病毒的破壞性。

網(wǎng)絡(luò)蠕蟲病毒不可能像傳統(tǒng)病毒一樣調(diào)用匯編程序來實(shí)現(xiàn)破壞功能。它只能通過調(diào)用已經(jīng)編譯好的帶有破壞性的程序來實(shí)現(xiàn)這一功能。那么我們就把本地的帶有破壞性的程序改名字，比如把format.com改成fmt.com，那樣病毒的編輯者就無發(fā)實(shí)現(xiàn)用調(diào)用本地命令來實(shí)現(xiàn)這一功能。

2)破解病毒的潛伏性及觸發(fā)性功能模塊。

蠕蟲病毒是通過死循環(huán)語句完成的，且一開機(jī)就運(yùn)行這程序，等待觸發(fā)條件。用Ctrl+Alt+Del彈出關(guān)閉程序?qū)υ捒蚍娇煽匆娨粋€(gè)叫Wscript.exe的程序在后臺(tái)運(yùn)行(那樣的程序不一定是病毒，但病毒也常常偽裝成那樣的程序)，我們?yōu)榱朔乐共《緦?duì)我們的機(jī)算機(jī)進(jìn)行破壞，我們不得不限制這類程序的運(yùn)行時(shí)間，以達(dá)到控制的效果。首先在“開始”菜單的“運(yùn)行”里輸入\"Wscript\"，然后會(huì)彈出一個(gè)窗體。單擊“經(jīng)過以下數(shù)秒終止腳本”前面的復(fù)選框，使復(fù)選框前面打起鉤，然后調(diào)整下方的時(shí)間設(shè)為最小值即可。這樣可以破解一部分這樣的病毒的潛伏，消除潛伏性自然觸發(fā)性就破解了。

3)破解病毒的自我復(fù)制能力功能模塊。

大多數(shù)利用VBscript編寫的病毒，自我復(fù)制的原理基本上是利用程序?qū)⒈旧淼哪_本內(nèi)容復(fù)制一份到一個(gè)臨時(shí)文件，然后再在傳播的環(huán)節(jié)將其作為附件發(fā)送出去。而該功能的實(shí)現(xiàn)離不開\"FileSystemObject\"對(duì)象，因此禁止了\"FileSystemObject\"就可以有效的控制VBS病毒的傳播。具體操作方法:用regsvr32 scrrun.dll /u這條命令就可以禁止文件系統(tǒng)對(duì)象。 破解完了以上四個(gè)功能模塊，第五個(gè)功能模塊傳播性自然就不攻自破了。

4)要徹底防治網(wǎng)絡(luò)蠕蟲病毒，還須設(shè)置一下你的瀏覽器。將Internet選項(xiàng)中，\"安全設(shè)置\"中所有ActiveX插件和控件以及Java相關(guān)全部選擇“禁用”即可。

5 其它病毒特征及防治測流

5.1 BO黑洞病毒特征

BO病毒是通過電子郵件進(jìn)行傳播的，是一個(gè)基于Windows的遠(yuǎn)端控制軟件。它的工作原理是:首先把服務(wù)(Server)程序發(fā)給欲攻擊方，并且執(zhí)行它。攻擊者自己運(yùn)行客戶(Client)程序來控制欲攻擊方。當(dāng)用戶運(yùn)行了Boserve.exe之后，Windows的注冊(cè)表會(huì)被BO修改，

Boserve.exe被復(fù)制到System目錄下面，隨后原來的Boserve.exe文件會(huì)被刪除掉。以后每次啟動(dòng)Windows時(shí)，它都會(huì)根據(jù)注冊(cè)表自動(dòng)加載System目錄下面的Boserve.exe服務(wù)程序。此時(shí)表面上來看Windows沒有任何的變化，而實(shí)際上Boserve.exe服務(wù)程序正在悄悄地運(yùn)行，接受從網(wǎng)絡(luò)客戶端傳來的控制命令。

5.2 郵件病毒特征

“郵件病毒”其實(shí)和普通的電腦病毒一樣，只不過由于它們的傳播途徑主要是通過電子郵件，所以才被稱為“郵件病毒”?！班]件病毒”除了具備普通病毒可傳播性、可執(zhí)行性、破壞性、可觸發(fā)性特征之外，還具有感染速度快、擴(kuò)散面廣、清除病毒困難、破壞性大、隱蔽性好等特點(diǎn)。

5.3 宏病毒的特征

宏病毒是一種寄存在文檔或模板的宏中的計(jì)算機(jī)病毒，一旦打開這樣的文檔，其中的宏就會(huì)被執(zhí)行，于是宏病毒就會(huì)被激活，轉(zhuǎn)移到計(jì)算機(jī)上，并駐留在Normal模板上。從此以后，所有自動(dòng)保存的文檔都會(huì) “感染”上這種宏病毒，而且如果其他用戶打開了感染病毒的文檔，宏病毒又會(huì)轉(zhuǎn)移到他的計(jì)算機(jī)上。宏病毒具有傳播速度極快、制作、變種方便、破壞可能性極大、多平臺(tái)交叉感染。

5.4 常用的一些防治策略

1)不執(zhí)行來歷不明的程序。

2)收到不明郵件最好不要打開，或者在使用前使用最新殺毒軟件清除。

3)合理設(shè)置、定期更新殺毒軟件。

總之，計(jì)算機(jī)病毒及其防御措施都是在不停的發(fā)展和更新的，因此我們應(yīng)做到認(rèn)識(shí)病毒，了解病毒，及早發(fā)現(xiàn)病毒并采取相應(yīng)的措施，從而確保我們的計(jì)算機(jī)能安全工作。

參考文獻(xiàn):

[1] 葛秀慧.計(jì)算機(jī)網(wǎng)絡(luò)安全管理[M].北京:清華大學(xué)出版社，2006:213-219.

[2] 羅衛(wèi)敏.基于良性蠕蟲對(duì)抗P2P蠕蟲策略研究[J].計(jì)算機(jī)應(yīng)用研究，2009:24-28.

[3] 陳健偉.計(jì)算機(jī)病毒與反病毒技術(shù)的研究[J].電腦與電信，2006:31-33.

[4] 盧立蕾.Windows環(huán)境木馬進(jìn)程隱藏技術(shù)研究[J].信息網(wǎng)絡(luò)安全，2009:40-42.