計算機木馬病毒的普遍特征及其解決方案

王永麗

摘 要：本文介紹了計算機病毒的發展歷史，感染用戶計算機的的方式。針對目前流行的木馬病毒，介紹了其普遍特征，并以“COOL-GAMESETUP病毒為例，描述了主要特點和完整解決方案。闡述了計算機用戶針對病毒做好防范的重要性和具體方法。

關鍵詞：COOL—GAMESETUP； 計算機病毒 ；系統注冊表；可執行文件

隨著計算機科學技術的高速發展，計算機系統功能日漸復雜，對社會及人們的生活產生了巨大的影響，由于計算機用戶對病毒了解知識層次高低不同，病毒本身的復雜和隱蔽性，加上現在大部分計算機都連結在網絡中，都存在著自然和人為等諸多因素的潛在威脅，病毒擴散、各種計算機病毒層出不窮，計算機病毒造成的安全問題越來越嚴峻。因此，如何提高計算機用戶的防御病毒能力，增強安全意識，已成為當前急需解決的問題。否則計算機病毒會大面積傳播，給企業及個人的財產、隱私造成極大損失。

從1986年美國學生弗里德一科恩以測試計算機安全為目的編寫首個電腦病毒以來，目前世界上約有6萬多種電腦病毒，它們已經從最初給用戶帶來小麻煩發展到嚴重威脅電腦和網絡的安全。隨著用戶操作系統、使用軟件的更新換代，計算機病毒的發展也經歷了從簡單到復雜的過程。從計算機病毒的發展過程，可以將計算機病毒分為以下幾個階段：

1、DOS時期命令行用戶界面下的病毒

DOS時期的計算機病毒主要是引導型病毒和文件感染病毒。DOS病毒出現在早期，當時計算機功能比較單一，DOS引導病毒利用軟盤等移動介質啟動計算機時插入，破壞計算機分區表信息、修改系統自動扇區等，導致系統無法啟動。文件感染型病毒一般感染exe、com、bat等文件，導致文件無法正常運行。現在絕大多數用戶使用的是Windows操作系統。DOS病毒已經成為歷史，現在基本已經無法對用戶計算機造成損害了。

2、Windows可視化界面下的病毒

隨著Windows可視化操作系統的出現和普及，計算機病毒也隨即發展到一個新階段，此階段的病毒可分為Office文檔類宏病毒、文件類PE病毒。宏病毒是專門針對微軟MS Office軟件的一種病毒，它由MS Office的宏語言編寫，只感染MS Office文檔，其中以MSWord文檔為主。用戶在打開含有宏病毒的Office文檔后，宏病毒就會自動運行，使計算機中病毒。PE是windows32位系統的一種文件格式，能感染這種文件的病毒都叫PE病毒。PE病毒較以往病毒更加復雜，往往調用Windows系統API函數接口，解決方法也比較復雜。此外，Linux也是操作系統之一，但其桌面易用性不為大多數用戶所接受，Linux環境下的病毒也比較少，此處就不做敘述。

3、網絡環境下的病毒

在Internet大面積普及的今天，大部分計算機都已經成為了網絡世界中的一個節點。網絡的流行使得人們交換信息變得更加便捷，同時也給計算機病毒的傳播提供了更多的途徑。網絡環境下的病毒主要傳播途徑有網絡郵件、WEB頁面傳播和局域網內傳播。不明身份者發來的郵件，不明下載點的軟件都有可能成為病毒的載體。病毒往往偽裝成郵件附件，文件名含以計算機中常用文件后綴名，加以各類命名誘使使用者打開 WEB頁面中藏有JS、VBS等惡意代碼，使用者一打開該網頁，代碼立即運行，使使用者計算機病毒。局域網也是病毒傳播的溫床，公司網絡中一旦一臺機器中毒，馬上蔓延到局域網中其他機器。網絡病毒種類繁多，主要以蠕蟲類病毒和木馬類病毒為主。蠕蟲類病毒善于復制自身，能迅速感染到網絡類所有計算機，利用操作系統的漏洞等，容易突然爆發，大面積波及。木馬類病毒主要插種在軟件中，容易導致計算機用戶私人隱私外泄，造成個人網絡賬號、密碼、網銀賬戶等的財產損失。

計算機木馬病毒在網絡條件下傳播速度尤其快，一般會導致用戶感染后無法使用注冊表編輯器、無法查看隱藏文件，無法格式化硬盤，分區格式化也不能操作，無法進入安全模式進行病毒查殺。以“COOL—GAMESETUP”病毒為例，它是一個熊貓燒香的變種，容易偽裝成應用程序的圖標來迷惑用戶，它會下載其他病毒并執行，使得計算機內所有可執行文件（.exe）無法運行，用戶計算機感染該病毒后具有以下特征：

后具有以下特征：

（1）病毒會刪除安全軟件的開機啟動項目和服務項目

（2）每1秒添加自己的啟動項，并將文件隱藏顯示注冊表鍵值破壞。

（3）每隔6秒在每個驅動器下（A和B驅動器除外），刪除所在的autorun.inf文件或文件夾，并創建autorun.inf和對應的（空格）.exe文件。

（4）每隔6秒停止部分安全軟件服務，刪除部分安全軟件的服務和開機自啟動項目。

（5）每10秒關閉程序進程。～Navp.exe、rav.exe、rsagent.exe、ravmon.exe、raymond.exe、ravstub.exe、ravtask.exe、ccenter.exe、360tray.exe、360safe.exe等，被關閉的進程大部分為卡巴斯基、瑞星、360安全衛士等防病毒或木馬軟件進程。

（6）每3O分鐘會檢測用戶是否聯網，從指定網站下載一次木馬。

（7）病毒會感染擴展名為exe、pf、com、sic的文件，把自己附加到文件的頭部，并在擴展名為htm、html、asp、php、Jsp、aspx的文件中添加一網址，用戶一旦打開了該文件，IE就會不斷的在后臺點擊寫入的網址，達到增加點擊量的目的。且該網頁有漏洞，新變種的病毒會被下載并運行。

（8）感染后會在感染目錄下創建Desktop～.ini文件，其內寫入當前系統時間，減緩計算機運行速度。針對木馬病毒的特征和發作嚴重程度，可執行以下解決方案：

（1）拔掉計算機的網線，斷開網絡連接。將計算機的共享目錄設置密碼或者取消網絡用戶的寫權限。

（2）如計算機已經無法進入安全模式，即進入安全模式就藍屏，使用U盤啟動盤或光盤啟動盤啟動，進行純DOS方式下查殺病毒。另外一種方式是直接使用安裝盤進行重新安裝或者純凈的Ghcst鏡像進行恢復。

（3）純DOS方式查殺病毒結束或重新安裝結束后，進入Win—dows界面。對于“COOL—GAMEsETuP”病毒，需要制作一個bat文件進行運行，

當今的計算機病毒具有相當的隱蔽性，令用戶防不勝防。計算機使用者應該從以下幾個方面來進行計算機病毒的防范：

1、注意本機操作系統的補丁升級，養成良好習慣，每周堅持上網到微軟公司網站更新一次系統補丁。同時安裝正版的殺毒軟件，保證殺毒軟件病毒庫的更新。完整安裝網上銀行保護的網盾、網上交易支付寶類的安全插件，保證自己帳號的安全。

2、提高安全意識，不要使用來路不明的U盤、軟盤等卡移動存儲媒體。當使用他人的這些存儲介質時，要先進行病毒查殺。對不知底細的應用程序，不要輕易運行。

3、在聯網環境下，不要從任何不可靠的渠道下載任何軟件；不要隨便共享文件；不要隨意打開郵件附件，如果想打開的話，那在打開之前先用殺毒軟件查殺一下。

殺毒軟件并不是萬能的，最主要的是計算機用戶養成良好的使用習慣，這樣，才能真正做到計算機病毒的防范。

隨著計算機和網絡技術的不斷發展，計算機病毒還將會長期存在，如何做好計算機病毒的防治，是一個永恒的課題。計算機用戶只有提高自身的計算機水平，培養規范的操作方法，才能從根本上防范病毒的入侵。