计算机病毒及防治1

10.3 计算机病毒及防治

在目前网络十分普及的情况下，几乎所有的计算机用户都遇到过病毒的侵袭，以致影响学习、生活和工作。所以，即使是一个普通的用户，学会病毒的防治，也具有很重要的价值。

10.3.1什么是计算机病毒

“计算机病毒”为什么叫做病毒？首先，与医学上的“病毒”不同，它不是天然存在的，是某些人利用计算机软、硬件所固有的脆弱性，编制具有特殊功能的程序。其次，由于它与生物医学上的“病毒”同样有传染和破坏的特性，因此这一名词是由生物医学上的“病毒”概念引申而来。

在国内，专家和研究者对计算机病毒也做过许多不尽相同的定义。1994年2月18日，我国正式颁布实施了《中华人民共和国计算机信息系统安全保护条例》，在《条例》第二十八条中明确指出：“计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。”此定义具有法律性、权威性。

自从Internet盛行以来，含有Java和ActiveX技术的网页逐渐被广泛使用，一些别有用心的人于是利用Java和ActiveX的特性来撰写病毒。以Java病毒为例，Java病毒并不能破坏储存媒介上的资料，但若你使用浏览器来浏览含有Java病毒的网页，Java病毒就可以强迫你的Windows不断的开启新窗口，直到系统资源被耗尽，而你也只有重新启动。所以在Internet出现后，计算机病毒就应加入只要是对使用者造成不便的程序代码，就可以被归类为计算机病毒。

10.3.2　计算机病毒分类

计算机病毒有许多不同的种类，可以根据不同的准则来对病毒进行分类：

（1）根据病毒存在的媒体，病毒可以划分为网络病毒，文件病毒，引导型病毒。

（2）根据病毒传染的方法可分为驻留型病毒和非驻留型病毒。

（3）根据病毒破坏的能力可划分为无害型，无危险型，危险型，非常危险型。

（4）根据病毒特有的算法，病毒可以划分为伴随型病毒，“蠕虫”型病毒，寄生型病毒，练习型病毒，诡秘型病毒，变型病毒（又称幽灵病毒）。

下面介绍两个比较常见的名词：特洛伊木马和蠕虫

（1）特洛伊木马程序

正如其名称所暗示，一个特洛伊木马程序隐藏着编写者的某种企图而丝毫不为用户所知。特洛伊木马程序通常被用于进行破坏或者对某个系统进行恶意操作，但是表面上伪装成良性的程序，它们同样能对计算机造成严重损害。与一般病毒不同的是，特洛伊木马不对自身进行复制。

（2）蠕虫程序

蠕虫程序和病毒一样复制自身。但是，与病毒在文件之间进行传播不同，它们是从一台计算机传播到另一台计算机，从而感染整个系统。蠕虫程序比计算机病毒更加阴险，因为它们在计算机之间进行传播时很少依赖（或者完全不依赖）人的行为。计算机蠕虫程序是一种通过某种网络媒介——电子邮件，TCP/IP协议等——自身从一台计算机复制到其他计算机的程序。蠕虫程序倾向于在网络上感染尽可能多的计算机，而不是在一台计算上尽可能多地复制自身（像计算机病毒那样）。典型的蠕虫病毒只需感染目标系统（或运行其代码）一次；在最初的感染之后，蠕虫程序就会通过网络自动向其他计算机传播。

10.3.3 计算机病毒的发展过程

在计算机病毒的发展史上，病毒的出现是有规律的，一般情况下一种新的病毒技术出现后，病毒迅速发展，接着反病毒技术的发展会抑制其流传。操作系统进行升级时，病毒也会调整为新的方式，产生新的病毒技术。具体来说，计算机病毒的发展可分成以下几个阶段，这几个阶段并不是按严格的时间顺序的。

1. DOS引导阶段

1980年代中后期，计算机病毒主要是引导型病毒，具有代表性的是“小球”和“石头”病毒。

当时的计算机硬件较少，功能简单，一般需要通过软盘启动后使用。引导型病毒利用软盘的启动原理工作，它们修改系统启动扇区，在计算机启动时首先取得控制权，减少系统内存，修改磁盘读写中断，影响系统工作效率，在系统存取磁盘时进行传播。

1989年，引导型病毒发展为可以感染硬盘，典型的代表有“石头2”病毒。

2. DOS可执行阶段

1989年，可执行文件型病毒出现，它们利用DOS系统加载执行文件的机制工作，代表性的病毒有“耶路撒冷”，“星期天”等。病毒代码在系统执行文件时取得控制权，修改DOS中断，在系统调用时进行传染，并将自己附加在可执行文件中，使文件长度增加。

后来，可执行文件型病毒发展为复合型病毒，可感染COM和EXE文件。

3. 伴随、批次型阶段

伴随型病毒是利用DOS加载文件的优先顺序进行工作的。具有代表性的是“金蝉”病毒，它感染EXE文件时生成一个和EXE同名的扩展名为COM伴随体；它感染COM文件时，改为原来的COM文件为同名的EXE文件，在产生一个原名的伴随体，文件扩展名为COM。这样，在DOS加载文件时，病毒就取得控制权。这类病毒的特点是不改变原来的文件内容，日期及属性，解除病毒时只要将其伴随体删除即可。在非DOS操作系统中，一些伴随型病毒利用操作系统的描述语言进行工作，较典型的是“海盗旗”病毒，它在得到机会执行时，询问用户名称和口令，然后返回一个出错信息，将自身删除。批次型病毒是工作在DOS下的，和“海盗旗”病毒类似的一类病毒。

4. 幽灵、多形阶段

随着汇编语言的发展，实现同一功能可以用不同的方式进行完成，这些方式的组合使一段看似随机的代码产生相同的运算结果。幽灵病毒就是利用这个特点，每感染一次就产生不同的代码。例如，“一半”病毒就是产生一段有上亿种可能的解码运算程序，病毒体被隐藏在解码前的数据中，查解这类病毒就必须能对这段数据进行解码，加大了查毒的难度。多形型病毒是一种综合性病毒，它既能感染引导区又能感染程序区，多数具有解码算法，一种病毒往往要两段以上的子程序方能解除。

5. 生成器、变体机阶段

在汇编语言中，一些数据的运算放在不同的通用寄存器中，可运算出同样的结果，随机的插入一些空操作和无关指令，也不影响运算的结果，这样，一段解码算法就可以由生成器生成。当生成的是病毒时，这种复杂的称之为病毒生成器和变体机就产生了。具有典型代表的是“病毒制造机”VCL，它可以在瞬间制造出成千上万种不同的病毒，查解时就不能使用传统的特征识别法，需要在宏观上分析指令，解码后查解病毒。变体机就是增加解码复杂程度的指令生成机制。

6. 网络、蠕虫阶段

随着网络的普及，病毒开始利用网络进行传播，它们只是以上几代病毒的改进。在非DOS操作系统中，“蠕虫”是典型的代表，它不占用除内存以外的任何资源，不修改磁盘文件，利用网络功能搜索网络地址，将自身向下一地址进行传播，有时也在网络服务器和启动文件中存在。

7. Windows阶段

随着Windows操作系统的日益普及，利用Windows进行工作的病毒开始发展，它们修改系统文件，典型的代表是DS.3873，这类病毒的机制更为复杂，它们利用保护模式和API调用接口工作，解除方法也比较复杂。

8. 宏病毒阶段

随着Microsoft Word功能的增强，使用Word宏语言也可以编制病毒。这种病毒使用类Basic语言，编写容易，感染Word文档文件。在Excel和AmiPro出现的相同工作机制的病毒也归为此类。

9. 互联网阶段

随着因特网的发展，各种病毒也开始利用因特网进行传播，携带病毒的邮件越来越多，如果不小心打开了这些邮件，机器就有可能中毒。随着因特网上Java的普及，利用Java语言进行传播和资料获取的病毒开始出现，典型的代表是JavaSnake病毒。还有利用邮件服务器进行传播和破坏的病毒，例如Mail-Bomb病毒，它就严重影响因特网的效率。

10.3.4 几种计算机流行病毒介绍

在现今的网络时代，计算机病毒具有快速产生和流行的特点，每隔一段时间，都会有一些新的、危害能力更强的病毒出现。下面介绍的几种病毒是最近两、三年比较著名的病毒。

1. 红色代码病毒

“红色代码”病毒是一种新型网络病毒，其传播所使用的技术可以充分体现网络技术与病毒的巧妙结合，开创了网络病毒传播的新路，可称之为划时代的病毒。稍加改造，就是非常致命的病毒，可以完全取得所攻破计算机的所有权限。可以为所欲为，盗走机密数据，严重威胁网络安全。

该病毒采用了一种叫做“缓存区溢出”的黑客技术，通过微软公司IIS系统漏洞进行感染，它使IIS服务程序处理请求数据包时溢出，导致把此“数据包”当作代码运行，病毒驻留后再次通过此漏洞感染其它服务器。这个蠕虫病毒使用服务器的端口80进行传播，而这个端口正是Web服务器与浏览器进行信息交流的渠道。

与其它病毒不同的是，“红色代码”病毒并不将病毒信息写入被攻击服务器的硬盘。它只存在于内存，传染时不通过文件这一常规载体，而是借助这个服务器的网络连接攻击其它的服务器，直接从一台计算机内存传到另一台计算机内存。当本地IIS服务程序收到某个来自“红色代码”发送的请求数据包时，由于存在漏洞，导致处理函数的堆栈溢出。当函数返回时，原返回地址已被病毒数据包覆盖，程序运行线程跑到病毒数据包中，此时病毒被激活，并运行在IIS服务程序的堆栈中。

而“红色代码II”是“红色代码”的变种病毒，该病毒代码首先会判断内存中是否已注册了一个名为CodeRedII的Atom（系统用于对象识别），如果已存在此对象，表示此机器已被感染，病毒进入无限休眠状态；未感染则%