第十二讲网络安全与管理教师：汪洪祥项目4 计算机病毒及防治项目1 双机互连对等网络的组建2013/11/24本讲的主要内容：一、项目提出二、项目分析三、相关知识点1.病毒的定义与特征2.病毒的分类3.宏病毒的蠕虫病毒4.木马5.反病毒技术4.1 项目提出有一天，小李在QQ聊天时，收到一位网友发来的信息，如图4-1所示，出于好奇和对网友的信任，小李打开了网友提供的超链接，此时突然弹出一个无法关闭的窗口，提示系统即将在一分钟以后关机，并进入一分钟倒计时状态，如图4-2所示。

小李惊呼上当受骗，那么小李的计算机究竟怎么了？4.2 项目分析小李的计算机中了冲击波(Worm.Blaster)病毒。

2002年8月12日，冲击波病毒导致全球范围内数以亿计的计算机中毒，所带来的直接经济损失达数十亿美金。

病毒运行时会不停地利用IP扫描技术寻找网络上系统为Windows 2000或XP的计算机，找到后就利用RPC缓冲区漏洞攻击该系统，一旦攻击成功，病毒体将会被传送到对方计算机中进行感染，使系统操作异常、不停重新启动、甚至导致系统崩溃。

另外，该病毒还会对Microsoft的一个升级网站进行拒绝服务攻击，导致该网站堵塞，使用户无法通过该网站升级系统。

4.2 项目分析病毒手动清除方法：用DOS系统启动盘启动进入DOS环境下，删除C:\windows\msblast.exe文件；也可安全模式下删除该文件。

预防方法：打上RPC漏洞安全补丁。

据北京江民新科技术有限公司统计，2011年上半年最为活跃的病毒类型为木马病毒，其共占据所有病毒数量中60%的比例。

其次，分别为蠕虫病毒和后门病毒。

这三种类型的病毒共占据所有病毒数量中83%的比例，如图4-3所示，可见目前网民面临的首要威胁仍旧来自于这三种传统的病毒类型。

防范计算机病毒等的有效方法是除了及时打上各种安全补丁外，还应安装反病毒工具，并进行合理设置，比较常见的工具有360杀毒软件、360安全卫士等。

64.3 相关知识点4.3.1 计算机病毒的概念与特征1. 计算机病毒的定义计算机病毒在《中华人民共和国计算机信息系统安全保护条例》中被明确定义，病毒指“编制者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。

4.3 相关知识点2 计算机病毒的特征①传染性。

计算机病毒会通过各种媒介从已被感染的计算机扩散到未被感染的计算机。

这些媒介可以是程序、文件、存储介质、网络等。

②隐蔽性。

不经过程序代码分析或计算机病毒代码扫描，计算机病毒程序与正常程序是不容易区分的。

在没有防护措施的情况下，计算机病毒程序一经运行并取得系统控制权后，可以迅速感染给其他程序，而在此过程中屏幕上可能没有任何异常显示。

这种现象就是计算机病毒传染的隐蔽性。

③潜伏性。

病毒具有依附其他媒介寄生的能力，它可以在磁盘、光盘或其他介质上潜伏几天，甚至几年。

不满足其触发条件时，除了感染其他文件以外不做破坏；触发条件一旦得到满足，病毒就四处繁殖、扩散、破坏。

④触发性。

计算机病毒发作往往需要一个触发条件，其可能利用计算机系统时钟、病毒体自带计数器、计算机内执行的某些特定操作等。

如CIH病毒在每年4月26日发作，而一些邮件病毒在打开附件时发作。

4.3 相关知识点⑤破坏性。

当触发条件满足时，病毒在被感染的计算机上开始发作。

根据计算机病毒的危害性不同，病毒发作时表现出来的症状和破坏性可能有很大差别。

从显示一些令人讨厌的信息，到降低系统性能、破坏数据(信息)，直到永久性摧毁计算机硬件和软件，造成系统崩溃、网络瘫痪等。

⑥不可预见性。

病毒相对于杀毒软件永远是超前的，从理论上讲，没有任何杀毒软件可以杀除所有的病毒。

为了达到保护自己的目的，计算机病毒作者在编写病毒程序时，一般都采用一些特殊的编程技术，例如：①自加密技术。

就是为了防止被计算机病毒检测程序扫描出来，并被轻易地反汇编。

计算机病毒使用了加密技术后，对分析和破译计算机病毒的代码及清除计算机病毒等工作都增加了很多困难。

②采用变形技术。

当某些计算机病毒编制者通过修改某种已知计算机病毒的代码，使其能够躲过现有计算机病毒检测程序时，称这种新出现的计算机病毒是原来被修改前计算机病毒的变形。

当这种变形了的计算机病毒继承了原父本计算机病毒的主要特征时，就称为是其父本计算机病毒的一个变种。

4.3 相关知识点③对抗计算机病毒防范系统。

计算机病毒采用对抗计算机病毒防范系统技术时，当发现磁盘上有某些著名的计算机病毒杀毒软件或在文件中查找到出版这些软件的公司名称时，就会删除这些杀毒软件或文件，造成杀毒软件失效，甚至引起计算机系统崩溃。

④反跟踪技术。

计算机病毒采用反跟踪措施的目的是要提高计算机病毒程序的防破译能力和伪装能力。

常规程序使用的反跟踪技术在计算机病毒程序中都可以利用。

4.3 相关知识点4.3.2 计算机病毒的分类1. 按病毒存在的媒体分网络病毒，文件型病毒，引导型病毒网络病毒通过计算机网络传播感染网络中的可执行文件文件型病毒感染计算机中的文件（如：.com、.exe和.bat文件等）引导型病毒感染启动扇区(Boot)和硬盘的系统主引导记录(MBR)。

4.3 相关知识点2. 按病毒传染的方法分驻留型病毒和非驻留型病毒驻留型病毒感染计算机后，把自身的内存驻留部分放在内存(RAM)中，这一部分程序挂接系统调用并合并到操作系统中去，它处于激活状态，一直到关机或重新启动。

非驻留型病毒在得到机会激活时并不感染计算机内存4.3 相关知识点3. 按病毒破坏的能力分无害型、无危险型、危险型和非常危险型。

①无害型。

除了传染时减少磁盘的可用空间外，对系统没有其它影响。

②无危险型。

这类病毒仅仅是减少内存、显示图像、发出声音及音响。

③危险型。

这类病毒在计算机系统操作中造成严重的错误。

④非常危险型。

这类病毒删除程序、破坏数据、清除系统内存区和操作系统中重要的信息。

4.3 相关知识点4. 按病毒链接的方式分①源码型病毒。

该病毒攻击高级语言编写的程序，该病毒在高级语言所编写的程序编译前插入到源程序中，经编译成为合法程序的一部分。

②嵌入型病毒。

这种病毒是将自身嵌入到现有程序中，把病毒的主体程序与其攻击的对象以插入的方式链接。

这种病毒是难以编写的，一旦侵入程序体后也较难消除。

③外壳型病毒。

该病毒将其自身包围在主程序的四周，对原来的程序不作修改。

这种病毒最为常见，易于编写，也易于发现，一般测试文件的大小即可知道。

④操作系统型病毒。

这种病毒用它自己的程序意图加入或取代部分操作系统的程序模块进行工作，具有很强的破坏性，可以导致整个系统的瘫痪。

4.3 相关知识点5. 按病毒激活的时间分①定时型病毒。

定时型病毒是在某一特定时间才发作的病毒，它以时间为发作的触发条件，如果时间不满足，此类病毒将不会进行破坏活动。

②随机型病毒。

与定时型病毒不同的是随机型病毒，此类病毒不是通过时间进行触发的。

4.3 相关知识点4.3.3 宏病毒和蠕虫病毒1. 宏病毒宏(Macro)是Microsoft公司为其Office软件包设计的一项特殊功能，Microsoft 公司设计它的目的是让人们在使用Office软件进行工作时避免一再地重复相同的动作。

利用简单的语法，把常用的动作写成宏，在工作时，可以直接利用事先编写好的宏自动运行，完成某项特定的任务，而不必再重复相同的动作，让用户文档中的一些任务自动化。

4.3 相关知识点使用Word软件时，通用模板(Normal.dot)里面就包含了基本的宏，因此当使用该模板时，Word为用户设定了很多基本的格式。

宏病毒是用 Visual Basic语言编写的，这些宏病毒不是为了方便人们的工作而设计的，而是用来对系统进行破坏的。

当含有这些宏病毒的文档被打开时，里面的宏病毒就会被激活，并能通过DOC 文档及DOT模板进行自我复制及传播。

以往病毒只感染程序，不感染数据文件，而宏病毒专门感染数据文件，彻底改变了“数据文件不会传播病毒”的错误认识。

宏病毒会感染Office的文档及其模板文件。

4.3 相关知识点宏病毒防范措施①提高宏的安全级别。

目前，高版本的Word软件可以设置宏的安全级别，在不影响正常使用的情况下，应该选择较高的安全级别。

②删除不知来路的宏定义。

③将Normal.dot模板进行备份，当被病毒感染后，使用备份模板进行覆盖。

如果怀疑外来文件含有宏病毒，可以使用写字板软件打开该文件，然后将文本粘贴到Word文档中，转换后的文档是不会含有宏病毒的。

4.3 相关知识点2. 蠕虫病毒(1) 蠕虫病毒的概念蠕虫(Worm)病毒是一种通过网络传播的恶性病毒，它具有病毒的一些共性，如传播性，隐蔽性，破坏性等，同时具有自己的一些特征，如不利用文件寄生（有的只存在于内存中），对网络造成拒绝服务，以及和黑客技术相结合。

在产生的破坏性上，蠕虫病毒也不是普通病毒所能比拟的，网络的发展使得蠕虫可以在短时间内蔓延整个网络，造成网络瘫痪。

4.3 相关知识点根据使用者情况可将蠕虫病毒分为两类。

一类是面向企业用户和局域网的，这类病毒利用系统漏洞，主动进行攻击，对整个Internet可造成瘫痪性的后果，如“尼姆达”、“SQL蠕虫王”、“冲击波”等。

另一类是针对个人用户的，通过网络(主要是电子邮件，恶意网页形式)迅速传播，以爱虫病毒、求职信病毒为代表。

在这两类蠕虫病毒中，第一类具有很大的主动攻击性，而且爆发也有一定的突然性。

第二类病毒的传播方式比较复杂、多样，少数利用了Microsoft应用程序的漏洞，更多的是利用社会工程学对用户进行欺骗和诱使，这样的病毒造成的损失是非常大的，同时也是很难根除的，比如求职信病毒，在2001年就已经被各大杀毒厂商发现，但直到2002年底依然排在病毒危害排行榜的首位。

4.3 相关知识点(2) 蠕虫病毒与一般病毒的区别(3) “熊猫烧香”病毒实例2006年底，“熊猫烧香”病毒在我国Internet上大规模爆发，由于该病毒传播手段极为全面，并且变种频繁更新，让用户和杀毒厂商防不胜防，被列为2006年10大病毒之首。

“熊猫烧香”病毒是一种蠕虫病毒(尼姆达)的变种，而且是经过多次变种而来的。

由于中毒计算机的可执行文件会出现“熊猫烧香”图案，所以被称为“熊猫烧香”病毒。

“熊猫烧香”病毒是用Delphi语言编写的，这是一个有黑客性质感染型的蠕虫病毒(即：蠕虫＋木马)。

2007年2月，“熊猫烧香”病毒设计者李俊归案，交出杀病毒软件。

2007年9月，湖北省仙桃市法院一审以破坏计算机信息系统罪判处李俊有期徒刑4年。

4.3 相关知识点①感染“熊猫烧香”病毒的症状关闭众多杀毒软件和安全工具。

感染所有EXE、SCR、PIF、COM文件，并更改图标为烧香熊猫，如图4-4所示。