| | | 計算機軟件中故意設計來破壞正常程序的程序。也叫電腦病毒。 | | 一、計算機病毒(computer virus)在《中華人民共和國計算機信息係統安全保護條例》中被明確定義,病毒“指編製或者在計算機程序中插入的破壞計算機功能或者破壞數據,影響計算機使用並且能夠自我復製的一組計算機指令或者程序代碼”。
二、計算機病毒的長期性:病毒往往會利用計算機操作係統的弱點進行傳播,提高係統的安全性是防病毒的一個重要方面,但完美的係統是不存在的,過於強調提高係統的安全性將使係統多數時間用於病毒檢查,係統失去了可用性、實用性和易用性,另一方面,信息保密的要求讓人們在泄密和抓住病毒之間無法選擇。病毒與反病毒將作為一種技術對抗長期存在,兩種技術都將隨計算機技術的發展而得到長期的發展。
三、計算機病毒的産生:病毒不是來源於突發或偶然的原因.一次突發的停電和偶然的錯誤,會在計算機的磁盤和內存中産生一些亂碼和隨機指令,但這些代碼是無序和混亂的,病毒則是一種比較完美的,精巧嚴謹的代碼,按照嚴格的秩序組織起來,與所在的係統網絡環境相適應和配合起來,病毒不會通過偶然形成,並且需要有一定的長度,這個基本的長度從概率上來講是不可能通過隨機代碼産生的。現在流行的病毒是由人為故意編寫的,多數病毒可以找到作者和産地信息,從大量的統計分析來看,病毒作者主要情況和目的是:一些天才的程序員為了表現自己和證明自己的能力,處於對上司的不滿,為了好奇,為了報復,為了祝賀和求愛,為了得到控製口令,為了軟件拿不到報酬預留的陷阱等.當然也有因政治,軍事,宗教,民族.專利等方面的需求而專門編寫的,其中也包括一些病毒研究機構和黑客的測試病毒.
四、計算機病毒的特點,計算機病毒具有以下幾個特點:
(1) 寄生性 計算機病毒寄生在其他程序之中,當執行這個程序時,病毒就起破壞作用,而在未啓動這個程序之前,它是不易被人發覺的。
(2) 傳染性 計算機病毒不但本身具有破壞性,更有害的是具有傳染性,一旦病毒被復製或産生變種,其速度之快令人難以預防。傳染性是病毒的基本特徵。在生物界,病毒通過傳染從一個生物體擴散到另一個生物體。在適當的條件下,它可得到大量繁殖,井使被感染的生物體表現出病癥甚至死亡。同樣,計算機病毒也會通過各種渠道從已被感染的計算機擴散到未被感染的計算機,在某些情況下造成被感染的計算機工作失常甚至癱瘓。與生物病毒不同的是,計算機病毒是一段人為編製的計算機程序代碼,這段程序代碼一旦進入計算機井得以執行,它就會搜尋其他符合其傳染條件的程序或存儲介質,確定目標後再將自身代碼插入其中,達到自我繁殖的目的。衹要一臺計算機染毒,如不及時處理,那麽病毒會在這臺機子上迅速擴散,其中的大量文件(一般是可執行文件)會被感染。而被感染的文件又成了新的傳染源,再與其他機器進行數據交換或通過網絡接觸,病毒會繼續進行傳染。 正常的計算機程序一般是不會將自身的代碼強行連接到其他程序之上的。而病毒卻能使自身的代碼強行傳染到一切符合其傳染條件的未受到傳染的程序之上。計算機病毒可通過各種可能的渠道,如軟盤、計算機網絡去傳染其他的計算機。當您在一臺機器上發現了病毒時,往往曾在這臺計算機上用過的軟盤已感染上了病毒,而與這臺機器相聯網的其他計算機也許也被該病毒染上了。是否具有傳染性是判別一個程序是否為計算機病毒的最重要條件。 病毒程序通過修改磁盤扇區信息或文件內容並把自身嵌入到其中的方法達到病毒的傳染和擴散。被嵌入的程序叫做宿主程序;
(3) 潛伏性 有些病毒像定時炸彈一樣,讓它什麽時間發作是預先設計好的。比如黑色星期五病毒,不到預定時間一點都覺察不出來,等到條件具備的時候一下子就爆炸開來,對係統進行破壞。一個編製精巧的計算機病毒程序,進入係統之後一般不會馬上發作,可以在幾周或者幾個月內甚至幾年內隱藏在合法文件中,對其他係統進行傳染,而不被人發現,潛伏性愈好,其在係統中的存在時間就會愈長,病毒的傳染範圍就會愈大。 潛伏性的第一種表現是指,病毒程序不用專用檢測程序是檢查不出來的,因此病毒可以靜靜地躲在磁盤或磁帶裏呆上幾天,甚至幾年,一旦時機成熟,得到運行機會,就又要四處繁殖、擴散,繼續為害。潛伏性的第二種表現是指,計算機病毒的內部往往有一種觸發機製,不滿足觸發條件時,計算機病毒除了傳染外不做什麽破壞。觸發條件一旦得到滿足,有的在屏幕上顯示信息、圖形或特殊標識,有的則執行破壞係統的操作,如格式化磁盤、刪除磁盤文件、對數據文件做加密、封鎖鍵盤以及使係統死鎖等;
(4) 隱蔽性 計算機病毒具有很強的隱蔽性,有的可以通過病毒軟件檢查出來,有的根本就查不出來,有的時隱時現、變化無常,這類病毒處理起來通常很睏難。
(5)破壞性 計算機中毒後,可能會導致正常的程序無法運行,把計算機內的文件刪除或受到不同程度的損壞 ;
(6)計算機病毒的可觸發性 病毒因某個事件或數值的出現,誘使病毒實施感染或進行攻擊的特性稱為可觸發性。為了隱蔽自己,病毒必須潛伏,少做動作。如果完全不動,一直潛伏的話,病毒既不能感染也不能進行破壞,便失去了殺傷力。病毒既要隱蔽又要維持殺傷力,它必須具有可觸發性。病毒的觸發機製就是用來控製感染和破壞動作的頻率的。病毒具有預定的觸發條件,這些條件可能是時間、日期、文件類型或某些特定數據等。病毒運行時,觸發機製檢查預定條件是否滿足,如果滿足,啓動感染或破壞動作,使病毒進行感染或攻擊;如果不滿足,使病毒繼續潛伏。
五、計算機病毒分類,根據多年對計算機病毒的研究,按照科學的、係統的、嚴密的方法,計算機病毒可分類如下:按照計算機病毒屬性的方法進行分類,計算機病毒可以根據下面的屬性進行分類:
按照計算機病毒存在的媒體進行分類根據病毒存在的媒體,病毒可以劃分為網絡病毒,文件病毒,引導型病毒。網絡病毒通過計算機網絡傳播感染網絡中的可執行文件,文件病毒感染計算機中的文件(如:com,exe,doc等),引導型病毒感染啓動扇區(boot)和硬盤的係統引導扇區(mbr),還有這三種情況的混合型,例如:多型病毒(文件和引導型)感染文件和引導扇區兩種目標,這樣的病毒通常都具有復雜的算法,它們使用非常規的辦法侵入係統,同時使用了加密和變形算法。 按照計算機病毒傳染的方法進行分類根據病毒傳染的方法可分為駐留型病毒和非駐留型病毒,駐留型病毒感染計算機後,把自身的內存駐留部分放在內存(ram)中,這一部分程序挂接係統調用並合併到操作係統中去,他處於激活狀態,一直到關機或重新啓動.非駐留型病毒在得到機會激活時並不感染計算機內存,一些病毒在內存中留有小部分,但是並不通過這一部分進行傳染,這類病毒也被劃分為非駐留型病毒。 根據病毒破壞的能力可劃分為以下幾種:
無害型
除了傳染時減少磁盤的可用空間外,對係統沒有其它影響。
無危險型
這類病毒僅僅是減少內存、顯示圖像、發出聲音及同類音響。危險型,這類病毒在計算機係統操作中造成嚴重的錯誤。
非常危險型
這類病毒刪除程序、破壞數據、清除係統內存區和操作係統中重要的信息。這些病毒對係統造成的危害,並不是本身的算法中存在危險的調用,而是當它們傳染時會引起無法預料的和災難性的破壞。由病毒引起其它的程序産生的錯誤也會破壞文件和扇區,這些病毒也按照他們引起的破壞能力劃分。一些現在的無害型病毒也可能會對新版的dos、windows和其它操作係統造成破壞。例如:在早期的病毒中,有一個“denzuk”病毒在360k磁盤上很好的工作,不會造成任何破壞,但是在後來的高密度軟盤上卻能引起大量的數據丟失。根據病毒特有的算法,病毒可以劃分為:
伴隨型病毒,這一類病毒並不改變文件本身,它們根據算法産生exe文件的伴隨體,具有同樣的名字和不同的擴展名(com),例如:xcopy.exe的伴隨體是xcopy.com。病毒把自身寫入com文件並不改變exe文件,當dos加載文件時,伴隨體優先被執行到,再由伴隨體加載執行原來的exe文件。
“蠕蟲”型病毒,通過計算機網絡傳播,不改變文件和資料信息,利用網絡從一臺機器的內存傳播到其它機器的內存,計算網絡地址,將自身的病毒通過網絡發送。有時它們在係統存在,一般除了內存不占用其它資源。
寄生型病毒 除了伴隨和“蠕蟲”型,其它病毒均可稱為寄生型病毒,它們依附在係統的引導扇區或文件中,通過係統的功能進行傳播,按其算法不同可分為:練習型病毒,病毒自身包含錯誤,不能進行很好的傳播,例如一些病毒在調試階段。
詭秘型病毒 它們一般不直接修改dos中斷和扇區數據,而是通過設備技術和文件緩衝區等dos內部修改,不易看到資源,使用比較高級的技術。利用dos空閑的數據區進行工作。
變型病毒(又稱幽靈病毒) 這一類病毒使用一個復雜的算法,使自己每傳播一份都具有不同的內容和長度。它們一般的作法是一段混有無關指令的解碼算法和被變化過的病毒體組成。
六、計算機病毒的發展,在病毒的發展史上,病毒的出現是有規律的,一般情況下一種新的病毒技術出現後,病毒迅速發展,接着反病毒技術的發展會抑製其流傳。操作係統升級後,病毒也會調整為新的方式,産生新的病毒技術。它可劃分為:
dos引導階段
1987年,計算機病毒主要是引導型病毒,具有代表性的是“小球”和“石頭”病毒。當時的計算機硬件較少,功能簡單,一般需要通過軟盤啓動後使用.引導型病毒利用軟盤的啓動原理工作,它們修改係統啓動扇區,在計算機啓動時首先取得控製權,減少係統內存,修改磁盤讀寫中斷,影響係統工作效率,在係統存取磁盤時進行傳播;
1989年,引導型病毒發展為可以感染硬盤,典型的代表有“石頭2”;
dos可執行階段
1989年,可執行文件型病毒出現,它們利用dos係統加載執行文件的機製工作,代表為“耶路撒冷”,“星期天”病毒,病毒代碼在係統執行文件時取得控製權,修改dos中斷,在係統調用時進行傳染,並將自己附加在可執行文件中,使文件長度增加。
1990年,發展為復合型病毒,可感染com和exe文件。
伴隨、批次型階段
1992年,伴隨型病毒出現,它們利用dos加載文件的優先順序進行工作,具有代表性的是“金蟬”病毒,它感染exe文件時生成一個和exe同名但擴展名為com的伴隨體;它感染文件時,改原來的com文件為同名的exe文件,再産生一個原名的伴隨體,文件擴展名為com,這樣,在dos加載文件時,病毒就取得控製權.這類病毒的特點是不改變原來的文件內容,日期及屬性,解除病毒時衹要將其伴隨體刪除即可。在非dos操作係統中,一些伴隨型病毒利用操作係統的描述語言進行工作,具有典型代表的是“海盜旗”病毒,它在得到執行時,詢問用戶名稱和口令,然後返回一個出錯信息,將自身刪除。批次型病毒是工作在dos下的和“海盜旗”病毒類似的一類病毒。
幽靈、多形階段
1994年,隨着匯編語言的發展,實現同一功能可以用不同的方式進行完成,這些方式的組合使一段看似隨機的代碼産生相同的運算結果。幽靈病毒就是利用這個特點,每感染一次就産生不同的代碼。例如“一半”病毒就是産生一段有上億種可能的解碼運算程序,病毒體被隱藏在解碼前的數據中,查解這類病毒就必須能對這段數據進行解碼,加大了查毒的難度。多形型病毒是一種綜合性病毒,它既能感染引導區又能感染程序區,多數具有解碼算法,一種病毒往往要兩段以上的子程序方能解除。
生成器,變體機階段
1995年,在匯編語言中,一些數據的運算放在不同的通用寄存器中,可運算出同樣的結果,隨機的插入一些空操作和無關指令,也不影響運算的結果,這樣,一段解碼算法就可以由生成器生成,當生成器的生成結果為病毒時,就産生了這種復雜的“病毒生成器” ,而變體機就是增加解碼復雜程度的指令生成機製。這一階段的典型代表是“病毒製造機” vcl,它可以在瞬間製造出成千上萬種不同的病毒,查解時就不能使用傳統的特徵識別法,需要在宏觀上分析指令,解碼後查解病毒。
網絡,蠕蟲階段
1995年,隨着網絡的普及,病毒開始利用網絡進行傳播,它們衹是以上幾代病毒的改進.在非dos操作係統中,“蠕蟲”是典型的代表,它不占用除內存以外的任何資源,不修改磁盤文件,利用網絡功能搜索網絡地址,將自身嚮下一地址進行傳播,有時也在網絡服務器和啓動文件中存在。
視窗階段
1996年,隨着windows和windows95的日益普及,利用windows進行工作的病毒開始發展,它們修改(ne,pe)文件,典型的代表是ds.3873,這類病毒的機製更為復雜,它們利用保護模式和api調用接口工作,解除方法也比較復雜。 宏病毒階段1996年,隨着windows word功能的增強,使用word宏語言也可以編製病毒,這種病毒使用類basic語言、編寫容易、感染word文檔等文件,在excel和amipro出現的相同工作機製的病毒也歸為此類,由於word文檔格式沒有公開,這類病毒查解比較睏難;
互連網階段
1997年,隨着因特網的發展,各種病毒也開始利用因特網進行傳播,一些攜帶病毒的數據包和郵件越來越多,如果不小心打開了這些郵件,機器就有可能中毒;
爪哇(java),郵件炸彈階段
1997年,隨着萬維網(wold wide web)上java的普及,利用java語言進行傳播和資料獲取的病毒開始出現,典型的代表是javasnake病毒,還有一些利用郵件服務器進行傳播和破壞的病毒,例如mail-bomb病毒,它會嚴重影響因特網的效率。
七、其他的破壞行為,計算機病毒的破壞行為體現了病毒的殺傷能力。病毒破壞行為的激烈程度取决於病毒作者的主觀願望和他所具有的技術能量。數以萬計不斷發展擴張的病毒,其破壞行為千奇百怪,不可能窮舉其破壞行為,而且難以做全面的描述,根據現有的病毒資料可以把病毒的破壞目標和攻擊部位歸納如下: 攻擊係統數據區,攻擊部位包括:硬盤主引尋扇區、boot扇區、fat表、文件目錄等。一般來說,攻擊係統數據區的病毒是惡性病毒,受損的數據不易恢復。 攻擊文件,病毒對文件的攻擊方式很多,可列舉如下:刪除、改名、替換內容、丟失部分程序代碼、內容顛倒、寫入時間空白、變碎片、假冒文件、丟失文件簇、丟失數據文件等。攻擊內存,內存是計算機的重要資源,也是病毒攻擊的主要目標之一,病毒額外地占用和消耗係統的內存資源,可以導致一些較的大程序難以運行。病毒攻擊內存的方式如下:占用大量內存、改變內存總量、禁止分配內存、蠶食內存等。幹擾係統運行,此類型病毒會幹擾係統的正常運行,以此作為自己的破壞行為,此類行為也是花樣繁多,可以列舉下述諸方式:不執行命令、幹擾內部命令的執行、虛假報警、使文件打不開、使內部棧溢出、占用特殊數據區、時鐘倒轉、重啓動、死機、強製遊戲、擾亂串行口、並行口等。 速度下降,病毒激活時,其內部的時間延遲程序啓動,在時鐘中納入了時間的循環計數,迫使計算機空轉,計算機速度明顯下降。攻擊磁盤,攻擊磁盤數據、不寫盤、寫操作變讀操作、寫盤時丟字節等。 擾亂屏幕顯示病毒擾亂屏幕顯示的方式很多,可列舉如下:字符跌落、環繞、倒置、顯示前一屏、光標下跌、滾屏、抖動、亂寫、吃字符等。 鍵盤病毒,幹擾鍵盤操作,已發現有下述方式:響鈴、封鎖鍵盤、換字、抹掉緩存區字符、重複、輸入紊亂等。 喇叭病毒,許多病毒運行時,會使計算機的喇叭發出響聲。有的病毒作者通過喇叭發出種種聲音,有的病毒作者讓病毒演奏旋律優美的世界名麯,在高雅的麯調中去殺戮人們的信息財富,已發現的喇叭發聲有以下方式:演奏麯子、警笛聲、炸彈噪聲、鳴叫、咔咔聲、嘀嗒聲等。 攻擊cmos , 在機器的cmos區中,保存着係統的重要數據,例如係統時鐘、磁盤類型、內存容量等,並具有校驗和。有的病毒激活時,能夠對cmos區進行寫入動作,破壞係統cmos中的數據。 幹擾打印機,典型現象為:假報警、間斷性打印、更換字符等。
八、計算機病毒的危害性,計算機資源的損失和破壞,不但會造成資源和財富的巨大浪費,而且有可能造成社會性的災難,隨着信息化社會的發展,計算機病毒的威脅日益嚴重,反病毒的任務也更加艱巨了。1988年11月2日下午5時1分59秒,美國康奈爾大學的計算機科學係研究生,23歲的莫裏斯(morris)將其編寫的蠕蟲程序輸入計算機網絡,致使這個擁有數萬臺計算機的網絡被堵塞。這件事就像是計算機界的一次大地震,引起了巨大反響,震驚全世界,引起了人們對計算機病毒的恐慌,也使更多的計算機專傢重視和致力於計算機病毒研究。1988年下半年,我國在統計局係統首次發現了“小球”病毒,它對統計係統影響極大,此後由計算機病毒發作而引起的“病毒事件”接連不斷,前一段時間發現的cih、美麗殺等病毒更是給社會造成了很大損失。 | | 首先,在思想上重視,加強管理,止病毒的入侵。凡是從外來的軟盤往機器中拷信息,都應該先對軟盤進行查毒,若有病毒必須清除,這樣可以保證計算機不被新的病毒傳染。此外,由於病毒具有潛伏性,可能機器中還隱蔽着某些舊病毒,一旦時機成熟還將發作,所以,要經常對磁盤進行檢查,若發現病毒就及時殺除。思想重視是基礎,采取有效的查毒與消毒方法是技術保證。檢查病毒與消除病毒目前通常有兩種手段,一種是在計算機中加一塊防病毒卡,另一種是使用防病毒軟件工作原理基本一樣,一般用防病毒軟件的用戶更多一些。切記要註意一點,預防與消除病毒是一項長期的工作任務,不是一勞永逸的,應堅持不懈。
計算機病毒是在什麽情況下出現的?
計算機病毒的産生是計算機技術和以計算機為核心的社會信息化進程發展到一定階段的必然産物。它産生的背景是:
(1)計算機病毒是計算機犯罪的一種新的衍化形式
計算機病毒是高技術犯罪, 具有瞬時性、動態性和隨機性。不易取證, 風險小破壞大, 從而刺激了犯罪意識和犯罪活動。是某些人惡作劇和報復心態在計算機應用領域的表現;
(2)計算機軟硬件産品的脆弱性是根本的技術原因
計算機是電子産品。數據從輸入、存儲、處理、輸出等環節, 易誤入、篡改、丟失、作假和破壞;程序易被刪除、改寫;計算機軟件設計的手工方式, 效率低下且生産周期長;人們至今沒有辦法事先瞭解一個程序有沒有錯誤, 衹能在運行中發現、修改錯誤, 並不知道還有多少錯誤和缺陷隱藏在其中。這些脆弱性就為病毒的侵入提供了方便;
(3)微機的普及應用是計算機病毒産生的必要環境。
1983年11月3日美國計算機專傢首次提出了計算機病毒的概念並進行了驗證。幾年前計算機病毒就迅速蔓延,到我國纔是近年來的事。而這幾年正是我國微型計算機普及應用熱潮。微機的廣泛普及,操作係統簡單明了,軟、硬件透明度高,基本上沒有什麽安全措施, 能夠透徹瞭解它內部結構的用戶日益增多,對其存在的缺點和易攻擊處也瞭解的越來越清楚,不同的目的可以做出截然不同的選擇。目前,在ibm pc係統及其兼容機上廣泛流行着各種病毒就很說明這個問題。
預防病毒的八點註意事項
1、備好啓動軟盤,並貼上寫保護。 檢查電腦的問題,最好應在沒有病毒幹擾的環境下進行,才能測出真正的原因,或解决病毒的侵入。因此,在安裝係統之後,應該及時做一張啓動盤,以備不時之需。
2、重要資料,必須備份。資料是最重要的,程序損壞了可重新拷貝或再買一份,但是自己鍵入的資料,可能是三年的會計資料或畫了三個月的圖紙,結果某一天,硬盤壞了或者因為病毒而損壞了資料,會讓人欲哭無淚,所以對於重要資料經常備份是絶對必要的。
3、盡量避免在無防毒軟件的機器上使用可移動儲存介質。一般人都以為不要使用別人的磁盤,即可防毒,但是不要隨便用別人的電腦也是非常重要的,否則有可能帶一大堆病毒回傢。
4、使用新軟件時,先用掃毒程序檢查,可減少中毒機會。
5、準備一份具有殺毒及保護功能的軟件,將有助於杜絶病毒。
6、重建硬盤是有可能的,救回的機率相當高。若硬盤資料已遭破壞,不必急着格式化,因病毒不可能在短時間內將全部硬盤資料破壞,故可利用殺毒軟件加以分析,恢復至受損前狀態。
7、不要在互聯網上隨意下載軟件。病毒的一大傳播途徑,就是internet。潛伏在網絡上的各種可下載程序中,如果你隨意下載、隨意打開,對於製造病毒者來說,可真是再好不過了。因此,不要貪圖免費軟件,如果實在需要,請在下載後執行殺毒軟件徹底檢查。
8、不要輕易打開電子郵件的附件。近年來造成大規模破壞的許多病毒,都是通過電子郵件傳播的。不要以為衹打開熟人發送的附件就一定保險,有的病毒會自動檢查受害人電腦上的通訊錄並嚮其中的所有地址自動發送帶毒文件。最妥當的做法,是先將附件保存下來,不要打開,先用查毒軟件徹底檢查。 | | 計算機病毒寄生方式有哪幾種?
(1)寄生在磁盤引導扇區中:任何操作係統都有個自舉過程, 例如dos在啓動時, 首先由係統讀入引導扇區記錄並執行它, 將dos讀入內存。病毒程序就是利用了這一點, 自身占據了引導扇區而將原來的引導扇區內容及其病毒的其他部分放到磁盤的其他空間, 並給這些扇區標志為壞簇。這樣, 係統的一次初始化, 病毒就被激活了。它首先將自身拷貝到內存的高端並占據該範圍, 然後置觸發條件如int 13h中斷(磁盤讀寫中斷)嚮量的修改, 置內部時鐘的某一值為條件等, 最後引入正常的操作係統。以後一旦觸發條件成熟, 如一個磁盤讀或寫的請求, 病毒就被觸發。如果磁盤沒有被感染(通過識別標志)則進行傳染。
(2)寄生在可執行程序中:這種病毒寄生在正常的可執行程序中, 一旦程序執行病毒就被激活, 於是病毒程序首先被執行, 它將自身常駐內存, 然後置觸發條件, 也可能立即進行傳染, 但一般不作表現。做完這些工作後, 開始執行正常的程序, 病毒程序也可能在執行正常程序之後再置觸發條件等工作。病毒可以寄生在源程序的首部也可以寄生在尾部, 但都要修改源程序的長度和一些控製信息, 以保證病毒成為源程序的一部分, 並在執行時首先執行它。這種病毒傳染性比較強。
(3)寄生在硬盤的主引導扇區中:例如大麻病毒感染硬盤的主引導扇區, 該扇區與dos無關。
病毒是怎麽命名的?
很多時候大傢已經用殺毒軟件查出了自己的機子中了例如backdoor.rmtbomb.12 、trojan.win32.sendip.15 等等這些一串英文還帶數字的病毒名,這時有些人就蒙了,那麽長一串的名字,我怎麽知道是什麽病毒啊?
其實衹要我們掌握一些病毒的命名規則,我們就能通過殺毒軟件的報告中出現的病毒名來判斷該病毒的一些共有的特性了:一般格式為:<病毒前綴>.<病毒名>.<病毒後綴>
病毒前綴是指一個病毒的種類,他是用來區別病毒的種族分類的。不同的種類的病毒,其前綴也是不同的。比如我們常見的木馬病毒的前綴 trojan ,蠕蟲病毒的前綴是 worm 等等還有其他的。
病毒名是指一個病毒的傢族特徵,是用來區別和標識病毒傢族的,如以前着名的cih病毒的傢族名都是統一的“ cih ”,振蕩波蠕蟲病毒的傢族名是“ sasser ”。
病毒後綴是指一個病毒的變種特徵,是用來區別具體某個傢族病毒的某個變種的。一般都采用英文中的26個字母來表示,如 worm.sasser.b 就是指 振蕩波蠕蟲病毒的變種b,因此一般稱為 “振蕩波b變種”或者“振蕩波變種b”。如果該病毒變種非常多,可以采用數字與字母混合表示變種標識。
下面附帶一些常見的病毒前綴的解釋(針對我們用得最多的windows操作係統):
(1)係統病毒
係統病毒的前綴為:win32、pe、win95、w32、w95等。這些病毒的一般共有的特性是可以感染windows操作係統的 *.exe 和 *.dll 文件,並通過這些文件進行傳播。如cih病毒。
(2)蠕蟲病毒
蠕蟲病毒的前綴是:worm。這種病毒的共有特性是通過網絡或者係統漏洞進行傳播,很大部分的蠕蟲病毒都有嚮外發送帶毒郵件,阻塞網絡的特性。比如衝擊波(阻塞網絡),小郵差(發帶毒郵件) 等。
(3)木馬病毒、黑客病毒
木馬病毒其前綴是:trojan,黑客病毒前綴名一般為 hack 。木馬病毒的共有特性是通過網絡或者係統漏洞進入用戶的係統並隱藏,然後嚮外界泄露用戶的信息,而黑客病毒則有一個可視的界面,能對用戶的電腦進行遠程控製。木馬、黑客病毒往往是成對出現的,即木馬病毒負責侵入用戶的電腦,而黑客病毒則會通過該木馬病毒來進行控製。現在這兩種類型都越來越趨嚮於整合了。一般的木馬如qq消息尾巴木馬 trojan.qq3344 ,還有大傢可能遇見比較多的針對網絡遊戲的木馬病毒如 trojan.lmir.psw.60 。這裏補充一點,病毒名中有psw或者什麽pwd之類的一般都表示這個病毒有盜取密碼的功能(這些字母一般都為“密碼”的英文“password”的縮寫)一些黑客程序如:網絡梟雄(hack.nether.client)等。
(4)腳本病毒
腳本病毒的前綴是:script。腳本病毒的共有特性是使用腳本語言編寫,通過網頁進行的傳播的病毒,如紅色代碼(script.redlof)。腳本病毒還會有如下前綴:vbs、js(表明是何種腳本編寫的),如歡樂時光(vbs.happytime)、十四日(js.fortnight.c.s)等。
(5)宏病毒
其實宏病毒是也是腳本病毒的一種,由於它的特殊性,因此在這裏單獨算成一類。宏病毒的前綴是:macro,第二前綴是:word、word97、excel、excel97(也許還有別的)其中之一。凡是衹感染word97及以前版本word文檔的病毒采用word97做為第二前綴,格式是:macro.word97;凡是衹感染word97以後版本word文檔的病毒采用word做為第二前綴,格式是:macro.word;凡是衹感染excel97及以前版本excel文檔的病毒采用excel97做為第二前綴,格式是:macro.excel97;凡是衹感染excel97以後版本excel文檔的病毒采用excel做為第二前綴,格式是:macro.excel,以此類推。該類病毒的共有特性是能感染office係列文檔,然後通過office通用模板進行傳播,如:着名的美麗莎(macro.melissa)。
(6)後門病毒
後門病毒的前綴是:backdoor。該類病毒的共有特性是通過網絡傳播,給係統開後門,給用戶電腦帶來安全隱患。
(7)病毒種植程序病毒
這類病毒的共有特性是運行時會從體內釋放出一個或幾個新的病毒到係統目錄下,由釋放出來的新病毒産生破壞。如:冰河播種者(dropper.binghe2.2c)、msn射手(dropper.worm.smibag)等。
(8)破壞性程序病毒
破壞性程序病毒的前綴是:harm。這類病毒的共有特性是本身具有好看的圖標來誘惑用戶點擊,當用戶點擊這類病毒時,病毒便會直接對用戶計算機産生破壞。如:格式化c盤(harm.formatc.f)、殺手命令(harm.command.killer)等。
(9)玩笑病毒
玩笑病毒的前綴是:joke。也稱惡作劇病毒。這類病毒的共有特性是本身具有好看的圖標來誘惑用戶點擊,當用戶點擊這類病毒時,病毒會做出各種破壞操作來嚇唬用戶,其實病毒並沒有對用戶電腦進行任何破壞。如:女鬼(joke.girl ghost)病毒。
(10)捆綁機病毒
捆綁機病毒的前綴是:binder。這類病毒的共有特性是病毒作者會使用特定的捆綁程序將病毒與一些應用程序如qq、ie捆綁起來,表面上看是一個正常的文件,當用戶運行這些捆綁病毒時,會表面上運行這些應用程序,然後隱藏運行捆綁在一起的病毒,從而給用戶造成危害。如:捆綁qq(binder.qqpass.qqbin)、係統殺手(binder.killsys)等。
以上為比較常見的病毒前綴,有時候我們還會看到一些其他的,但比較少見,這裏簡單提一下:
dos:會針對某臺主機或者服務器進行dos攻擊;
exploit:會自動通過溢出對方或者自己的係統漏洞來傳播自身,或者他本身就是一個用於hacking的溢出工具;
hacktool:黑客工具,也許本身並不破壞你的機子,但是會被別人加以利用來用你做替身去破壞別人。
你可以在查出某個病毒以後通過以上所說的方法來初步判斷所中病毒的基本情況,達到知己知彼的效果。在殺毒無法自動查殺,打算采用手工方式的時候這些信息會給你很大的幫助
計算機病毒的工作過程應包括哪些環節?
計算機病毒的完整工作過程應包括以下幾個環節:
(1)傳染源:病毒總是依附於某些存儲介質, 例如軟盤、 硬盤等構成傳染源。
(2)傳染媒介:病毒傳染的媒介由工作的環境來定, 可能是計算機網, 也可能是可移動的存儲介質, 例如軟磁盤等。
(3)病毒激活:是指將病毒裝入內存, 並設置觸發條件, 一旦觸發條件成熟, 病毒就開始作用--自我復製到傳染對象中, 進行各種破壞活動等。
(4)病毒觸發:計算機病毒一旦被激活, 立刻就發生作用, 觸發的條件是多樣化的, 可以是內部時鐘, 係統的日期, 用戶標識符,也可能是係統一次通信等等。
(5)病毒表現:表現是病毒的主要目的之一, 有時在屏幕顯示出來, 有時則表現為破壞係統數據。可以這樣說, 凡是軟件技術能夠觸發到的地方, 都在其表現範圍內。
(6)傳染:病毒的傳染是病毒性能的一個重要標志。在傳染環節中, 病毒復製一個自身副本到傳染對象中去。
不同種類的計算機病毒的傳染方法有何不同?
從病毒的傳染方式上來講, 所有病毒到目前為止可以歸結於三類:感染用戶程序的計算機病毒;感染操作係統文件的計算機病毒;感染磁盤引導扇區的計算機病毒。這三類病毒的傳染方式均不相同。
感染用戶應用程序的計算機病毒的傳染方式是病毒以鏈接的方式對應用程序進行傳染。這種病毒在一個受傳染的應用程序執行時獲得控製權, 同時掃描計算機係統在硬盤或軟盤上的另外的應用程序, 若發現這些程序時, 就鏈接在應用程序中, 完成傳染, 返回正常的應用程序並繼續執行。
感染操作係統文件的計算機病毒的傳染方式,是通過與操作係統中所有的模塊或程序鏈接來進行傳染。由於操作係統的某些程序是在係統啓動過程中調入內存的, 所以傳染操作係統的病毒是通過鏈接某個操作係統中的程序或模塊並隨着它們的運行進入內存的。病毒進入內存後就判斷是否滿足條件時則進行傳染。
感染磁盤引導扇區的病毒的傳染方式, 從實質上講boot區傳染的病毒是將其自身附加到軟盤或硬盤的boot扇區的引導程序中, 並將病毒的全部或部分存入引導扇區512b之中。這種病毒是在係統啓動的時候進入內存中, 並取得控製權, 在係統運行的任何時刻都會保持對係統的控製, 時刻監視着係統中使用的新軟盤。當一片新的軟盤插入係統進行第一次讀寫時, 病毒就將其傳輸出該軟盤的0扇區中, 而後將傳染下一個使用該軟盤的係統。通過感染病毒的軟盤對係統進行引導是這種病毒傳染的主要途徑。
計算機病毒傳染的先决條件是什麽?
計算機病毒的傳染是以計算機係統的運行及讀寫磁盤為基礎的。沒有這樣的條件計算機病毒是不會傳染的, 因為計算機不啓動不運行時就談不上對磁盤的讀寫操作或數據共享, 沒有磁盤的讀寫, 病毒就傳播不到磁盤上或網絡裏。所以衹要計算機運行就會有磁盤讀寫動作, 病毒傳染的兩個先條件就很容易得到滿足。係統運行為病毒駐留內存創造了條件, 病毒傳染的第一步是駐留內存;一旦進入內存之後, 尋找傳染機會, 尋找可攻擊的對象, 判斷條件是否滿足, 决定是否可傳染;當條件滿足時進行傳染, 將病毒寫入磁盤係統。
計算機病毒的傳染通過哪些途徑?
計算機病毒之所以稱之為病毒是因為其具有傳染性的本質。傳統渠道通常有以下幾種:
(1)通過軟盤:通過使用外界被感染的軟盤, 例如, 不同渠道來的係統盤、來歷不明的軟件、遊戲盤等是最普遍的傳染途徑。由於使用帶有病毒的軟盤, 使機器感染病毒發病, 並傳染給未被感染的“幹淨”的軟盤。大量的軟盤交換, 合法或非法的程序拷貝, 不加控製地隨便在機器上使用各種軟件造成了病毒感染、泛濫蔓延的溫床。
(2)通過硬盤:通過硬盤傳染也是重要的渠道, 由於帶有病毒機器移到其它地方使用、維修等, 將幹淨的軟盤傳染並再擴散。
(3)通過光盤:因為光盤容量大,存儲了海量的可執行文件,大量的病毒就有可能藏身於光盤,對衹讀式光盤,不能進行寫操作,因此光盤上的病毒不能清除。以謀利為目的非法盜版軟件的製作過程中,不可能為病毒防護擔負專門責任,也决不會有真正可靠可行的技術保障避免病毒的傳入、傳染、流行和擴散。當前,盜版光盤的泛濫給病毒的傳播帶來了極大的便利。
(4)通過網絡:這種傳染擴散極快, 能在很短時間內傳遍網絡上的機器。
隨着internet的風靡,給病毒的傳播又增加了新的途徑,它的發展使病毒可能成為災難,病毒的傳播更迅速,反病毒的任務更加艱巨。internet帶來兩種不同的安全威脅,一種威脅來自文件下載,這些被瀏覽的或是被下載的文件可能存在病毒。另一種威脅來自電子郵件。大多數internet郵件係統提供了在網絡間傳送附帶格式化文檔郵件的功能,因此,遭受病毒的文檔或文件就可能通過網關和郵件服務器涌入企業網絡。網絡使用的簡易性和開放性使得這種威脅越來越嚴重。
計算機病毒的傳染是否一定要滿足條件纔進行?
不一定。
計算機病毒的傳染分兩種。一種是在一定條件下方可進行傳染, 即條件傳染。另一種是對一種傳染對象的反復傳染即無條件傳染。
從目前蔓延傳播病毒來看所謂條件傳染, 是指一些病毒在傳染過程中, 在被傳染的係統中的特定位置上打上自己特有的示志。這一病毒在再次攻擊這一係統時, 發現有自己的標志則不再進行傳染, 如果是一個新的係統或軟件, 首先讀特定位置的值, 並進行判斷, 如果發現讀出的值與自己標識不一致, 則對這一係統或應用程序, 或數據盤進行傳染, 這是一種情況;另一種情況, 有的病毒通過對文件的類型來判斷是否進行傳染, 如黑色星期五病毒衹感染.com或.exe文件等等;還有一種情況有的病毒是以計算機係統的某些設備為判斷條件來决定是否感染。例如大麻病毒可以感染硬盤, 又可以感染軟盤, 但對b驅動器的軟盤進行讀寫操作時不傳染。但我們也發現有的病毒對傳染對象反復傳染。例如黑色星期五病毒衹要發現.exe文件就進行一次傳染, 再運行再進行傳染反復進行下去。
可見有條件時病毒能傳染, 無條件時病毒也可以進行傳染。
微型計算機病毒對係統的影響表現在哪些方面?
計算機病毒對微型計算機而言,它的影響表現在:
(1)破壞硬盤的分區表, 即硬盤的主引導扇區。
(2)破壞或重寫軟盤或硬盤dos係統boot區即引導區。
(3)影響係統運行速度, 使係統的運行明顯變慢。
(4)破壞程序或覆蓋文件。
(5)破壞數據文件。
(6)格式化或者刪除所有或部分磁盤內容。
(7)直接或間接破壞文件連接。
(8)使被感染程序或覆蓋文件的長度增大。
計算機病毒傳染的一般過程是什麽?
在係統運行時, 病毒通過病毒載體即係統的外存儲器進入係統的內存儲器, 常駐內存。該病毒在係統內存中監視係統的運行, 當它發現有攻擊的目標存在並滿足條件時, 便從內存中將自身存入被攻擊的目標, 從而將病毒進行傳播。而病毒利用係統int 13h讀寫磁盤的中斷又將其寫入係統的外存儲器軟盤或硬盤中, 再感染其他係統。
可執行文件感染病毒後又怎樣感染新的可執行文件?
可執行文件.com或.exe感染上了病毒, 例如黑色星期五病毒, 它駐入內存的條件是在執行被傳染的文件時進入內存的。一旦進入內存, 便開始監視係統的運行。當它發現被傳染的目標時, 進行如下操作:
(1)首先對運行的可執行文件特定地址的標識位信息進行判斷是否已感染了病毒;
(2)當條件滿足, 利用int 13h將病毒鏈接到可執行文件的首部或尾部或中間, 並存大磁盤中;
(3)完成傳染後, 繼續監視係統的運行, 試圖尋找新的攻擊目標。
操作係統型病毒是怎樣進行傳染的?
正常的pc dos啓動過程是:
(1)加電開機後進入係統的檢測程序並執行該程序對係統的基本設備進行檢測;
(2)檢測正常後從係統盤00道1扇區即邏輯0扇區讀入boot引導程序到內存的0000: 7c00處;
(3)轉入boot執行;
(4)boot判斷是否為係統盤, 如果不是係統盤則提示;
non-system disk or disk error
replace and strike any key when ready
否則, 讀入ibm bio.com和ibm dos.com兩個隱含文件;
(5)執行ibm bio.com和ibm dos.com兩個隱含文件, 將command.com裝入內存;
(6)係統正常運行, dos啓動成功。
如果係統盤已感染了病毒, pc dos的啓動將是另一番景象, 其過程為:
(1)將boot區中病毒代碼首先讀入內存的0000: 7c00處;
(2)病毒將自身全部代碼讀入內存的某一安全地區、常駐內存, 監視係統的運行;
(3)修改int 13h中斷服務處理程序的入口地址, 使之指嚮病毒控製模塊並執行之。因為任何一種病毒要感染軟盤或者硬盤, 都離不開對磁盤的讀寫操作, 修改int 13h中斷服務程序的入口地址是一項少不了的操作;
(4)病毒程序全部被讀入內存後纔讀入正常的boot內容到內存的0000: 7c00處, 進行正常的啓動過程;
(5)病毒程序伺機等待隨時準備感染新的係統盤或非係統盤。
如果發現有可攻擊的對象, 病毒要進行下列的工作:
(1)將目標盤的引導扇區讀入內存, 對該盤進行判別是否傳染了病毒;
(2)當滿足傳染條件時, 則將病毒的全部或者一部分寫入boot區, 把正常的磁盤的引導區程序寫入磁盤特寫位置;
(3)返回正常的int 13h中斷服務處理程序, 完成了對目標盤的傳染。
操作係統型病毒在什麽情況下對軟、硬盤進行感染?
操作係統型病毒衹有在係統引導時進入內存。如果一個軟盤染有病毒, 但並不從它上面引導係統,則病毒不會進入內存, 也就不能活動。例如圓點病毒感染軟盤、硬盤的引導區, 衹要用帶病毒的盤啓動係統後, 病毒便駐留內存, 對哪個盤進行操作, 就對哪個盤進行感染。
操作係統型病毒對非係統盤感染病毒後最簡單的處理方法是什麽?
因為操作係統型病毒衹有在係統引導時纔進入內存, 開始活動, 對非係統盤感染病毒後, 不從它上面引導係統, 則病毒不會進入內存。這時對已感染的非係統盤消毒最簡單的方法是將盤上有用的文件拷貝出來, 然後將帶毒盤重新格式化即可。
目前發現的計算機病毒主要癥狀有哪些?
從目前發現的病毒來看, 主要癥狀有:
(1)由於病毒程序把自己或操作係統的一部分用壞簇隱起來, 磁盤壞簇莫名其妙地增多。
(2)由於病毒程序附加在可執行程序頭尾或插在中間, 使可執行程序容量增大。
(3)由於病毒程序把自己的某個特殊標志作為標簽, 使接觸到的磁盤出現特別標簽。
(4)由於病毒本身或其復製品不斷侵占係統空間, 使可用係統空間變小。
(5)由於病毒程序的異常活動, 造成異常的磁盤訪問。
(6)由於病毒程序附加或占用引導部分, 使係統導引變慢。
(7)丟失數據和程序。
(8)中斷嚮量發生變化。
(9)打印出現問題。
(10)死機現象增多。
(11)生成不可見的表格文件或特定文件。
(12)係統出現異常動作, 例如:突然死機, 又在無任何外界介入下, 自行起動。
(13)出現一些無意義的畫面問候語等顯示。
(14)程序運行出現異常現象或不合理的結果。
(15)磁盤的捲標名發生變化。
(16)係統不認識磁盤或硬盤不能引導係統等。
(17)在係統內裝有漢字庫且漢字庫正常的情況下不能調用漢字庫或不能打印漢字。
(18)在使用寫保護的軟盤時屏幕上出現軟盤寫保護的提示。
(19)異常要求用戶輸入口令 | | backdoor,危害級別:1,
說明: 中文名稱—“後門”, 是指在用戶不知道也不允許的情況下,在被感染的係統上以隱蔽的方式運行可以對被感染的係統進行遠程控製,而且用戶無法通過正常的方法禁止其運行。“後門”其實是木馬的一種特例,它們之間的區別在於“後門”可以對被感染的係統進行遠程控製(如:文件管理、進程控製等)。
worm,危害級別:2,
說明: 中文名稱—“蠕蟲”,是指利用係統的漏洞、外發郵件、共享目錄、可傳輸文件的軟件(如:msn、oicq、irc等)、可移動存儲介質(如:u盤、軟盤),這些方式傳播自己的病毒。這種類型的病毒其子型行為類型用於表示病毒所使用的傳播方式。
mail,危害級別:1說明:通過郵件傳播
im,危害級別:2,說明:通過某個不明確的載體或多個明確的載體傳播自己
msn,危害級別:3,說明:通過msn傳播
qq,危害級別:4,說明:通過oicq傳播
icq危害級別:5,說明:通過icq傳播
p2p,危害級別:6,說明:通過p2p軟件傳播
irc,危害級別:7,說明:通過icr傳播
其他,說明:不依賴其他軟件進行傳播的傳播方式,如:利用係統漏洞、共享目錄、可移動存儲介質。
trojan,危害級別:3,說明: 中文名稱—“木馬”,是指在用戶不知道也不允許的情況下,在被感染的係統上以隱蔽的方式運行,而且用戶無法通過正常的方法禁止其運行。這種病毒通常都有利益目的,它的利益目的也就是這種病毒的子行為。
spy,危害級別:1,說明:竊取用戶信息(如文件等)
psw,危害級別:2,說明:具有竊取密碼的行為
dl,危害級別:3,說明:下載病毒並運行,判定條款:沒有可調出的任何界面,邏輯功能為:從某網站上下載文件加載或運行.
邏輯條件引發的事件:
事件1、.不能正常下載或下載的文件不能判定為病毒 ,操作準則:該文件不能符合正常軟件功能組件標識條款的,確定為:trojan.dl
事件2.下載的文件是病毒,操作準則: 下載的文件是病毒,確定為: trojan.dl
immsg,危害級別:4,說明:通過某個不明確的載體或多個明確的載體傳播即時消息(這一行為與蠕蟲的傳播行為不同,蠕蟲是傳播病毒自己,木馬僅僅是傳播消息)
msnmsg,危害級別:5,說明:通過msn傳播即時消息
qqmsg,危害級別:6,說明:通過oicq傳播即時消息
icqmsg,危害級別:7,說明:通過icq傳播即時消息
ucmsg,危害級別:8,說明:通過uc傳播即時消息
proxy,危害級別:9,說明:將被感染的計算機作為代理服務器
clicker,危害級別:10,說明:點擊指定的網頁 ,判定條款:沒有可調出的任何界面,邏輯功能為:點擊某網頁。
操作準則:該文件不符合正常軟件功能組件標識條款的,確定為:trojan.clicker。
(該文件符合正常軟件功能組件標識條款,就參考流氓軟件判定規則進行流氓軟件判定)
dialer,危害級別:12,說明:通過撥號來騙取money的程序 ,註意:無法描述其利益目的但又符合木馬病毒的基本特徵,則不用具體的子行為進行描述
aol、notifier ,按照原來病毒名命名保留。
virus,危害級別:4,說明:中文名稱—“感染型病毒”,是指將病毒代碼附加到被感染的宿主文件(如:pe文件、dos下的com文件、vbs文件、具有可運行宏的文件)中,使病毒代碼在被感染宿主文件運行時取得運行權的病毒。
harm,危害級別:5,說明:中文名稱—“破壞性程序”,是指那些不會傳播也不感染,運行後直接破壞本地計算機(如:格式化硬盤、大量刪除文件等)導致本地計算機無法正常使用的程序。
dropper,危害級別:6,說明:中文名稱—“釋放病毒的程序”,是指不屬於正常的安裝或自解壓程序,並且運行後釋放病毒並將它們運行。
判定條款:沒有可調出的任何界面,邏輯功能為:自釋放文件加載或運行。
邏輯條件引發的事件:
事件1:.釋放的文件不是病毒。 操作準則: 釋放的文件和釋放者本身沒邏輯關係並該文件不符合正常軟件功能組件標識條款的,確定為:droper
事件2:釋放的文件是病毒。 操作準則: 釋放的文件是病毒,確定該文件為:droper
hack,危害級別:無 ,說明:中文名稱—“黑客工具”,是指可以在本地計算機通過網絡攻擊其他計算機的工具。
exploit,漏洞探測攻擊工具
ddoser,拒絶服務攻擊工具
flooder,洪水攻擊工具 ,註意:不能明確攻擊方式並與黑客相關的軟件,則不用具體的子行為進行描述
spam,垃圾郵件
nuker、sniffer、spoofer、anti,說明:免殺的黑客工具
binder,危害級別:無 ,說明:捆綁病毒的工具
正常軟件功能組件標識條款:被檢查的文件體內有以下信息能標識出該文件是正常軟件的功能組件:文件版本信息,軟件信息(註册表鍵值、安裝目錄)等。
宿主文件
宿主文件是指病毒所使用的文件類型,有是否顯示的屬性。目前的宿主文件有以下幾種。
js 說明:javascript腳本文件
vbs 說明:vbscript腳本文件
html 說明:html文件
java 說明:java的class文件
com 說明:dos下的com文件
exe 說明:dos下的exe文件
boot 說明:硬盤或軟盤引導區
word 說明:ms公司的word文件
excel 說明:ms公司的excel文件
pe 說明:pe文件
winreg 說明:註册表文件
ruby 說明:一種腳本
python 說明:一種腳本
bat 說明:bat腳本文件
irc 說明:irc腳本
主名稱
病毒的主名稱是由分析員根據病毒體的特徵字符串、特定行為或者所使用的編譯平臺來定的,如果無法確定則可以用字符串”agent”來代替主名稱,小於10k大小的文件可以命名為“samll”。
版本信息
版本信息衹允許為數字,對於版本信息不明確的不加版本信息。
主名稱變種號
如果病毒的主行為類型、行為類型、宿主文件類型、主名稱均相同,則認為是同一傢族的病毒,這時需要變種號來區分不同的病毒記錄。如果一位版本號不夠用則最多可以擴展3位,並且都均為小寫字母a—z,如:aa、ab、aaa、aab以此類推。由係統自動計算,不需要人工輸入或選擇。
附屬名稱
病毒所使用的有輔助功能的可運行的文件,通常也作為病毒添加到病毒庫中,這種類型的病毒記錄需要附屬名稱來與病毒主體的病毒記錄進行區分。附屬名稱目前有以下幾種:
client 說明:後門程序的控製端
key_hook 說明:用於挂接鍵盤的模塊
api_hook 說明:用於挂接api的模塊
install 說明:用於安裝病毒的模塊
dll 說明:文件為動態庫,並且包含多種功能
(空) 說明:沒有附屬名稱,這條記錄是病毒主體記錄
附屬名稱變種號
如果病毒的主行為類型、行為類型、宿主文件類型、主名稱、主名稱變種號、附屬名稱均相同,則認為是同一傢族的病毒,這時需要變種號來區分不同的病毒記錄。變種號為不寫字母a—z,如果一位版本號不夠用則最多可以擴展3位,如:aa、ab、aaa、aab以此類推。由係統自動計算,不需要人工輸入或選擇。
病毒長度
病毒長度字段衹用於主行為類型為感染型(virus)的病毒,字段的值為數字。字段值為0,表示病毒長度可變。 | | | 國傢計算機病毒應急處理中心(http://www.antivirus-china.org.cn/) | | 一、計算機病毒(Computer Virus)在《中華人民共和國計算機信息係統安全保護條例》中被明確定義,病毒指“編製或者在計算機程序中插入的破壞計算機功能或者破壞數據,影響計算機使用並且能夠自我復製的一組計算機指令或者程序代碼”。而在一般教科書及通用資料中被定義為:利用計算機軟件與硬件的缺陷,由被感染機內部發出的破壞計算機數據並影響計算機正常工作的一組指令集或程序代碼 。計算機病毒最早出現在70年代 David Gerrold 科幻小說 When H.A.R.L.I.E. was One.最早科學定義出現在 1983:在Fred Cohen (南加大) 的博士論文 “計算機病毒實驗”“一種能把自己(或經演變)註入其它程序的計算機程序”啓動區病毒,宏(macro)病毒,腳本(script)病毒也是相同概念傳播機製同生物病毒類似.生物病毒是把自己註入細胞之中。
電腦病毒二、計算機病毒的長期性:病毒往往會利用計算機操作係統的弱點進行傳播,提高係統的安全性是防病毒的一個重要方面,但完美的係統是不存在的,過於強調提高係統的安全性將使係統多數時間用於病毒檢查,係統失去了可用性、實用性和易用性,另一方面,信息保密的要求讓人們在泄密和抓住病毒之間無法選擇。病毒與反病毒將作為一種技術對抗長期存在,兩種技術都將隨計算機技術的發展而得到長期的發展。
三、計算機病毒的産生:病毒不是來源於突發或偶然的原因。一次突發的停電和偶然的錯誤,會在計算機的磁盤和內存中産生一些亂碼和隨機指令,但這些代碼是無序和混亂的,病毒則是一種比較完美的,精巧嚴謹的代碼,按照嚴格的秩序組織起來,與所在的係統網絡環境相適應和配合起來,病毒不會通過偶然形成,並且需要有一定的長度,這個基本的長度從概率上來講是不可能通過隨機代碼産生的。現在流行的病毒是由人為故意編寫的,多數病毒可以找到作者和産地信息,從大量的統計分析來看,病毒作者主要情況和目的是:一些天才的程序員為了表現自己和證明自己的能力,出於對上司的不滿,為了好奇,為了報復,為了祝賀和求愛,為了得到控製口令,為了軟件拿不到報酬預留的陷阱等.當然也有因政治,軍事,宗教,民族.專利等方面的需求而專門編寫的,其中也包括一些病毒研究機構和黑客的測試病毒.
四、計算機病毒的特點,計算機病毒具有以下幾個特點:
(1) 寄生性:計算機病毒寄生在其他程序之中,當執行這個程序時,病毒就起破壞作用,而在未啓動這個程序之前,它是不易被人發覺的。
(2) 傳染性:計算機病毒不但本身具有破壞性,更有害的是具有傳染性,一旦病毒被復製或産生變種,其速度之快令人難以預防。傳染性是病毒的基本特徵。在生物界,病毒通過傳染從一個生物體擴散到另一個生物體。在適當的條件下,它可得到大量繁殖,並使被感染的生物體表現出病癥甚至死亡。同樣,計算機病毒也會通過各種渠道從已被感染的計算機擴散到未被感染的計算機,在某些情況下造成被感染的計算機工作失常甚至癱瘓。與生物病毒不同的是,計算機病毒是一段人為編製的計算機程序代碼,這段程序代碼一旦進入計算機並得以執行,它就會搜尋其他符合其傳染條件的程序或存儲介質,確定目標後再將自身代碼插入其中,達到自我繁殖的目的。衹要一臺計算機染毒,如不及時處理,那麽病毒會在這臺機子上迅速擴散,其中的大量文件(一般是可執行文件)會被感染。而被感染的文件又成了新的傳染源,再與其他機器進行數據交換或通過網絡接觸,病毒會繼續進行傳染。 正常的計算機程序一般是不會將自身的代碼強行連接到其他程序之上的。而病毒卻能使自身的代碼強行傳染到一切符合其傳染條件的未受到傳染的程序之上。計算機病毒可通過各種可能的渠道,如軟盤、計算機網絡去傳染其他的計算機。當您在一臺機器上發現了病毒時,往往曾在這臺計算機上用過的軟盤已感染上了病毒,而與這臺機器相聯網的其他計算機也許也被該病毒染上了。是否具有傳染性是判別一個程序是否為計算機病毒的最重要條件。 病毒程序通過修改磁盤扇區信息或文件內容並把自身嵌入到其中的方法達到病毒的傳染和擴散。被嵌入的程序叫做宿主程序;
(3) 潛伏性:有些病毒像定時炸彈一樣,讓它什麽時間發作是預先設計好的。比如黑色星期五病毒,不到預定時間一點都覺察不出來,等到條件具備的時候一下子就爆炸開來,對係統進行破壞。一個編製精巧的計算機病毒程序,進入係統之後一般不會馬上發作,可以在幾周或者幾個月內甚至幾年內隱藏在合法文件中,對其他係統進行傳染,而不被人發現,潛伏性愈好,其在係統中的存在時間就會愈長,病毒的傳染範圍就會愈大。 潛伏性的第一種表現是指,病毒程序不用專用檢測程序是檢查不出來的,因此病毒可以靜靜地躲在磁盤或磁帶裏呆上幾天,甚至幾年,一旦時機成熟,得到運行機會,就又要四處繁殖、擴散,繼續為害。潛伏性的第二種表現是指,計算機病毒的內部往往有一種觸發機製,不滿足觸發條件時,計算機病毒除了傳染外不做什麽破壞。觸發條件一旦得到滿足,有的在屏幕上顯示信息、圖形或特殊標識,有的則執行破壞係統的操作,如格式化磁盤、刪除磁盤文件、對數據文件做加密、封鎖鍵盤以及使係統死鎖等;
(4) 隱蔽性:計算機病毒具有很強的隱蔽性,有的可以通過病毒軟件檢查出來,有的根本就查不出來,有的時隱時現、變化無常,這類病毒處理起來通常很睏難。
(5)破壞性:計算機中毒後,可能會導致正常的程序無法運行,把計算機內的文件刪除或受到不同程度的損壞 。通常表現為:增、刪、改、移。
(6)計算機病毒的可觸發性:病毒因某個事件或數值的出現,誘使病毒實施感染或進行攻擊的特性稱為可觸發性。為了隱蔽自己,病毒必須潛伏,少做動作。如果完全不動,一直潛伏的話,病毒既不能感染也不能進行破壞,便失去了殺傷力。病毒既要隱蔽又要維持殺傷力,它必須具有可觸發性。病毒的觸發機製就是用來控製感染和破壞動作的頻率的。病毒具有預定的觸發條件,這些條件可能是時間、日期、文件類型或某些特定數據等。病毒運行時,觸發機製檢查預定條件是否滿足,如果滿足,啓動感染或破壞動作,使病毒進行感染或攻擊;如果不滿足,使病毒繼續潛伏。
五、計算機病毒分類,根據多年對計算機病毒的研究,按照科學的、係統的、嚴密的方法,計算機病毒可分類如下:按照計算機病毒屬性的方法進行分類,計算機病毒可以根據下面的屬性進行分類:
按照計算機病毒存在的媒體進行分類:
(1)根據病毒存在的媒體,病毒可以劃分為網絡病毒,文件病毒,引導型病毒。網絡病毒通過計算機網絡傳播感染網絡中的可執行文件,文件病毒感染計算機中的文件(如:COM,EXE,DOC等),引導型病毒感染啓動扇區(Boot)和硬盤的係統引導扇區(MBR),還有這三種情況的混合型,例如:多型病毒(文件和引導型)感染文件和引導扇區兩種目標,這樣的病毒通常都具有復雜的算法,它們使用非常規的辦法侵入係統,同時使用了加密和變形算法。
按照計算機病毒傳染的方法進行分類:
(2)根據病毒傳染的方法可分為駐留型病毒和非駐留型病毒,駐留型病毒感染計算機後,把自身的內存駐留部分放在內存(RAM)中,這一部分程序挂接係統調用並合併到操作係統中去,他處於激活狀態,一直到關機或重新啓動.非駐留型病毒在得到機會激活時並不感染計算機內存,一些病毒在內存中留有小部分,但是並不通過這一部分進行傳染,這類病毒也被劃分為非駐留型病毒。
(3) 根據病毒破壞的能力可劃分為以下幾種:
無害型
除了傳染時減少磁盤的可用空間外,對係統沒有其它影響。
無危險型
這類病毒僅僅是減少內存、顯示圖像、發出聲音及同類音響。
危險型
這類病毒在計算機係統操作中造成嚴重的錯誤。
非常危險型
這類病毒刪除程序、破壞數據、清除係統內存區和操作係統中重要的信息。這些病毒對係統造成的危害,並不是本身的算法中存在危險的調用,而是當它們傳染時會引起無法預料的和災難性的破壞。由病毒引起其它的程序産生的錯誤也會破壞文件和扇區,這些病毒也按照他們引起的破壞能力劃分。一些現在的無害型病毒也可能會對新版的DOS、Windows和其它操作係統造成破壞。例如:在早期的病毒中,有一個“Denzuk”病毒在360K磁盤上很好的工作,不會造成任何破壞,但是在後來的高密度軟盤上卻能引起大量的數據丟失。
(4)根據病毒特有的算法,病毒可以劃分為:
1. 伴隨型病毒,這一類病毒並不改變文件本身,它們根據算法産生EXE文件的伴隨體,具有同樣的名字和不同的擴展名(COM),例如:XCOPY.EXE的伴隨體是XCOPY.COM。病毒把自身寫入COM文件並不改變EXE文件,當DOS加載文件時,伴隨體優先被執行到,再由伴隨體加載執行原來的EXE文件。
2. “蠕蟲”型病毒,通過計算機網絡傳播,不改變文件和資料信息,利用網絡從一臺機器的內存傳播到其它機器的內存,計算網絡地址,將自身的病毒通過網絡發送。有時它們在係統存在,一般除了內存不占用其它資源。
3. 寄生型病毒 除了伴隨和“蠕蟲”型,其它病毒均可稱為寄生型病毒,它們依附在係統的引導扇區或文件中,通過係統的功能進行傳播,按其算法不同可分為:練習型病毒,病毒自身包含錯誤,不能進行很好的傳播,例如一些病毒在調試階段。
4. 詭秘型病毒 它們一般不直接修改DOS中斷和扇區數據,而是通過設備技術和文件緩衝區等DOS內部修改,不易看到資源,使用比較高級的技術。利用DOS空閑的數據區進行工作。
5. 變型病毒(又稱幽靈病毒) 這一類病毒使用一個復雜的算法,使自己每傳播一份都具有不同的內容和長度。它們一般的作法是一段混有無關指令的解碼算法和被變化過的病毒體組成。
六、計算機病毒的發展,在病毒的發展史上,病毒的出現是有規律的,一般情況下一種新的病毒技術出現後,病毒迅速發展,接着反病毒技術的發展會抑製其流傳。操作係統升級後,病毒也會調整為新的方式,産生新的病毒技術。它可劃分為:
DOS引導階段
1987年,計算機病毒主要是引導型病毒,具有代表性的是“小球”和“石頭”病毒。當時的計算機硬件較少,功能簡單,一般需要通過軟盤啓動後使用.引導型病毒利用軟盤的啓動原理工作,它們修改係統啓動扇區,在計算機啓動時首先取得控製權,減少係統內存,修改磁盤讀寫中斷,影響係統工作效率,在係統存取磁盤時進行傳播;
1989年,引導型病毒發展為可以感染硬盤,典型的代表有“石頭2”;
DOS可執行階段
1989年,可執行文件型病毒出現,它們利用DOS係統加載執行文件的機製工作,代表為“耶路撒冷”,“星期天”病毒,病毒代碼在係統執行文件時取得控製權,修改DOS中斷,在係統調用時進行傳染,並將自己附加在可執行文件中,使文件長度增加。
1990年,發展為復合型病毒,可感染COM和EXE文件。
伴隨、批次型階段
1992年,伴隨型病毒出現,它們利用DOS加載文件的優先順序進行工作,具有代表性的是“金蟬”病毒,它感染EXE文件時生成一個和EXE同名但擴展名為COM的伴隨體;它感染文件時,改原來的COM文件為同名的EXE文件,再産生一個原名的伴隨體,文件擴展名為COM,這樣,在DOS加載文件時,病毒就取得控製權.這類病毒的特點是不改變原來的文件內容,日期及屬性,解除病毒時衹要將其伴隨體刪除即可。在非DOS操作係統中,一些伴隨型病毒利用操作係統的描述語言進行工作,具有典型代表的是“海盜旗”病毒,它在得到執行時,詢問用戶名稱和口令,然後返回一個出錯信息,將自身刪除。批次型病毒是工作在DOS下的和“海盜旗”病毒類似的一類病毒。
幽靈、多形階段
1994年,隨着匯編語言的發展,實現同一功能可以用不同的方式進行完成,這些方式的組合使一段看似隨機的代碼産生相同的運算結果。幽靈病毒就是利用這個特點,每感染一次就産生不同的代碼。例如“一半”病毒就是産生一段有上億種可能的解碼運算程序,病毒體被隱藏在解碼前的數據中,查解這類病毒就必須能對這段數據進行解碼,加大了查毒的難度。多形型病毒是一種綜合性病毒,它既能感染引導區又能感染程序區,多數具有解碼算法,一種病毒往往要兩段以上的子程序方能解除。
生成器,變體機階段
1995年,在匯編語言中,一些數據的運算放在不同的通用寄存器中,可運算出同樣的結果,隨機的插入一些空操作和無關指令,也不影響運算的結果,這樣,一段解碼算法就可以由生成器生成,當生成器的生成結果為病毒時,就産生了這種復雜的“病毒生成器” ,而變體機就是增加解碼復雜程度的指令生成機製。這一階段的典型代表是“病毒製造機” VCL,它可以在瞬間製造出成千上萬種不同的病毒,查解時就不能使用傳統的特徵識別法,需要在宏觀上分析指令,解碼後查解病毒。
網絡,蠕蟲階段
1995年,隨着網絡的普及,病毒開始利用網絡進行傳播,它們衹是以上幾代病毒的改進.在非DOS操作係統中,“蠕蟲”是典型的代表,它不占用除內存以外的任何資源,不修改磁盤文件,利用網絡功能搜索網絡地址,將自身嚮下一地址進行傳播,有時也在網絡服務器和啓動文件中存在。
視窗階段
1996年,隨着Windows和Windows95的日益普及,利用Windows進行工作的病毒開始發展,它們修改(NE,PE)文件,典型的代表是DS.3873,這類病毒的機製更為復雜,它們利用保護模式和API調用接口工作,解除方法也比較復雜。 宏病毒階段1996年,隨着Windows Word功能的增強,使用Word宏語言也可以編製病毒,這種病毒使用類Basic語言、編寫容易、感染Word文檔等文件,在Excel和AmiPro出現的相同工作機製的病毒也歸為此類,由於Word文檔格式沒有公開,這類病毒查解比較睏難;
互連網階段
1997年,隨着因特網的發展,各種病毒也開始利用因特網進行傳播,一些攜帶病毒的數據包和郵件越來越多,如果不小心打開了這些郵件,機器就有可能中毒;
爪哇(Java),郵件炸彈階段
1997年,隨着萬維網(Wold Wide Web)上Java的普及,利用Java語言進行傳播和資料獲取的病毒開始出現,典型的代表是JavaSnake病毒,還有一些利用郵件服務器進行傳播和破壞的病毒,例如Mail-Bomb病毒,它會嚴重影響因特網的效率。
七、其他的破壞行為,計算機病毒的破壞行為體現了病毒的殺傷能力。病毒破壞行為的激烈程度取决於病毒作者的主觀願望和他所具有的技術能量。數以萬計不斷發展擴張的病毒,其破壞行為千奇百怪,不可能窮舉其破壞行為,而且難以做全面的描述,根據現有的病毒資料可以把病毒的破壞目標和攻擊部位歸納如下: 攻擊係統數據區,攻擊部位包括:硬盤主引尋扇區、Boot扇區、FAT表、文件目錄等。一般來說,攻擊係統數據區的病毒是惡性病毒,受損的數據不易恢復。 攻擊文件,病毒對文件的攻擊方式很多,可列舉如下:刪除、改名、替換內容、丟失部分程序代碼、內容顛倒、寫入時間空白、變碎片、假冒文件、丟失文件簇、丟失數據文件等。攻擊內存,內存是計算機的重要資源,也是病毒攻擊的主要目標之一,病毒額外地占用和消耗係統的內存資源,可以導致一些較大的程序難以運行。病毒攻擊內存的方式如下:占用大量內存、改變內存總量、禁止分配內存、蠶食內存等。幹擾係統運行,此類型病毒會幹擾係統的正常運行,以此作為自己的破壞行為,此類行為也是花樣繁多,可以列舉下述諸方式:不執行命令、幹擾內部命令的執行、虛假報警、使文件打不開、使內部棧溢出、占用特殊數據區、時鐘倒轉、重啓動、死機、強製遊戲、擾亂串行口、並行口等。 速度下降,病毒激活時,其內部的時間延遲程序啓動,在時鐘中納入了時間的循環計數,迫使計算機空轉,計算機速度明顯下降。攻擊磁盤,攻擊磁盤數據、不寫盤、寫操作變讀操作、寫盤時丟字節等。 擾亂屏幕顯示,病毒擾亂屏幕顯示的方式很多,可列舉如下:字符跌落、環繞、倒置、顯示前一屏、光標下跌、滾屏、抖動、亂寫、吃字符等。 鍵盤病毒,幹擾鍵盤操作,已發現有下述方式:響鈴、封鎖鍵盤、換字、抹掉緩存區字符、重複、輸入紊亂等。 喇叭病毒,許多病毒運行時,會使計算機的喇叭發出響聲。有的病毒作者通過喇叭發出種種聲音,有的病毒作者讓病毒演奏旋律優美的世界名麯,在高雅的麯調中去殺戮人們的信息財富,已發現的喇叭發聲有以下方式:演奏麯子、警笛聲、炸彈噪聲、鳴叫、咔咔聲、嘀嗒聲等。 攻擊CMOS , 在機器的CMOS區中,保存着係統的重要數據,例如係統時鐘、磁盤類型、內存容量等,並具有校驗和。有的病毒激活時,能夠對CMOS區進行寫入動作,破壞係統CMOS中的數據。 幹擾打印機,典型現象為:假報警、間斷性打印、更換字符等。
八、計算機病毒的危害性,計算機資源的損失和破壞,不但會造成資源和財富的巨大浪費,而且有可能造成社會性的災難,隨着信息化社會的發展,計算機病毒的威脅日益嚴重,反病毒的任務也更加艱巨了。1988年11月2日下午5時1分59秒,美國康奈爾大學的計算機科學係研究生,23歲的莫裏斯(Morris)將其編寫的蠕蟲程序輸入計算機網絡,致使這個擁有數萬臺計算機的網絡被堵塞。這件事就像是計算機界的一次大地震,引起了巨大反響,震驚全世界,引起了人們對計算機病毒的恐慌,也使更多的計算機專傢重視和致力於計算機病毒研究。1988年下半年,我國在統計局係統首次發現了“小球”病毒,它對統計係統影響極大,此後由計算機病毒發作而引起的“病毒事件”接連不斷,前一段時間發現的CIH、美麗莎等病毒更是給社會造成了很大損失。
九、用戶計算機中毒的24種癥狀
1.計算機係統運行速度減慢。
2.計算機係統經常無故發生死機。
3.計算機係統中的文件長度發生變化。
4.計算機存儲的容量異常減少。
5.係統引導速度減慢。
6.丟失文件或文件損壞。
7.計算機屏幕上出現異常顯示。
8.計算機係統的蜂鳴器出現異常聲響。
9.磁盤捲標發生變化。
10.係統不識別硬盤。
11.對存儲係統異常訪問。
12.鍵盤輸入異常。
13.文件的日期、時間、屬性等發生變化。
14.文件無法正確讀取、復製或打開。
15.命令執行出現錯誤。
16.虛假報警。
17.換當前盤。有些病毒會將當前盤切換到C盤。
18.時鐘倒轉。有些病毒會命名係統時間倒轉,逆嚮計時。
19.WINDOWS操作係統無故頻繁出現錯誤。
20.係統異常重新啓動。
21.一些外部設備工作異常。
22.異常要求用戶輸入密碼。
23.WORD或EXCEL提示執行“宏”。
24.是不應駐留內存的程序駐留內存。
計算機病毒是在什麽情況下出現的?
計算機病毒的産生是計算機技術和以計算機為核心的社會信息化進程發展到一定階段的必然産物。它産生的背景是:
(1)計算機病毒是計算機犯罪的一種新的衍化形式
計算機病毒是高技術犯罪, 具有瞬時性、動態性和隨機性。不易取證, 風險小破壞大, 從而刺激了犯罪意識和犯罪活動。是某些人惡作劇和報復心態在計算機應用領域的表現;
(2)計算機軟硬件産品的脆弱性是根本的技術原因
計算機是電子産品。數據從輸入、存儲、處理、輸出等環節, 易誤入、篡改、丟失、作假和破壞;程序易被刪除、改寫;計算機軟件設計的手工方式, 效率低下且生産周期長;人們至今沒有辦法事先瞭解一個程序有沒有錯誤, 衹能在運行中發現、修改錯誤, 並不知道還有多少錯誤和缺陷隱藏在其中。這些脆弱性就為病毒的侵入提供了方便; | | 病毒是怎麽命名的?
很多時候大傢已經用殺毒軟件查出了自己的機子中了例如Backdoor.RmtBomb.12 、Trojan.Win32.SendIP.15 等等這些一串英文還帶數字的病毒名,這時有些人就蒙了,那麽長一串的名字,我怎麽知道是什麽病毒啊?
其實衹要我們掌握一些病毒的命名規則,我們就能通過殺毒軟件的報告中出現的病毒名來判斷該病毒的一些共有的特性了:一般格式為:<病毒前綴>.<病毒名>.<病毒後綴>
病毒前綴是指一個病毒的種類,他是用來區別病毒的種族分類的。不同的種類的病毒,其前綴也是不同的。比如我們常見的木馬病毒的前綴 Trojan ,蠕蟲病毒的前綴是 Worm 等等還有其他的。
病毒名是指一個病毒的傢族特徵,是用來區別和標識病毒傢族的,如以前著名的CIH病毒的傢族名都是統一的“ CIH ”,振蕩波蠕蟲病毒的傢族名是“ Sasser ”。
病毒後綴是指一個病毒的變種特徵,是用來區別具體某個傢族病毒的某個變種的。一般都采用英文中的26個字母來表示,如 Worm.Sasser.b 就是指 振蕩波蠕蟲病毒的變種B,因此一般稱為 “振蕩波B變種”或者“振蕩波變種B”。如果該病毒變種非常多,可以采用數字與字母混合表示變種標識。
主名稱
病毒的主名稱是由分析員根據病毒體的特徵字符串、特定行為或者所使用的編譯平臺來定的,如果無法確定則可以用字符串”Agent”來代替主名稱,小於10k大小的文件可以命名為“Samll”。
版本信息
版本信息衹允許為數字,對於版本信息不明確的不加版本信息。
主名稱變種號
如果病毒的主行為類型、行為類型、宿主文件類型、主名稱均相同,則認為是同一傢族的病毒,這時需要變種號來區分不同的病毒記錄。如果一位版本號不夠用則最多可以擴展3位,並且都均為小寫字母a—z,如:aa、ab、aaa、aab以此類推。由係統自動計算,不需要人工輸入或選擇。
附屬名稱
病毒所使用的有輔助功能的可運行的文件,通常也作為病毒添加到病毒庫中,這種類型的病毒記錄需要附屬名稱來與病毒主體的病毒記錄進行區分。附屬名稱目前有以下幾種:
Client 說明:後門程序的控製端
KEY_HOOK 說明:用於挂接鍵盤的模塊
API_HOOK 說明:用於挂接API的模塊
Install 說明:用於安裝病毒的模塊
Dll 說明:文件為動態庫,並且包含多種功能
(空) 說明:沒有附屬名稱,這條記錄是病毒主體記錄
附屬名稱變種號
如果病毒的主行為類型、行為類型、宿主文件類型、主名稱、主名稱變種號、附屬名稱均相同,則認為是同一傢族的病毒,這時需要變種號來區分不同的病毒記錄。變種號為不寫字母a—z,如果一位版本號不夠用則最多可以擴展3位,如:aa、ab、aaa、aab以此類推。由係統自動計算,不需要人工輸入或選擇。
病毒長度
病毒長度字段衹用於主行為類型為感染型(Virus)的病毒,字段的值為數字。字段值為0,表示病毒長度可變。
下面附帶一些常見的病毒前綴的解釋(針對我們用得最多的Windows操作係統):
(1)係統病毒
係統病毒的前綴為:Win32、PE、Win95、W32、W95等。這些病毒的一般共有的特性是可以感染windows操作係統的 *.exe 和 *.dll 文件,並通過這些文件進行傳播。如CIH病毒。
(2)蠕蟲病毒
蠕蟲病毒的前綴是:Worm。這種病毒的共有特性是通過網絡或者係統漏洞進行傳播,很大部分的蠕蟲病毒都有嚮外發送帶毒郵件,阻塞網絡的特性。比如衝擊波(阻塞網絡),小郵差(發帶毒郵件) 等。
(3)木馬病毒、黑客病毒
木馬病毒其前綴是:Trojan,黑客病毒前綴名一般為 Hack 。木馬病毒的共有特性是通過網絡或者係統漏洞進入用戶的係統並隱藏,然後嚮外界泄露用戶的信息,而黑客病毒則有一個可視的界面,能對用戶的電腦進行遠程控製。木馬、黑客病毒往往是成對出現的,即木馬病毒負責侵入用戶的電腦,而黑客病毒則會通過該木馬病毒來進行控製。現在這兩種類型都越來越趨嚮於整合了。一般的木馬如QQ消息尾巴木馬 Trojan.QQ3344 ,還有大傢可能遇見比較多的針對網絡遊戲的木馬病毒如 Trojan.LMir.PSW.60 。這裏補充一點,病毒名中有PSW或者什麽PWD之類的一般都表示這個病毒有盜取密碼的功能(這些字母一般都為“密碼”的英文“password”的縮寫)一些黑客程序如:網絡梟雄(Hack.Nether.Client)等。
(4)腳本病毒
腳本病毒的前綴是:Script。腳本病毒的共有特性是使用腳本語言編寫,通過網頁進行的傳播的病毒,如紅色代碼(Script.Redlof)。腳本病毒還會有如下前綴:VBS、JS(表明是何種腳本編寫的),如歡樂時光(VBS.Happytime)、十四日(Js.Fortnight.c.s)等。
(5)宏病毒
其實宏病毒是也是腳本病毒的一種,由於它的特殊性,因此在這裏單獨算成一類。宏病毒的前綴是:Macro,第二前綴是:Word、Word97、Excel、Excel97(也許還有別的)其中之一。凡是衹感染WORD97及以前版本WORD文檔的病毒采用Word97做為第二前綴,格式是:Macro.Word97;凡是衹感染WORD97以後版本WORD文檔的病毒采用Word做為第二前綴,格式是:Macro.Word;凡是衹感染EXCEL97及以前版本EXCEL文檔的病毒采用Excel97做為第二前綴,格式是:Macro.Excel97;凡是衹感染EXCEL97以後版本EXCEL文檔的病毒采用Excel做為第二前綴,格式是:Macro.Excel,以此類推。該類病毒的共有特性是能感染OFFICE係列文檔,然後通過OFFICE通用模板進行傳播,如:着名的美麗莎(Macro.Melissa)。
(6)後門病毒
後門病毒的前綴是:Backdoor。該類病毒的共有特性是通過網絡傳播,給係統開後門,給用戶電腦帶來安全隱患。
(7)病毒種植程序病毒
這類病毒的共有特性是運行時會從體內釋放出一個或幾個新的病毒到係統目錄下,由釋放出來的新病毒産生破壞。如:冰河播種者(Dropper.BingHe2.2C)、MSN射手(Dropper.Worm.Smibag)等。
(8)破壞性程序病毒
破壞性程序病毒的前綴是:Harm。這類病毒的共有特性是本身具有好看的圖標來誘惑用戶點擊,當用戶點擊這類病毒時,病毒便會直接對用戶計算機産生破壞。如:格式化C盤(Harm.formatC.f)、殺手命令(Harm.Command.Killer)等。
(9)玩笑病毒
玩笑病毒的前綴是:Joke。也稱惡作劇病毒。這類病毒的共有特性是本身具有好看的圖標來誘惑用戶點擊,當用戶點擊這類病毒時,病毒會做出各種破壞操作來嚇唬用戶,其實病毒並沒有對用戶電腦進行任何破壞。如:女鬼(Joke.Girl ghost)病毒。
(10)捆綁機病毒
捆綁機病毒的前綴是:Binder。這類病毒的共有特性是病毒作者會使用特定的捆綁程序將病毒與一些應用程序如QQ、IE捆綁起來,表面上看是一個正常的文件,當用戶運行這些捆綁病毒時,會表面上運行這些應用程序,然後隱藏運行捆綁在一起的病毒,從而給用戶造成危害。如:捆綁QQ(Binder.QQPass.QQBin)、係統殺手(Binder.killsys)等。
以上為比較常見的病毒前綴,有時候我們還會看到一些其他的,但比較少見,這裏簡單提一下:
DoS:會針對某臺主機或者服務器進行DoS攻擊;
Exploit:會自動通過溢出對方或者自己的係統漏洞來傳播自身,或者他本身就是一個用於Hacking的溢出工具;
HackTool:黑客工具,也許本身並不破壞你的機子,但是會被別人加以利用來用你做替身去破壞別人。
你可以在查出某個病毒以後通過以上所說的方法來初步判斷所中病毒的基本情況,達到知己知彼的效果。在殺毒無法自動查殺,打算采用手工方式的時候這些信息會給你很大的幫助
計算機病毒的傳染通過哪些途徑?
計算機病毒之所以稱之為病毒是因為其具有傳染性的本質。傳統渠道通常有以下幾種:
(1)通過軟盤:通過使用外界被感染的軟盤, 例如, 不同渠道來的係統盤、來歷不明的軟件、遊戲盤等是最普遍的傳染途徑。由於使用帶有病毒的軟盤, 使機器感染病毒發病, 並傳染給未被感染的“幹淨”的軟盤。大量的軟盤交換, 合法或非法的程序拷貝, 不加控製地隨便在機器上使用各種軟件造成了病毒感染、泛濫蔓延的溫床。
(2)通過硬盤:通過硬盤傳染也是重要的渠道, 由於帶有病毒機器移到其它地方使用、維修等, 將幹淨的軟盤傳染並再擴散。
(3)通過光盤:因為光盤容量大,存儲了海量的可執行文件,大量的病毒就有可能藏身於光盤,對衹讀式光盤,不能進行寫操作,因此光盤上的病毒不能清除。以謀利為目的非法盜版軟件的製作過程中,不可能為病毒防護擔負專門責任,也决不會有真正可靠可行的技術保障避免病毒的傳入、傳染、流行和擴散。當前,盜版光盤的泛濫給病毒的傳播帶來了很大的便利。
(4)通過網絡:這種傳染擴散極快, 能在很短時間內傳遍網絡上的機器。
隨着Internet的風靡,給病毒的傳播又增加了新的途徑,它的發展使病毒可能成為災難,病毒的傳播更迅速,反病毒的任務更加艱巨。Internet帶來兩種不同的安全威脅,一種威脅來自文件下載,這些被瀏覽的或是被下載的文件可能存在病毒。另一種威脅來自電子郵件。大多數Internet郵件係統提供了在網絡間傳送附帶格式化文檔郵件的功能,因此,遭受病毒的文檔或文件就可能通過網關和郵件服務器涌入企業網絡。網絡使用的簡易性和開放性使得這種威脅越來越嚴重。
計算機病毒的傳染是否一定要滿足條件纔進行?
不一定。
計算機病毒的傳染分兩種。一種是在一定條件下方可進行傳染, 即條件傳染。另一種是對一種傳染對象的反復傳染即無條件傳染。
從目前蔓延傳播病毒來看所謂條件傳染, 是指一些病毒在傳染過程中, 在被傳染的係統中的特定位置上打上自己特有的示志。這一病毒在再次攻擊這一係統時, 發現有自己的標志則不再進行傳染, 如果是一個新的係統或軟件, 首先讀特定位置的值, 並進行判斷, 如果發現讀出的值與自己標識不一致, 則對這一係統或應用程序, 或數據盤進行傳染, 這是一種情況;另一種情況, 有的病毒通過對文件的類型來判斷是否進行傳染, 如黑色星期五病毒衹感染.COM或.EXE文件等等;還有一種情況有的病毒是以計算機係統的某些設備為判斷條件來决定是否感染。例如大麻病毒可以感染硬盤, 又可以感染軟盤, 但對B驅動器的軟盤進行讀寫操作時不傳染。但我們也發現有的病毒對傳染對象反復傳染。例如黑色星期五病毒衹要發現.EXE文件就進行一次傳染, 再運行再進行傳染反復進行下去。
可見有條件時病毒能傳染, 無條件時病毒也可以進行傳染。
計算機病毒傳染的一般過程是什麽?
在係統運行時, 病毒通過病毒載體即係統的外存儲器進入係統的內存儲器, 常駐內存。該病毒在係統內存中監視係統的運行, 當它發現有攻擊的目標存在並滿足條件時, 便從內存中將自身存入被攻擊的目標, 從而將病毒進行傳播。而病毒利用係統INT 13H讀寫磁盤的中斷又將其寫入係統的外存儲器軟盤或硬盤中, 再感染其他係統。
可執行文件感染病毒後又怎樣感染新的可執行文件?
可執行文件.COM或.EXE感染上了病毒, 例如黑色星期五病毒, 它駐入內存的條件是在執行被傳染的文件時進入內存的。一旦進入內存, 便開始監視係統的運行。當它發現被傳染的目標時, 進行如下操作:
(1)首先對運行的可執行文件特定地址的標識位信息進行判斷是否已感染了病毒;
(2)當條件滿足, 利用INT 13H將病毒鏈接到可執行文件的首部或尾部或中間, 並存大磁盤中;
(3)完成傳染後, 繼續監視係統的運行, 試圖尋找新的攻擊目標。
操作係統型病毒是怎樣進行傳染的?
正常的PC DOS啓動過程是:
(1)加電開機後進入係統的檢測程序並執行該程序對係統的基本設備進行檢測;
(2)檢測正常後從係統盤00道1扇區即邏輯0扇區讀入Boot引導程序到內存的0000: 7C00處;
(3)轉入Boot執行;
(4)Boot判斷是否為係統盤, 如果不是係統盤則提示;
non-system disk or disk error
Replace and strike any key when ready
否則, 讀入IBM BIO.COM和IBM DOS.COM兩個隱含文件;
(5)執行IBM BIO.COM和IBM DOS.COM兩個隱含文件, 將COMMAND.COM裝入內存;
(6)係統正常運行, DOS啓動成功。
如果係統盤已感染了病毒, PC DOS的啓動將是另一番景象, 其過程為:
(1)將Boot區中病毒代碼首先讀入內存的0000: 7C00處;
(2)病毒將自身全部代碼讀入內存的某一安全地區、常駐內存, 監視係統的運行;
(3)修改INT 13H中斷服務處理程序的入口地址, 使之指嚮病毒控製模塊並執行之。因為任何一種病毒要感染軟盤或者硬盤, 都離不開對磁盤的讀寫操作, 修改INT 13H中斷服務程序的入口地址是一項少不了的操作;
(4)病毒程序全部被讀入內存後纔讀入正常的Boot內容到內存的0000: 7C00處, 進行正常的啓動過程;
(5)病毒程序伺機等待隨時準備感染新的係統盤或非係統盤。
如果發現有可攻擊的對象, 病毒要進行下列的工作:
(1)將目標盤的引導扇區讀入內存, 對該盤進行判別是否傳染了病毒;
(2)當滿足傳染條件時, 則將病毒的全部或者一部分寫入Boot區, 把正常的磁盤的引導區程序寫入磁盤特寫位置;
(3)返回正常的INT 13H中斷服務處理程序, 完成了對目標盤的傳染。
操作係統型病毒在什麽情況下對軟、硬盤進行感染?
操作係統型病毒衹有在係統引導時進入內存。如果一個軟盤染有病毒, 但並不從它上面引導係統,則病毒不會進入內存, 也就不能活動。例如圓點病毒感染軟盤、硬盤的引導區, 衹要用帶病毒的盤啓動係統後, 病毒便駐留內存, 對哪個盤進行操作, 就對哪個盤進行感染。
操作係統型病毒對非係統盤感染病毒後最簡單的處理方法是什麽?
因為操作係統型病毒衹有在係統引導時纔進入內存, 開始活動, 對非係統盤感染病毒後, 不從它上面引導係統, 則病毒不會進入內存。這時對已感染的非係統盤消毒最簡單的方法是將盤上有用的文件拷貝出來, 然後將帶毒盤重新格式化即可。 | | Backdoor,危害級別:1,
說明: 中文名稱—“後門”, 是指在用戶不知道也不允許的情況下,在被感染的係統上以隱蔽的方式運行可以對被感染的係統進行遠程控製,而且用戶無法通過正常的方法禁止其運行。“後門”其實是木馬的一種特例,它們之間的區別在於“後門”可以對被感染的係統進行遠程控製(如:文件管理、進程控製等)。
Worm,危害級別:2,
說明: 中文名稱—“蠕蟲”,是指利用係統的漏洞、外發郵件、共享目錄、可傳輸文件的軟件(如:MSN、OICQ、IRC等)、可移動存儲介質(如:U盤、軟盤),這些方式傳播自己的病毒。這種類型的病毒其子型行為類型用於表示病毒所使用的傳播方式。
Mail,危害級別:1說明:通過郵件傳播
IM,危害級別:2,說明:通過某個不明確的載體或多個明確的載體傳播自己
MSN,危害級別:3,說明:通過MSN傳播
QQ,危害級別:4,說明:通過OICQ傳播
ICQ危害級別:5,說明:通過ICQ傳播
P2P,危害級別:6,說明:通過P2P軟件傳播
IRC,危害級別:7,說明:通過ICR傳播
其他,說明:不依賴其他軟件進行傳播的傳播方式,如:利用係統漏洞、共享目錄、可移動存儲介質。
Trojan,危害級別:3,說明: 中文名稱—“木馬”,是指在用戶不知道也不允許的情況下,在被感染的係統上以隱蔽的方式運行,而且用戶無法通過正常的方法禁止其運行。這種病毒通常都有利益目的,它的利益目的也就是這種病毒的子行為。
Spy,危害級別:1,說明:竊取用戶信息(如文件等)
PSW,危害級別:2,說明:具有竊取密碼的行為
DL,危害級別:3,說明:下載病毒並運行,判定條款:沒有可調出的任何界面,邏輯功能為:從某網站上下載文件加載或運行.
邏輯條件引發的事件:
事件1、.不能正常下載或下載的文件不能判定為病毒 ,操作準則:該文件不能符合正常軟件功能組件標識條款的,確定為:Trojan.DL
事件2.下載的文件是病毒,操作準則: 下載的文件是病毒,確定為: Trojan.DL
IMMSG,危害級別:4,說明:通過某個不明確的載體或多個明確的載體傳播即時消息(這一行為與蠕蟲的傳播行為不同,蠕蟲是傳播病毒自己,木馬僅僅是傳播消息)
MSNMSG,危害級別:5,說明:通過MSN傳播即時消息
QQMSG,危害級別:6,說明:通過OICQ傳播即時消息
ICQMSG,危害級別:7,說明:通過ICQ傳播即時消息
UCMSG,危害級別:8,說明:通過UC傳播即時消息
Proxy,危害級別:9,說明:將被感染的計算機作為代理服務器
Clicker,危害級別:10,說明:點擊指定的網頁 ,判定條款:沒有可調出的任何界面,邏輯功能為:點擊某網頁。
操作準則:該文件不符合正常軟件功能組件標識條款的,確定為:Trojan.Clicker。
(該文件符合正常軟件功能組件標識條款,就參考流氓軟件判定規則進行流氓軟件判定)
Dialer,危害級別:12,說明:通過撥號來騙取Money的程序 ,註意:無法描述其利益目的但又符合木馬病毒的基本特徵,則不用具體的子行為進行描述
AOL、Notifier ,按照原來病毒名命名保留。
Virus,危害級別:4,說明:中文名稱—“感染型病毒”,是指將病毒代碼附加到被感染的宿主文件(如:PE文件、DOS下的COM文件、VBS文件、具有可運行宏的文件)中,使病毒代碼在被感染宿主文件運行時取得運行權的病毒。
Harm,危害級別:5,說明:中文名稱—“破壞性程序”,是指那些不會傳播也不感染,運行後直接破壞本地計算機(如:格式化硬盤、大量刪除文件等)導致本地計算機無法正常使用的程序。
Dropper,危害級別:6,說明:中文名稱—“釋放病毒的程序”,是指不屬於正常的安裝或自解壓程序,並且運行後釋放病毒並將它們運行。
判定條款:沒有可調出的任何界面,邏輯功能為:自釋放文件加載或運行。
邏輯條件引發的事件:
事件1:.釋放的文件不是病毒。 操作準則: 釋放的文件和釋放者本身沒邏輯關係並該文件不符合正常軟件功能組件標識條款的,確定為:Droper
事件2:釋放的文件是病毒。 操作準則: 釋放的文件是病毒,確定該文件為:Droper
Hack,危害級別:無 ,說明:中文名稱—“黑客工具”,是指可以在本地計算機通過網絡攻擊其他計算機的工具。
Exploit,漏洞探測攻擊工具
DDoser,拒絶服務攻擊工具
Flooder,洪水攻擊工具 ,註意:不能明確攻擊方式並與黑客相關的軟件,則不用具體的子行為進行描述
Spam,垃圾郵件
Nuker、Sniffer、Spoofer、Anti,說明:免殺的黑客工具
Binder,危害級別:無 ,說明:捆綁病毒的工具
正常軟件功能組件標識條款:被檢查的文件體內有以下信息能標識出該文件是正常軟件的功能組件:文件版本信息,軟件信息(註册表鍵值、安裝目錄)等。
宿主文件
宿主文件是指病毒所使用的文件類型,有是否顯示的屬性。目前的宿主文件有以下幾種。
JS 說明:JavaScript腳本文件
VBS 說明:VBScript腳本文件
HTML 說明:HTML文件
Java 說明:Java的Class文件
COM 說明:Dos下的Com文件
EXE 說明:Dos下的Exe文件
Boot 說明:硬盤或軟盤引導區
Word 說明:MS公司的Word文件
Excel 說明:MS公司的Excel文件
PE 說明:PE文件
WinREG 說明:註册表文件
Ruby 說明:一種腳本
Python 說明:一種腳本
BAT 說明:BAT腳本文件
IRC 說明:IRC腳本 | | 1.Elk Cloner(1982年)
它被看作攻擊個人計算機的第一款全球病毒,也是所有令人頭痛的安全問題先驅者。它通過蘋果Apple II軟盤進行傳播。這個病毒被放在一個遊戲磁盤上,可以被使用49次。在第50次使用的時候,它並不運行遊戲,取而代之的是打開一個空白屏幕,並顯示一首短詩。
2.Brain(1986年)
Brain是第一款攻擊運行微軟的受歡迎的操作係統DOS的病毒,可以感染感染360K軟盤的病毒,該病毒會填充滿軟盤上未用的空間,而導致它不能再被使用。
3.Morris(1988年)
Morris該病毒程序利用了係統存在的弱點進行入侵,Morris設計的最初的目的並不是搞破壞,而是用來測量網絡的大小。但是,由於程序的循環沒有處理好,計算機會不停地執行、復製Morris,最終導致死機。
4.CIH(1998)
CIH病毒是迄今為止破壞性最嚴重的病毒,也是世界上首例破壞硬件的病毒。它發作時不僅破壞硬盤的引導區和分區表,而且破壞計算機係統BIOS,導致主板損壞。 此病毒是由臺灣大學生陳盈豪研製的,據說他研製此病毒的目的是紀念1986年的災難或是讓反病毒軟件難堪。
5.Melissa(1999年)
Melissa是最早通過電子郵件傳播的病毒之一,當用戶打開一封電子郵件的附件,病毒會自動發送到用戶通訊簿中的前50個地址,因此這個病毒在數小時之內傳遍全球。
6.Love bug(2000年)
Love bug也通過電子郵件附近傳播,它利用了人類的本性,把自己偽裝成一封求愛信來欺騙收件人打開。這個病毒以其傳播速度和範圍讓安全專傢吃驚。在數小時之內,這個小小的計算機程序徵服了全世界範圍之內的計算機係統。
7.“紅色代碼”(2001年)
被認為是史上最昂貴的計算機病毒之一,這個自我復製的惡意代碼“紅色代碼”利用了微軟IIS服務器中的一個漏洞。該蠕蟲病毒具有一個更惡毒的版本,被稱作紅色代碼II。這兩個病毒都除了可以對網站進行修改外,被感染的係統性能還會嚴重下降。
8.“衝擊波”(2003年)
衝擊波病毒的英文名稱是Blaster,還被叫做Lovsan或Lovesan,它利用了微軟軟件中的一個缺陷,對係統端口進行瘋狂攻擊,可以導致係統崩潰。
9.“震蕩波”(2004年)
震蕩波是又一個利用Windows缺陷的蠕蟲病毒,震蕩波可以導致計算機崩潰並不斷重啓。
10.“熊貓燒香”(2007年)
熊貓燒香會使所有程序圖標變成熊貓燒香,並使它們不能應用。
11.“掃蕩波”(2008年)
同衝擊波和震蕩波一樣,也是個利用漏洞從網絡入侵的程序。而且正好在黑屏事件,大批用戶關閉自動更新以後,這更加劇了這個病毒的蔓延。這個病毒可以導致被攻擊者的機器被完全控製。
12.“母馬下載器”(2009年)
本年度的新病毒,中毒後會産生1000~2000不等的木馬病毒,導致係統崩潰,短短3天變成360安全衛士首殺榜前3名(現在位居榜首)
13.Nimda
尼姆達(Nimda)是歷史上傳播速度最快的病毒之一,在上綫之後的22分鐘之後就成為傳播最廣的病毒。
14.Conficker
Conficker.C病毒原來要在2009年3月進行大量傳播,然後在4月1日實施全球性攻擊,引起全球性災難。不過,這種病毒實際上沒有造成什麽破壞。 | | 1. 建立良好的安全習慣
例如:對一些來歷不明的郵件及附件不要打開,不要上一些不太瞭解的網站、不要執行從 Internet 下載後未經殺毒處理的軟件等,這些必要的習慣會使您的計算機更安全。
2. 關閉或刪除係統中不需要的服務
默認情況下,許多操作係統會安裝一些輔助服務,如 FTP 客戶端、Telnet 和 Web 服務器。這些服務為攻擊者提供了方便,而又對用戶沒有太大用處,如果刪除它們,就能大大減少被攻擊的可能性。
3. 經常升級安全補丁
據統計,有80%的網絡病毒是通過係統安全漏洞進行傳播的,象蠕蟲王、衝擊波、震蕩波等,所以我們應該定期到微軟網站去下載最新的安全補丁,以防範未然。
4. 使用復雜的密碼
有許多網絡病毒就是通過猜測簡單密碼的方式攻擊係統的,因此使用復雜的密碼,將會大大提高計算機的安全係數。
5. 迅速隔離受感染的計算機
當您的計算機發現病毒或異常時應立刻斷網,以防止計算機受到更多的感染,或者成為傳播源,再次感染其它計算機。
6. 瞭解一些病毒知識
這樣就可以及時發現新病毒並采取相應措施,在關鍵時刻使自己的計算機免受病毒破壞。如果能瞭解一些註册表知識,就可以定期看一看註册表的自啓動項是否有可疑鍵值;如果瞭解一些內存知識,就可以經常看看內存中是否有可疑程序。
7. 最好安裝專業的殺毒軟件進行全面監控
在病毒日益增多的今天,使用殺毒軟件進行防毒,是越來越經濟的選擇,不過用戶在安裝了反病毒軟件之後,應該經常進行升級、將一些主要監控經常打開(如郵件監控)、內存監控等、遇到問題要上報, 這樣才能真正保障計算機的安全。
8. 用戶還應該安裝個人防火墻軟件進行防黑
由於網絡的發展,用戶電腦面臨的黑客攻擊問題也越來越嚴重,許多網絡病毒都采用了黑客的方法來攻擊用戶電腦,因此,用戶還應該安裝個人防火墻軟件,將安全級別設為中、高,這樣才能有效地防止網絡上的黑客攻擊。 | | 【dhx.pro原創】轉載請留下作者信息【http://hi.baidu.com/110denghai】
一般大範圍傳播的病毒都會讓用戶在重新啓動電腦的時候能夠自動運行病毒,來達到長時間感染計算機並擴大病毒的感染能力。
通常病毒感染計算機第一件事情就是殺掉他們的天敵--安全軟件, 比如卡巴斯基,360安全衛士,NOD32 等等。這樣我們就不能通過使用殺毒軟件的方法來處理已經感染病毒的電腦。那麽我說一下手動殺毒方法。
我們要解决病毒可以首先解决在計算機重啓以後自我啓動。
通常病毒會這樣進行自我啓動
直接自啓動,1.引導扇區 2.驅動 3.服務4.註册表 。
間接自啓動:印象劫持,autorun.inf文件,HOOK,感染文件。放置一個誘惑圖標讓用戶點擊……
知道上面病毒的啓動原理,不難得出清理方式:首先刪掉註册表文件中病毒的啓動項。最最常見啓動位置在[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun] ,刪除所有該子項內的字符串等,衹留下cftmon.exe 。 立即按機箱上的重啓鍵,不讓病毒回寫註册表(正常關機可能會激活病毒回寫進啓動項目,比如“磁碟機”)。如果病毒仍然啓動,就要懷疑有服務,或者驅動。那麽這個時候就需要有一定計算機能力的人,用批處理或者其他的程序同時找到並關閉病毒的服務和刪除註册表,然後快速關機。驅動一般在係統下很難刪除,所以可以用上面介紹的Xdelete 或者icesword,wsyscheck或者進入DOS,WPE等其他係統進行刪除。
如果 是通過引導扇區啓動,我們還要用其他軟件,比如diskgen,重寫主引導記錄。如果是通故BIOS啓動,用放電法還原BIOS。
當病毒不能啓動以後,他們就像一堆垃圾在我們電腦上面,然後我們需要註意不要再激活病毒,刪掉autorun.inf ,可疑文件,刪除印象劫持的註册表,等可能觸發病毒的係統設置,用幹淨的U盤去其他電腦拷貝一個殺毒軟件安裝以後,升級到最新的病毒庫,全盤查殺病毒殘留。
上面我說了通過不讓病毒在重啓電腦以後啓動的 方法刪除病毒,下面我來說一下通過直接刪除病毒文件方法。
在病毒正在運行的係統裏,直接刪除病毒文件會很難的。如果在網上找到該病毒機理,進入DOS ,找到所有病毒文件路徑,可以很輕鬆的刪除病毒文件(除了感染型病毒)。我推薦最好用PE(不懂PE的上百科看),用有一個可以啓動電腦的裝PE 的U盤,或者光盤啓動電腦,進入可以進入完全無毒的係統,然後使用緑色版的殺毒軟件(網上有,我試過緑色卡巴和nod32,很好,可以在PE 運行)全盤查殺。殺毒完以後,我們先不要重新啓動電腦,看看到底刪除了什麽,如果有被感染的係統文件刪掉了,註意從相同係統拷貝一個,否則可能不能開機。然後重啓,進係統用其他安全軟件修復係統。
真正我們電腦感染上棘手的病毒,最簡單有效的方法就是重裝係統。如果C盤(係統盤)有重要資料先備份。不能開機,可以進入PE備份。
問: 為什麽我重裝了幾次還是有病毒,是不是這個病毒很厲害?
答: 首先我要說明幾點,一。重裝以後的係統是幹淨的。二遇到引導性病毒,感染BIOS病毒可能非常小,就像中彩票。
這種情況是由於其他盤任然有病毒殘留,比如有如果有autorun.inf 類型的病毒,雙擊打開DEF等盤的時候就會啓動病毒,或者病毒感染了其他盤上的文件,你重裝係統以後,運行這個文件的時候,就又啓動病毒。 正確的方法是,找一個高手,或者不要打開除C:(係統盤)以外的任何盤,然後上網或者U盤下載一個殺毒軟件,升級更新以後,全盤殺毒。
【預防】
1.殺毒軟件經常更新,以快速檢測到可能入侵計算機的新病毒或者變種。
2.使用安全監視軟件(和殺毒軟件不同比如360安全衛士,瑞星卡卡)主要防止瀏覽器被異常修改,插入鈎子,安裝不安全惡意的插件。
3.使用防火墻或者殺毒軟件自帶防火墻。
4,關閉電腦自動播放(網上有)並對電腦和移動儲存工具進行常見病毒免疫。
5.定時全盤病毒木馬掃描。
6. 註意網址正確性,避免進入山寨網站。
下面推薦幾款軟件:
推薦:殺毒軟件,卡巴斯基,NOD32。
推薦:U盤病毒專殺:AutoGuarder2
推薦:安全軟件:360安全衛士(可以查殺木馬)
推薦:單獨防火墻:天網,comodo,或者殺毒軟件自帶防火墻。
推薦:內網用戶使用antiARP,防範內網ARP欺騙病毒(比如:磁碟機,機械狗)
推薦: 使用超級巡警免疫工具。
推薦:高手使用 SSM(system safety monitor)
2009.1.22 | | 1.點擊 開始-- 程序-- 啓動,看一看裏面有沒有壞傢夥
打開註册表(開始-- 運行 輸入:regedit,回車),按以下路徑展開註册表左邊樹狀表
2.HKEY_CURRENT_USERSoftwareMicrosoftWindowsNTCurrentVersionWindowsload,觀察一下有沒有可疑程序安傢
3.HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsNTCurrentVersionWinlogonUserinit,找找有沒有病毒在這裏申請運行
4.HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun
5.HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunServicesOnce
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesOnce
6.HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunServices
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices
7.HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnceSetup
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnceSetup
8.HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce
在XP中還有HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnceEX
9.HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
p.s 微軟給病毒留的後門還真多……
打開係統配置實用程序(開始-- 運行 輸入:msconfig,回車)還能檢查System.ini與Win.ini
總之病毒入侵防不勝防,大傢還是花點人民幣買殺毒軟件吧
計算機病毒
根據衆多高手的見解,總結如下:
計算機病毒類似於生物病毒,它能把自身依附着在文件上或寄生在存儲媒體裏,能對計算機係統進行各種破壞;同時有獨特的復製能力,能夠自我復製;具有傳染性可以很快地傳播蔓延,當文件被復製或在網絡中從一個用戶傳送到另一個用戶時,它們就隨同文件一起蔓延開來,但又常常難以根除。與生物病毒不同的是幾乎所有的計算機病毒都是人為地製造出來的,是一段可執行代碼,一個程序。一般定義為:計算機病毒是能夠通過某種途徑潛伏在計算機存儲介質(或程序), 當達到某種條件時即被激活的具有對計算機資源進行破壞作用的一組程序或指令集合。 | | - n.: virus, computer virus
| | | 電腦病毒 | | | 傢禽 | 黑客 | 電腦 | 網絡 | 殺毒 | 木馬 | 計算機安全 | 動物 | | 鳥類 | 珍稀瀕危動物 | 歌麯 | 愛情 | 戀愛 | 情感 | 病毒 | 軟件 | | 希臘 | 傳說 | 遊戲王 | 蠕蟲病毒 | 常見病毒 | 黑客程序 | 木馬病毒 | 更多結果... |
| | | 防計算機病毒 | 計算機病毒史 | 計算機病毒對抗 | | 計算機病毒防護 | 計算機病毒狀態 | 櫻花計算機病毒 | | 計算機病毒潛伏性 | 計算機病毒傳染性 | 計算機病毒表現性 | | 計算機病毒破壞性 | 計算機病毒機器狗 | 歐洲反計算機病毒協會 | | 計算機病毒分析與對抗 | 計算機病毒分析與防範大全 | 計算機病毒原理與防範 | | 計算機病毒及其防治技術 | 計算機病毒防範藝術 | 計算機病毒原理與防治 | | 計算機病毒及其防範技術 | 計算機病毒自舉部分 | 計算機病毒之橙色八月 | | 計算機病毒防治管理辦法 | 計算機病毒“機器狗” | 計算機病毒應急處理中心 | | 計算機病毒分析與防治簡明教程 | 計算機病毒分析與防範大全(第2版) | 全球計算機病毒研究中心 | | 計算機病毒防治産品檢驗中心 | 為什麽計算機病毒武器比核武器更厲害 | 國傢計算機病毒應急處理中心 | | 計算機病毒防治産品評級準則 | |
| | | sars病毒 | cih病毒 | ie病毒 | rose病毒 | | 小dna病毒 | 911病毒 | qq病毒 | worm.japanize病毒 | | im病毒 | msn病毒 | cxw(trojan.dl.delf.cxw}病毒 | worm.logo.b病毒 | | redlof病毒 | funlove病毒 | sircam病毒 | aliz病毒 | | homepage病毒 | blebla.b病毒 | hybris病毒 | i-worm.mtx病毒 | | happytime病毒 | i-worm.magistr病毒 | i-worm.badtrans病毒 | win95.caw病毒 | | w32.navidad病毒 | win95.marburg病毒 | kriz.4029病毒 | yai病毒 | | cih_14病毒 | cih_13病毒 | prettypark病毒 | cih_12病毒 | | vbs_kakworm.a病毒 | vbs.freelink病毒 | win95.zippedfiles病毒 | vbs.iloveyou病毒 | | happy99病毒 | sub7病毒 | trojan.binghe病毒 | natas病毒 | | one_half病毒 | level42病毒 | v_8888病毒 | die_hard病毒 | | wm/cap.a病毒 | 1989病毒 | wm_concept.a病毒 | w97m_zhaojianli病毒 | | x97m_laroux_aj病毒 | w97m_birthday病毒 | class.cn病毒 | w97m_zhao病毒 | | twno.a病毒 | w97m_turn.a病毒 | w97m_story.a病毒 | w97m/thus.a病毒 | | w97m_newhope_a病毒 | w97m_ozwer.a病毒 | w97m/marker.c,病毒 | malaysia病毒 | | | | | | 更多結果... |
|
|
|