[摘要]随着互联网络技术的发展,计算机病毒困扰着越来越多的用户。文章从传统病毒、蠕虫病毒、特洛伊木马等三个类别对计算机病毒进行阐述,并提出病毒的防范措施。
[关键词]计算机病毒;蠕虫;木马
[作者简介]袁亮,石河子大学商学院商务信息系助教,研究方向:计算机基础、电子商务,新疆五家渠。831300
[中图分类号]TP309.5 [文献标识码]A [文章编号]1007-7723(2008)05-0059-0002
《中华人民共和国计算机信息系统安全保护条例》将计算机病毒定义为:“计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并且能够自我复制的一组计算机指令或者程序代码。”计算机病毒是一种“计算机程序”,它不仅能够破坏计算机系统,而且还能够传播、感染其他系统。通常隐藏在其他看起来无害的程序中,能够生成自生的拷贝并且插入到其他的程序中,执行恶意的操作。
一、计算机病毒的分类
计算机病毒一般有三大类:传统病毒、蠕虫病毒、特洛伊木马。
传统病毒,前缀为:Win32、W32、Script、Macro、Harm、Binder等。按寄生对象分为引导型、文件型和混合型3种。这种病毒的特点是:当系统引导时装入内存,在计算机运行过程中,能够捕获到CPU的控制权,在得到CPU的控制权时进行病毒传播,并在特定条件下发作。攻击的主要目标是系统的.COM、.EXE等可执行文件。感染上这种病毒的可执行文件一旦运行,首先执行病毒程序,达到不断复制的目的。由于它的不断复制,使计算机工作效率大大降低,最终造成死机。
蠕虫病毒,前缀是Worm。蠕虫是一种可以进行自身复制的病毒程序,通过网络或者系统漏洞传播,很大部分的蠕虫病毒都有向外发送带毒邮件、阻塞网络通信的特性,如“冲击波”病毒。“蠕虫”程序常驻于一台或多台机器中,有自动重新定位的能力,如果检测到网络中的某台机器未被占用,就把自身的一个拷贝发送给该台机器。
特洛伊木马,前缀是Trojan。木马病毒是一个非自身复制的恶意代码,可以作为电子邮件附件传播,或者隐藏在用户与用户进行交流的文档和其他文件中。它们还可以被其他恶意代码所携带,如蠕虫。木马病毒有时也会隐藏在从互联网上下载的免费软件中。其公有特性是通过网络或者系统漏洞进入用户的系统并隐藏,然后向外界泄露用户的信息,运行模式属于客户/服务器模式。通常所说的木马病毒属于服务端程序,一旦计算机执行这段程序,它就变成一个受客户端控制的服务器。木马常被黑客用来作为非法窃取用户信息以及使用网络资源的工具,黑客病毒前缀名一般为Hack。木马、黑客病毒往往是成对出现的,即木马病毒负责侵入用户的电脑,而黑客病毒则会通过该木马病毒来进行控制。
二、新形势下计算机病毒的发展
随着计算机网络技术的发展,计算机病毒呈现网络化、多元化、混合化的趋势。早期的计算机病毒结构相对简单,只要在它们发作了以后,我们便可以从这个病毒程序中采集一段独一无二的、但又足以表达该病毒的二进制代码,即病毒的特征码,是区分病毒代码与其他文件或数据的一段特殊的字节。我们只要及时提取出病毒的特征码加入反病毒软件数据库中,以后扫描程序文件时,与特征码加以对应,便能侦测出病毒。然而,这一切都必须建立在对该种病毒了如指掌和可预测其发展的前提下。
1992年,我国首次发现了第一例变形病毒,病毒名字为“Doctor”。该病毒可以变换自己的代码,使我们无法准确采集特征码。早期的反病毒技术主要基于对病毒特征码的侦测,属于静态式病毒扫描法。变形病毒这一新型病毒的出现,使得其在每感染一个对象时,放入宿主程序的代码互不相同,不断变化,几乎没有稳定代码,并采用随机方法对病毒主体进行加密。因而,所有采用特征代码法的检测工具都不能识别它们。同时计算机病毒开始走向混合化,出现综合多种病毒特性的新病毒,如“帕虫”、“威金蠕虫变种BO”、“熊猫烧香”、“ANI蠕虫”等病毒,既可以通过网络漏洞传播“蠕虫”,又可以感染各种计算机文件。在破坏掉计算机反病毒软件后,每个磁盘分区或U盘建立病毒自动运行程序,修改注册表,使得用户很难手工清除病毒;通过病毒下载器从互联网疯狂下载多个木马、QQ尾巴等安装在中毒电脑中,窃取用户的网络游戏密码,严重时造成系统完全崩溃;在中毒机器的网页文件中加入恶意代码,其他用户访问该文件就会中毒。如果服务器正编辑使用这些文件,就会让服务网站中毒,导致浏览网站的用户中毒,最终可造成全网运行不正常,甚至网络堵塞。
目前,我国的杀毒软件还处于一查二杀的被动阶段,针对新型病毒的出现缺乏积极的应对措施,反病毒工作基本处于手工作坊模式,仅凭个人卓越的编程能力,缺少集体合作、系统化、协调工作的思路。国际上反病毒技术虽然得到了很大发展,特别是随着启发式扫描和虚拟机技术的应用,清除未知病毒成为可能。但是,这两种技术发展还很不成熟,特别是在人工智能技术还没有取得关键突破时,要想最终实现这两种技术还很困难。另外,计算机感染病毒后会破坏数据,即使修复也会造成一定的损失。因此在国内反病毒能力还不成气候,反病毒软件对付新型病毒还缺乏有效手段的情况下,如何防范计算机病毒显得尤为重要。
三、计算机病毒的防范措施
首先,“ODay漏洞”是Windows用户和微软都无法回避也防不胜防的问题,很多常用的软件也都存在漏洞。这些漏洞本质上是软件设计时的缺陷和错误,某些漏洞可以让攻击者很容易进入到你的系统,如“冲击波”、“震荡波”等病毒。针对已发现的各种安全漏洞,可以通过打补丁的方式来修复。因此,用户要密切关注最新的动态,及时对操作系统和所使用的系统软件进行升级。对于Window用户,尽量将磁盘分成两个以上区,其中c区专用来安装操作系统和存放系统文件,并在刚安装好新系统时,立即到微软官方网站进行补丁升级,按照提示,多次进行Update操作,直到微软官方网站提示没有更新为止;用户所使用的系统软件安装在另外一个区,这样系统受破坏恢复时不会影响用户的个人数据。为了避免下一次重装系统时繁琐的安装、补丁升级过程,可以对新安装好的系统进行备份,如Ghost软件,当升级完所有补丁后断开网络,安装一些常用的系统软件,并确认新系统没有任何异常,没有感染计算机病毒就可以对系统进行备份,下一次需要重新安装系统时,直接恢复备份系统。
其次,在做好上面的准备工作基础上,再安装个人网络防火墙和杀毒软件,计算机基本不会受到恶意攻击。如360安全卫士和卡巴斯基的组合。360可以查杀木马,并提供系统补丁修复连接,同时对恶意小软件进行管理;卡巴斯基可以免费使用半年,可以很好查杀已知病毒和未知病毒。对于杀毒软件免费用户来说,也可以使用瑞星、江民、金山等国产软件来代替卡巴斯基,但不可以多款杀毒软件共同使用。多款杀毒软件同时使用,非但不能增强计算机杀毒能力,反而会影响计算机运行性能,甚至增加杀毒软件的误报率。对于木马的防治,还可以安装木马专杀工具,如AVG An-ti-Spyware软件。
对于局域网络,尽可能选择三层路由结构,可以阻挡一部分利用广播或冲突形式传输的病毒。在网络配置上,采用ACL访问控制列表来阻塞部分已知病毒;封锁部分木马、蠕虫常用攻击端口,如445,1434,4444;采用QOS网络质量来限制病毒数据包在网络中传输的优先级、数量和大小等。
再次,警惕恶意小软件,最好做到禁止安装。恶意小软件虽然能够给用户使用网络带来便利,但也可能造成电脑运行变慢、浏览器异常等。如3721上网助手、雅虎助手、搜狐工具栏等。多数恶意小软件具有以下特征:强迫性安装,不经用户许可自动安装;不给出明显提示,欺骗用户安装;反复提示用户安装,使用户不胜其烦而不得不安装;正常手段无法卸载或无法完全卸载;频繁弹出广告窗口,干扰正常使用。与病毒或者蠕虫不同,这些小软件很多不是小团体或者个人秘密地编写和散播,反而有很多知名企业和团体涉嫌此类软件。恶意小软件具备部分病毒和黑客特征,属于正常软件和病毒之间的灰色地带,杀毒软件一般不作处理,因此我们要提高自己的计算机安全常识,做到不安装、不使用恶意小软件。