定義
《中華人民共和國計算機信息系統安全保護條例》明确定義,計算機病毒(Computer Virus)是指 “編制的或者在計算機程序中插入的破壞計算機功能或者破壞數據,影響計算機使用并且能夠自我複制的一組計算機指令或者程序代碼”。計算機病毒是一段特殊的計算機程序,可以在瞬間損壞系統文件,使系統陷入癱瘓,導緻數據丢失。病毒程序的目标任務就是破壞計算機信息系統程序、毀壞數據、強占系統資源、影響計算機的正常運行。在通常情況下,病毒程序并不是獨立存儲于計算機中的,而是依附(寄生)于其他的計算機程序或文件中,通過激活的方式運行病毒程序,對計算機系統産生破壞作用。
計算機病毒是一個程序,一段可執行碼 ,對計算機的正常使用進行破壞,使得電腦無法正常使用甚至整個操作系統或者電腦硬盤損壞。就像生物病毒一樣,計算機病毒有獨特的複制能力。計算機病毒可以很快地蔓延,又常常難以根除。它們能把自身附着在各種類型的文件上。當文件被複制或從一個用戶傳送到另一個用戶時,它們就随同文件一起蔓延開來。這種程序不是獨立存在的,它隐蔽在其他可執行的程序之中,既有破壞性,又有傳染性和潛伏性。輕則影響機器運行速度,使機器不能正常運行;重則使機器處于癱瘓,會給用戶帶來不可估量的損失。通常就把這種具有破壞作用的程序稱為計算機病毒。
除複制能力外,某些計算機病毒還有其它一些共同特性:一個被污染的程序能夠傳送病毒載體。當你看到病毒載體似乎僅僅表現在文字和圖像上時,它們可能也已毀壞了文件、再格式化了你的硬盤驅動或引發了其它類型的災害。若是病毒并不寄生于一個污染程序,它仍然能通過占據存貯空間給你帶來麻煩,并降低你的計算機的全部性能。
特點
計算機病毒具有以下幾個特點
(1) 寄生性
計算機病毒寄生在其他程序之中,當執行這個程序時,病毒就起破壞作用,而在未啟動這個程序之前,它是不易被人發覺的。
(2) 傳染性
計算機病毒不但本身具有破壞性,更有害的是具有傳染性,一旦病毒被複制或産生變種,其速度之快令人難以預防。
(3) 潛伏性
有些病毒像定時炸彈一樣,讓它什麼時間發作是預先設計好的。比如黑色星期五病毒,不到預定時間一點都覺察不出來,等到條件具備的時候一下子就爆炸開來,對系統進行破壞。
(4) 隐蔽性
計算機病毒具有很強的隐蔽性,有的可以通過病毒軟件檢查出來,有的根本就查不出來,有的時隐時現、變化無常,這類病毒處理起來通常很困難。
中毒症狀
計算機受到病毒感染後,會表現出不同的症狀,下邊把一些經常碰到的現象列出來,供用戶參考。
(1) 機器不能正常啟動
加電後機器根本不能啟動,或者可以啟動,但所需要的時間比原來的啟動時間變長了。有時會突然出現黑屏現象。
(2) 運行速度降低
如果發現在運行某個程序時,讀取數據的時間比原來長,存文件或調文件的時間都增加了,那就可能是由于病毒造成的。
(3) 磁盤空間迅速變小
由于病毒程序要進駐内存,而且又能繁殖,因此使内存空間變小甚至變為“0”,用戶什麼信息也進不去。
(4) 文件内容和長度有所改變
一個文件存入磁盤後,本來它的長度和其内容都不會改變,可是由于病毒的幹擾,文件長度可能改變,文件内容也可能出現亂碼。有時文件内容無法顯示或顯示後又消失了。
(5) 經常出現“死機”現象
正常的操作是不會造成死機現象的,即使是初學者,命令輸入不對也不會死機。如果機器經常死機,那可能是由于系統被病毒感染了。
(6) 外部設備工作異常
因為外部設備受系統的控制,如果機器中有病毒,外部設備在工作時可能會出現一些異常情況,出現一些用理論或經驗說不清道不明的現象。 以上僅列出一些比較常見的病毒表現形式,肯定還會遇到一些其他的特殊現象,這就需要由用戶自己判斷了。
傳播方式
計算機病毒的傳播方式主要包括以下幾種:
(1) 存儲介質。包括軟盤、硬盤、磁帶、移動U盤和光盤等。在這些存儲設備中,尤其以軟盤和移動U盤是使用最廣泛的移動設備,也是病毒傳染的主要途徑之一。
(2) 網絡。随着Internet技術的迅猛發展,Internet在給人們的工作和生活帶來極大方便的同時,也成為病毒滋生與傳播的溫床,當人們從Internet下載或浏覽各種資料的同時,病毒可能也就伴随這些有用的資料侵入用戶的計算機系統。
(3) 電子郵件。當電子郵件(email)成為人們日常生活和工作的重要工具後,電子郵件病毒無疑是病毒傳播的最佳方式,近幾年出現的危害性比較大的病毒幾乎全是通過電子郵件方式傳播。
類型
1、系統病毒
系統病毒的前綴為:Win32、PE、Win95、W32、W95等。這些病毒的一般公有的特性是可以感染windows操作系統的 *.exe 和 *.dll 文件,并通過這些文件進行傳播。如CIH病毒。
2、蠕蟲病毒
蠕蟲病毒的前綴是:Worm。這種病毒的公有特性是通過網絡或者系統漏洞進行傳播,很大部分的蠕蟲病毒都有向外發送帶毒郵件,阻塞網絡的特性。比如沖擊波(阻塞網絡),小郵差(發帶毒郵件) 等。
3、木馬病毒、黑客病毒
木馬病毒其前綴是:Trojan,黑客病毒前綴名一般為 Hack 。木馬病毒的公有特性是通過網絡或者系統漏洞進入用戶的系統并隐藏,然後向外界洩露用戶的信息,而黑客病毒則有一個可視的界面,能對用戶的電腦進行遠程控制。木馬、黑客病毒往往是成對出現的,即木馬病毒負責侵入用戶的電腦,而黑客病毒則會通過該木馬病毒來進行控制。現在這兩種類型都越來越趨向于整合了。一般的木馬如QQ消息尾巴木馬 Trojan.QQ3344 ,還有大家可能遇見比較多的針對網絡遊戲的木馬病毒如 Trojan.LMir.PSW.60 。這裡補充一點,病毒名中有PSW或者什麼PWD之類的一般都表示這個病毒有盜取密碼的功能(這些字母一般都為“密碼”的英文“password”的縮寫)一些黑客程序如:網絡枭雄(Hack.Nether.Client)等。
4、腳本病毒
腳本病毒的前綴是:Script。腳本病毒的公有特性是使用腳本語言編寫,通過網頁進行的傳播的病毒,如紅色代碼(Script.Redlof)——可不是我們的老大代碼兄哦 ^_^。腳本病毒還會有如下前綴:VBS、JS(表明是何種腳本編寫的),如歡樂時光(VBS.happytime)、十四日(Js.Fortnight.c.s)等。
5、宏病毒
其實宏病毒是也是腳本病毒的一種,由于它的特殊性,因此在這裡單獨算成一類。宏病毒的前綴是:Macro,第二前綴是:Word、Word97、Excel、Excel97(也許還有别的)其中之一。凡是隻感染WORD97及以前版本WORD文檔的病毒采用Word97做為第二前綴,格式是:Macro.Word97;凡是隻感染WORD97以後版本WORD文檔的病毒采用Word做為第二前綴,格式是:Macro.Word;凡是隻感染EXCEL97及以前版本EXCEL文檔的病毒采用Excel97做為第二前綴,格式是:Macro.Excel97;凡是隻感染EXCEL97以後版本EXCEL文檔的病毒采用Excel做為第二前綴,格式是:Macro.Excel,依此類推。該類病毒的公有特性是能感染OFFICE系列文檔,然後通過OFFICE通用模闆進行傳播,如:著名的美麗莎(Macro.Melissa)。
6、後門病毒
後門病毒的前綴是:Backdoor。該類病毒的公有特性是通過網絡傳播,給系統開後門,給用戶電腦帶來安全隐患。如54很多朋友遇到過的IRC後門Backdoor.IRCBot 。
7、病毒種植程序病毒
這類病毒的公有特性是運行時會從體内釋放出一個或幾個新的病毒到系統目錄下,由釋放出來的新病毒産生破壞。如:冰河播種者(Dropper.BingHe2.2C)、MSN射手(Dropper.Worm.Smibag)等。
8.破壞性程序病毒
破壞性程序病毒的前綴是:Harm。這類病毒的公有特性是本身具有好看的圖标來誘惑用戶點擊,當用戶點擊這類病毒時,病毒便會直接對用戶計算機産生破壞。如:格式化C盤(Harm.formatC.f)、殺手命令(Harm.Command.Killer)等。
9.玩笑病毒
玩笑病毒的前綴是:Joke。也稱惡作劇病毒。這類病毒的公有特性是本身具有好看的圖标來誘惑用戶點擊,當用戶點擊這類病毒時,病毒會做出各種破壞操作來吓唬用戶,其實病毒并沒有對用戶電腦進行任何破壞。如:女鬼(Joke.Girlghost)病毒。
10.捆綁機病毒
捆綁機病毒的前綴是:Binder。這類病毒的公有特性是病毒作者會使用特定的捆綁程序将病毒與一些應用程序如QQ、IE捆綁起來,表面上看是一個正常的文件,當用戶運行這些捆綁病毒時,會表面上運行這些應用程序,然後隐藏運行捆綁在一起的病毒,從而給用戶造成危害。如:捆綁QQ(Binder.QQPass.QQBin)、系統殺手(Binder.killsys)等。
分類
按照計算機病毒的特點及特性,計算機病毒的分類方法有許多種。因此,同一種病毒可能有多種不同的分法。最常見的分類方法是按照寄生方式和傳染途徑分類。計算機病毒按其寄生方式大緻可分為兩類,一是引導型病毒, 二是文件型病毒;混合型病毒集兩種病毒特性于一體。
引導型病毒會去改寫(即一般所說的“感染”)磁盤上的引導扇區(BOOT SECTOR)的内容, 軟盤或硬盤都有可能 感染病毒。再不然就是改寫硬盤上的分區表(FAT)。如果用已感染病毒的軟盤來啟動的話,則會感染硬盤。
文件型病毒主要以感染文件擴展名為 .COM、.EXE和,.OVL等可執行程序為主。它的安裝必須借助于病毒的載體程序,即要運行病毒的載體程序,方能把文件型病毒引人内存。已感染病毒的文件執行速度會減緩,甚至完全無法執行。有些文件遭感染後,一執行就會遭到删除。
混合型病毒綜合系統型和文件型病毒的特性,它的“性情”也就比系統型和文件型病毒更為“兇殘”。此種病毒透過這兩種方式來感染,更增加了病毒的傳染性以及存活率。不管以哪種方式傳染,隻要中毒就會經開機或執行程序而感染其他的磁盤或文件,此種病毒也是最難殺滅的。
宏病毒:随着微軟公司Word字處理軟件的廣泛使用和計算機網絡尤其是Internet的推廣普及,病毒家族又出現一種新成員, 這就是宏病毒。宏病毒是一種寄存于文檔或模闆的宏中的計算機病毒。一旦打開這樣的文檔,宏病毒就會被激活,轉移到計算機上,并駐留在Normal模闆上。從此以後,所有自動保存的文檔都會“感染”上這種宏病毒,而且如果其他用戶打開了感染病毒的文檔,宏病毒又會轉移到他的計算機上。據美國國家計算機安全協會統計,這位“後起之秀”已占目前全部病毒數量的80%以上。另外,宏病毒還可衍生出各種變形變種病毒,這種“父生子子生孫”的傳播方式實在讓許多系統防不勝防,這也使宏病毒成為威脅計算機系統的“第一殺手”。
1.按照病毒的破壞情況分類
(1) 良性病毒
良性病毒是指其不包含有立即對計算機系統産生直接破壞作用的代碼。這類病毒為了表現其存在,隻是不停地進行擴散,從一台計算機傳染到另一台,并不破壞計算機内的數據。
(2) 惡性計算機病毒
惡性病毒就是指在其代碼中包含有損傷和破壞計算機系統的操作,在其傳染或發作時會對系統産生直接的破壞作用。這類病毒是最多的。
2.按照計算機病毒攻擊的系統分類
(1)攻擊DOS系統的病毒。這類病毒出現最早。
(2)攻擊Windows系統的病毒。由于Windows的圖形用戶界面(GUI)和多任務操作系統深受用戶的歡迎,因此是病毒最多的一種。
(3)攻擊UNIX系統的病毒。當前,UNIX系統應用非常廣泛,并且許多大型的操作系統均采用UNIX作為其主要的操作系統,所以UNIX病毒的出現,對人類的信息處理也是一個嚴重的威脅。
(4)攻擊OS/2系統的病毒。
3.按照病毒的攻擊機型分類
(1)攻擊微型計算機的病毒。這是世界上傳染最為廣泛的一種病毒。
(2)攻擊小型機的計算機病毒。
(3)攻擊工作站的計算機病毒。
4.按照計算機病毒的鍊接方式分類
由于計算機病毒本身必須有一個攻擊對象以實現對計算機系統的攻擊,計算機病毒所攻擊的主要對象是計算機系統的可執行程序。
(1) 源碼型病毒。這種病毒攻擊高級語言編寫的程序,該病毒在高級語言所編寫的程序編譯前插入到源程序中,經編譯成為可執行程序的一部分。
(2) 嵌入型病毒。這種病毒是将自身嵌入到現有程序中,把計算機病毒的主體程序與其攻擊的對象以插入的方式鍊接。這種計算機病毒是難以編寫的,一旦侵入程序體後也較難消除。如果同時采用多态性病毒技術,超級病毒技術和隐蔽性病毒技術,将給當前的反病毒技術帶來嚴峻的挑戰。
(3) 外殼型病毒。外殼型病毒将其自身包圍在主程序的四周,對原來的程序不作修改。這種病毒最為常見,易于編寫,也易于發現,隻要測試文件的大小即可發現。
(4) 操作系統型病毒。這種病毒用它自已的程序加入或取代操作系統的部分模塊進行工作。它們在運行時,用自己的處理邏輯取代操作系統的部分原程序模塊,當被取代的操作系統模塊被調用時,病毒程序得以運行。操作系統型病毒具有很強的破壞力,可以導緻整個系統的癱瘓。
5.按照計算機病毒的寄生部位或傳染對象分類
根據寄生部位或傳染對象分類,可以分為以下幾種。
(1)磁盤引導區傳染的計算機病毒
磁盤引導區傳染的病毒主要是用病毒的全部或部分邏輯取代正常的引導記錄,而将正常的引導記錄隐藏在磁盤的其他地方。由于引導區是磁盤能正常使用的先決條件,因此,這種病毒在運行的一開始(如系統啟動)就能獲得控制權,其傳染性較大。
(2)操作系統傳染的計算機病毒
操作系統是一個計算機系統得以運行的支持環境,它包括.com、.exe等許多可執行程序及程序模塊。操作系統傳染的計算機病毒就是利用操作系統中所提供的一些程序及程序模塊寄生并傳染的。通常,這類病毒作為操作系統的一部分,隻要計算機開始工作,病毒就處在随時被觸發的狀态。而操作系統的開放性和不絕對完善性給這類病毒出現的可能性與傳染性提供了方便。操作系統傳染的病毒目前廣泛存在,“黑色星期五”即為此類病毒。
(3)可執行程序傳染的計算機病毒
可執行程序傳染的病毒通常寄生在可執行程序中,一旦程序被執行,病毒也就被激活,病毒程序首先被執行,并将自身駐留内存,然後設置觸發條件,進行傳染。
6.按照傳播媒介分類
按照計算機病毒的傳播媒介來分類,可分為單機病毒和網絡病毒。
(1) 單機病毒
單機病毒的載體是磁盤,常見的是病毒從軟盤或U盤傳入硬盤,感染系統,然後再傳染其他軟盤或U盤,再傳染其他系統。
(2) 網絡病毒
網絡病毒的傳播媒介不再是移動式載體,而是網絡通道,這種病毒的傳染能力更強,破壞力更大。
防治原則
“常在河邊走,哪能不濕腳”,交換文件,上網沖浪,收發郵件都有可能感染病毒。遵循以下原則,防患于未然。
一是建立正确的防毒觀念,學習有關病毒與反病毒知識。
二是不是随便下載網上的軟件。尤其是不要下載那些來自無名網站的免費軟件,因為這些軟件無法保證沒有被病毒感染。
三是不要使用盜版軟件。
四是不要随便使用别人的軟盤或光盤。盡量做到專機專盤專用。
五是使用新設備和新軟件之前要檢查。
六是使用反病毒軟件。及時升級反病毒軟件的病毒庫,開啟病毒實時監控。
七是有規律地制作備份。要養成備份重要文件的習慣。
八是制作一張無毒的系統軟盤。制作一張無毒的系統盤,将其寫保護,妥善保管,以便應急。
九是制作應急盤/急救盤/恢複盤。按照反病毒軟件的要求制作應急盤/急救盤/恢複盤,以便恢複系統急用。在應急盤/急救盤/恢複盤上存儲有關系統的重要信息數據,如硬盤主引導區信息、引導區信息、CMOS的設備信息等以及DOS系統的COMMAND.COM和兩個隐含文件。
十是一般不要用軟盤啟動。如果計算機能從硬盤啟動,就不要用軟盤啟動,因為這是造成硬盤引導區感染病毒的主要原因。
十一是注意計算機有沒有異常症狀。
十二是發現可疑情況及時通報以獲取幫助。
十三是重建硬盤分區,減少損失。若硬盤資料已經遭到破壞,不必急着格式化,因病毒不可能在短時間内将全部硬盤資料破壞,故可利用“災後重建”程序加以分析和重建。
防治技術
1.病毒防治策略
要采用預防為主,管理為主,清殺為輔的防治策略。
(1) 不使用來曆不明的移動存儲設備(如軟盤、光盤、優盤等),不浏覽一些格調不高的網站、不閱讀來曆不明的郵件。
(2) 系統備份。要經常備份系統,防止萬一被病毒侵害後導緻系統崩潰。
(3) 安裝防病毒軟件。
(4) 經常查毒、殺毒。
2.殺毒軟件
如國外的有Norton系列等,國内有瑞星、公安部的KILL、超級巡警KV3000、金山毒霸等等,其技術在不斷更新,版本在不斷升級。
殺毒軟件一般由查毒、殺毒及病毒防火牆三部分組成。
(1)查毒過程。反病毒軟件對計算機中的所有存儲介質進行掃描,若遇某文件中某一部分代碼與查毒軟件中的某個病毒特征值相同時,就向用戶報告發現了某病毒。
由于新的病毒還在不斷出現,為保證反病毒程序能不斷認識這些新的病毒程序,反病毒軟件供應商會及時收集世界上出現的各種病毒,并建立新的病毒特征庫向用戶發布,用戶下載這種病毒特征庫才有可能抵禦網絡上層出不窮的病毒的侵襲。
(2)殺毒過程。在設計殺毒軟件時,按病毒感染文件的相反順序寫一個程序,以清除感染病毒,恢複文件原樣。
(3)病毒防火牆。當外部進程企圖訪問防火牆所防護的計算機時,或者直接阻止這樣的操作,或者詢問用戶并等待用戶命令。
當然,殺毒軟件具有被動性,一般需要先有病毒及其樣品才能研制查殺該病毒的程序,不能查殺未知病毒,有些軟件聲稱可以查殺新的病毒,其實也隻能查殺一些已知病毒的變種,而不能查殺一種全新的病毒。迄今為止還沒有哪種反病毒軟件能查殺現存的所有病毒,更無須說新的病毒。
3.網絡病毒的防治
(1)基于工作站的防治技術。工作站就像是計算機網絡的大門,隻有把好這道大門,才能有效防止病毒的侵入。工作站防治病毒的方法有三種:一是軟件防治,即定期不定期地用反病毒軟件檢測工作站的病毒感染情況。軟件防治可以不斷提高防治能力。二是在工作站上插防病毒卡。防病毒卡可以達到實時檢測的目的。三是在網絡接口卡上安裝防病毒芯片。它将工作站存取控制與病毒防護合二為一,可以更加實時有效地保護工作站及通向服務器的橋梁。實際應用中應根據網絡的規模、數據傳輸負荷等具體情況确定使用哪一種方法。
(2)基于服務器的防治技術。網絡服務器是計算機網絡的中心,是網絡的支柱。網絡癱瘓的一個重要标志就是網絡服務器癱瘓。目前基于服務器的防治病毒的方法大都采用防病毒可裝載模塊,以提供實時掃描病毒的能力。有時也結合在服務器上安裝防毒卡的技術,目的在于保護服務器不受病毒的攻擊,從而切斷病毒進一步傳播的途徑。
(3)加強計算機網絡的管理。計算機網絡病毒的防治,單純依靠技術手段是不可能十分有效地杜絕和防止其蔓延的,隻有把技術手段和管理機制緊密結合起來,提高人們的防範意識,才有可能從根本上保護網絡系統的安全運行。首先應從硬件設備及軟件系統的使用、維護、管理、服務等各個環節制定出嚴格的規章制度,對網絡系統的管理員及用戶加強法制教育和職業道德教育,規範工作程序和操作規程,嚴懲從事非法活動的集體和個人。其次,應有專人負責具體事務,及時檢查系統中出現病毒的症狀,在網絡工作站上經常做好病毒檢測的工作。
網絡病毒防治最重要的是:應制定嚴格的管理制度和網絡使用制度,提高自身的防毒意識;應跟蹤網絡病毒防治技術的發展,盡可能采用行之有效的新技術、新手段,建立“防殺結合、以防為主、以殺為輔、軟硬互補、标本兼治”的最佳網絡病毒安全模式。
