计算机病毒安全培训一、什么计算机病毒计算机病毒(Computer Virus)在《中华人民共和国计算机信息系统安全保护条例》中被明确定义，病毒指“编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。

二、计算机病毒的产生计算机病毒的产生：病毒不是来源于突发或偶然的原因．一次突发的停电和偶然的错误，会在计算机的磁盘和内存中产生一些乱码和随机指令，但这些代码是无序和混乱的，病毒则是一种比较完美的，精巧严谨的代码，按照严格的秩序组织起来，与所在的系统网络环境相适应和配合起来，病毒不会通过偶然形成，并且需要有一定的长度，这个基本的长度从概率上来讲是不可能通过随机代码产生的。

现在流行的病毒是由人为故意编写的，多数病毒可以找到作者和产地信息，从大量的统计分析来看，病毒作者主要情况和目的是：一些天才的程序员为了表现自己和证明自己的能力，处于对上司的不满，为了好奇，为了报复，为了祝贺和求爱，为了得到控制口令，为了软件拿不到报酬预留的陷阱等．当然也有因政治，军事，宗教，民族．专利等方面的需求而专门编写的，其中也包括一些病毒研究机构和黑客的测试病毒。

三、计算机病毒的特点计算机病毒的特点：（1）寄生性计算机病毒寄生在其他程序之中，当执行这个程序时，病毒就起破坏作用，而在未启动这个程序之前，它是不易被人发觉的。

（2）传染性计算机病毒不但本身具有破坏性，更有害的是具有传染性，一旦病毒被复制或产生变种，其速度之快令人难以预防。

传染性是病毒的基本特征。

计算机病毒也会通过各种渠道从已被感染的计算机扩散到未被感染的计算机，在某些情况下造成被感染的计算机工作失常甚至瘫痪。

与生物病毒不同的是，计算机病毒是一段人为编制的计算机程序代码，这段程序代码一旦进入计算机井得以执行，它就会搜寻其他符合其传染条件的程序或存储介质，确定目标后再将自身代码插入其中，达到自我繁殖的目的。

正常的计算机程序一般是不会将自身的代码强行连接到其他程序之上的。

而病毒却能使自身的代码强行传染到一切符合其传染条件的未受到传染的程序之上。

是否具有传染性是判别一个程序是否为计算机病毒的最重要条件。

病毒程序通过修改磁盘扇区信息或文件内容并把自身嵌入到其中的方法达到病毒的传染和扩散。

被嵌入的程序叫做宿主程序。

（3）潜伏性有些病毒像定时炸弹一样，让它什么时间发作是预先设计好的。

比如黑色星期五病毒，不到预定时间一点都觉察不出来，等到条件具备的时候一下子就爆炸开来，对系统进行破坏。

一个编制精巧的计算机病毒程序，进入系统之后一般不会马上发作，可以在几周或者几个月内甚至几年内隐藏在合法文件中，对其他系统进行传染，而不被人发现，潜伏性愈好，其在系统中的存在时间就会愈长，病毒的传染范围就会愈大。

（4）隐蔽性计算机病毒具有很强的隐蔽性，有的可以通过病毒软件检查出来，有的根本就查不出来，有的时隐时现、变化无常，这类病毒处理起来通常很困难。

（5）破坏性计算机中毒后，可能会导致正常的程序无法运行，把计算机内的文件删除或受到不同程度的损坏；（6）计算机病毒的可触发性病毒因某个事件或数值的出现，诱使病毒实施感染或进行攻击的特性称为可触发性。

为了隐蔽自己，病毒必须潜伏，少做动作。

如果完全不动，一直潜伏的话，病毒既不能感染也不能进行破坏，便失去了杀伤力。

病毒既要隐蔽又要维持杀伤力，它必须具有可触发性。

病毒的触发机制就是用来控制感染和破坏动作的频率的。

病毒具有预定的触发条件，这些条件可能是时间、日期、文件类型或某些特定数据等。

病毒运行时，触发机制检查预定条件是否满足，如果满足，启动感染或破坏动作，使病毒进行感染或攻击；如果不满足，使病毒继续潜伏。

四、计算机病毒的命名防病毒软件通常遵循业界通用的命名惯例来表示它检测和清除的病毒。

某些病毒名称偶尔也会有别于严格的业界标准。

如果某种新病毒具有一系列具体特征并表明它是一个全新品种，我们会将它冠名为某某“系列”。

病毒研究人员根据病毒的某些特点或表现（例如文本串或有效负载影响）来确定这一系列的名称。

系列名称可以包括用来指定病毒字节大小的数值型字串。

研究人员使用这个名称可以方便地区别类似的病毒变种。

在病毒系列中，变种的名称由系列名称和后缀组成，例如BadVirus.a。

后缀按字母顺序排列，到z 为止，然后再开始按aa形式排列，直到az。

再后来的病毒变种将使用后缀ba 到bz，依次类推，直到zz。

如果以后又出现新的变种，则使用后缀aaa。

防病毒厂商采用的病毒名称可以包括前缀、中缀和后缀。

前缀前缀指明病毒感染的文件类型或可能有害的软件运行的平台。

感染DOS 可执行文件的病毒没有前缀。

我们的命名惯例包括下列前缀：A97M/ 感染Microsoft Access 97 文件的宏病毒。

APM/ 感染Ami Pro 文档和模板文件的宏病毒或特洛伊木马程序。

Bat/ 批处理文件病毒或特洛伊木马程序。

这些病毒通常作为批处理或脚本文件运行，可能会影响需要解释脚本或批处理命令的某些程序。

这些病毒流动性很强，几乎能够影响可以运行批处理或脚本文件的所有平台。

这些文件本身通常使用BAT 扩展名。

CSC/ 感染Corel Draw 文档文件、模板文件和脚本Corel Script 病毒或特洛伊木马程序。

IRC/ Internet Relay Chat 脚本病毒。

这种病毒使用早期版本的mIRC 客户端软件分发病毒或有效负载。

JS/ 用JavaScript 语言编写的脚本病毒或特洛伊木马程序。

JV/ 可能有害的Java 应用程序或小程序。

Linux/以ELF 文件格式编写的、作用于Linux 操作系统的病毒或特洛伊木马程序。

LWP/ 可能对Lotus WordPro 有害的软件。

MacHC/作用于Apple Macintosh HyperCard 脚本语言的病毒或特洛伊木马程序。

MacOS/作用于Apple Macintosh OS 6 至9 的病毒或特洛伊木马程序。

MSIL/ 用Microsoft Intermediate Language 框架（也称为.NET）编写的应用程序.P98M/ 感染Microsoft Project 文档和模板的宏病毒或特洛伊木马程序。

PalmOS/ 作用于Palm Pilot 的病毒或特洛伊木马程序。

PDF/ 感染Adobe PDF 文件的程序。

Perl/ 用Perl 语言编写的脚本病毒或特洛伊木马程序。

PHP/ 用PHP 语言编写的脚本病毒或特洛伊木马程序。

PP97M/宏病毒。

感染Microsoft PowerPoint 97 文件。

SunOS/可能对Sun Solaris 有害的软件。

SWF/ 可能对Shockwave 有害的软件。

Unix/ 作用于某个版本的UNIX 的程序或Shell 脚本。

V5M/ 感染Visio VBA (Visual Basic for Applications) 宏或脚本的宏或脚本病毒或特洛伊木马程序。

VBS/ 用Visual Basic Script 语言编写的脚本病毒或特洛伊木马程序。

W16/ 在16 位Microsoft Windows 环境(Windows 3.1x) 中运行的感染文件的病毒。

W2K/ 可能对32 位Microsoft Windows 环境（尤其是Windows NT、2000 或XP）有害的软件。

W32/ 在32 位Microsoft Windows 环境（Windows 95、Windows 98 或Windows NT）中运行的感染文件或引导区的病毒。

W95/ 在Microsoft Windows 95、Windows 98 和Windows ME 环境中运行的感染文件的病毒。

W97M/ 感染Microsoft Word 97 文件的宏病毒。

WHLP/ 可能对32 位Microsoft Windows 环境中Windows HLP 文件有害的软件。

WM/ 感染Microsoft Word 95 文件的宏病毒。

X97M/ 感染Microsoft Excel 97 文件的宏病毒。

XF/ 通过Excel 公式感染Microsoft Excel 95 或97 的宏病毒。

XM/ 感染Microsoft Excel 95 文件的宏病毒。

如下图所示，通过Dr.web反病毒软件查杀此类病毒：VBS.Psyme.499为前缀病毒下面图示都为前缀病毒特洛伊木马程序类的前缀BackDoor- 这样的名称表示属于类似特洛伊木马程序的可能有害软件。

紧跟在类名称后的附加字符表示一个系列（例如BackDoor-JZ）或一个名称（例如BackDoor-Sub7）。

AdClicker- 重复访问广告赞助的网站。

Adware- 不经允许而安装广告软件。

BackDoor- 通过Internet 或网络进行远程访问或控制。

Dialer- 不经允许而播打电话。

DDoS- 作为“分布式拒绝服务”组件运行。

Del- 删除文件。

Downloader- 从Internet 下载软件，通常传送后门程序和密码盗窃程序，有时也传送病毒。

Exploit- 利用某个薄弱环节或软件的某个缺陷。

FDoS- 表示“数据泛滥拒绝服务”组件。

KeyLog- 记录击键以立即或以后传送给攻击者。

Kit- 表示为制造病毒或特洛伊木马程序而设计的程序。

MultiDropper- 留下几个特洛伊木马程序或病毒（通常是几个不同的“后门”）。

Nuke- 利用远程计算机上某个软件的缺陷将计算机关闭。

ProcKill- 终止防病毒和安全产品的进程，并可能删除与这些应用程序相关联的文件。

PWS- 盗窃密码。

Reboot- 重新启动计算机。

Reg- 不加询问而以您不需要的方式修改注册表。

例如，降低安全设置或产生异常关联或设置。

Spam- 作为垃圾邮件发送工具运行。

Spyware- 监控浏览行为或其他行为并向外发送信息，通常是未被请求的广告。

Uploader- 向外发送计算机中的文件或其他数据。

Vtool-表示病毒作者或黑客使用的软件开发程序。

Zap- 清空硬盘的部分或全部内容。

如下图所示，通过Dr.web反病毒软件查杀此类病毒：BackDoor.pcap为特洛伊木马程序类的前缀病毒中缀这些名称通常出现在病毒名称的中间。

***ERT 指定的这些名称可能与业界惯例不同。

.cmp. 被病毒添加到现有可执行文件中的伴随文件。

我们的防病毒软件会删除伴随文件以防止它们进一步感染。

.mp. DOS 下的古董级多重分裂病毒。

.ow. 覆盖型病毒。

表示会覆盖文件数据而且造成无法挽回的损失的病毒。

必须删除这个文件。

如下图所示，通过Dr.web反病毒软件查杀此类病毒：Win95.CIH.1003为中缀病毒后缀这些名称通常出现在病毒名称的最后。