常见计算机病毒介绍

    任务概述

    随着计算机技术和网络技术的发展，每年都会产生新的病毒，有些病毒危险度很高，很可能给企业和个人带来巨大的损失。本任务主要介绍一些常见的病毒。

    任务目标

    ●能够了解特洛伊木马及其防范

    ●能够了解蠕虫病毒及其防范

    ●能够了解宏病毒及其防范

    ●能够了解ARP病毒及其防范

    学习内容

    一、特洛伊木马分析与防范

    1.特洛伊木马介绍

    “特洛伊木马”（trojan horse）简称“木马”。特洛伊木马只是一种远程管理工具，它驻留在目标计算机里，可以随计算机自动启动并在某一端口进行侦听，在对接收的数据识别后，对目标计算机执行特定的操作。木马，其实质只是一个通过端口进行通信的网络客户/服务程序。网络客户/服务模式的原理是一台主机提供服务（服务器），另一台主机接受服务（客户机）。作为服务器的主机一般会打开一个默认的端口并进行监听（listen），如果有客户机向服务器的这一端口提出连接请求（connect request），服务器上的相应程序就会自动运行，来应答客户机的请求。对于特洛伊木马，被控制端就成为一台服务器，控制端则是一台客户机。

    2.特洛伊木马具有的特性

    （1）它的隐蔽性主要体现在以下两个方面。

    ①不产生图标。木马虽然在系统启动时会自动运行，但它不会在任务栏中产生一个图标。

    ②木马程序自动在任务管理器中隐藏，并以系统服务的方式欺骗操作系统。

    （2）具有自动运行性。木马为了控制服务端，它必须在系统启动时即跟随启动，所以它必须潜伏在用户的启动配置文件中，如win.ini、system.ini、winstart.bat以及启动组等文件之中。

    （3）包含未公开并且可能产生危险后果的程序。

    （4）具备自动恢复功能。现在很多的木马程序中的功能模块不再由单一的文件组成，而是具有多重备份，可以相互恢复。

    （5）能自动打开特别的端口。木马程序潜入用户的电脑之中的目的主要不是为了破坏用户的系统，而是为了获取用户的系统中有用的信息，以便黑客们控制用户的机器，或实施进一步的入侵企图。

    （6）功能的特殊性。通常的木马功能都是十分特殊的，除了普通的文件操作以外，还有些木马具有搜索cache中的口令、设置口令、扫描目标的IP地址、进行键盘记录、操作远程注册表以及锁定鼠标等功能。

    3.特洛伊木马的防范

    对付特洛伊木马程序，可以采用以下的防范方法。

    （1）不要随便运行程序。

    （2）不要到不正规的站点去下载软件，因为许多黑客将木马隐藏在软件的安装程序里。

    （3）对于陌生人的电子邮件，需要检查源地址，然后再去看信件里有什么内容。如果有附件的话，也要小心查看，因为附件里可能隐藏了可执行文件。

    （4）检查系统配置文件，系统配置文件包括了win.ini文件、system.ini文件以及con-fig.sys文件，这3个文件里都记录了操作系统启动的时候需要启动和加载的程序，而且应当查看文件路径是否正常。

    （5）养成经常查杀木马的良好习惯，尽量打开病毒监控，并保持病毒库的更新。

    另外，当发现电脑的网络状态不正常的时候，需要马上断开网络，然后检查原因，看是否为木马导致的。

    二、蠕虫病毒分析与防范

    1.蠕虫病毒介绍

    最初的蠕虫病毒出现在DOS环境下，病毒发作时会在屏幕上出现一条类似虫子的东西，胡乱吞吃屏幕上的字母并将其改形。现在蠕虫病毒是一种常见的计算机病毒。它的传染机理是利用网络进行复制和传播，主要传染途径是网络和电子邮件。在产生的破坏性上，蠕虫病毒也不是普通病毒所能比拟的:网络的发展使得蠕虫病毒可以在短短的时间内蔓延至整个网络，造成网络瘫痪。

    蠕虫病毒是自包含的程序（或一套程序），它能传播它自身的拷贝或它的某些部分到其他的计算机系统中。与一般病毒不同，蠕虫不需要将其自身附着到宿主程序上。有两种类型的蠕虫:主机蠕虫与网络蠕虫。主机蠕虫完全包含在它们运行的计算机中，并且通过网络的连接将自身拷贝到其他的计算机中。蠕虫病毒一般是通过1434端口漏洞传播。

    2.蠕虫病毒的特征

    （1）利用操作系统和应用程序的漏洞主动进行攻击。此类病毒主要是“红色代码”和“尼姆亚”以及至今依然肆虐的“求职信”等。

    （2）传播方式多样。如“尼姆亚”病毒和“求职信”病毒的传播途径包括文件、电子邮件、Web服务器、网络共享等等。

    （3）病毒制作技术与传统的病毒不同。与传统的病毒不同的是，许多新病毒是利用当前最新的编程语言与编程技术实现的，易于修改以产生新的变种，从而逃避反病毒软件的搜索。

    （4）与黑客技术相结合，潜在的威胁更大。以“红色代码”为例，感染后机器Web目录的\scrIPts下将生成一个root.exe，可以远程执行任何命令，从而使黑客能够反复进入。

    3.蠕虫病毒的防范

    （1）企业防范蠕虫病毒的措施:

    ①加强网络管理员安全管理水平，提高安全意识。

    ②建立病毒检测系统。

    ③建立应急响应系统。

    ④建立灾难备份系统。

    （2）个人用户防范蠕虫病毒的措施:

    ①选购合适的杀毒软件。网络蠕虫病毒的发展已经使传统杀毒软件的“文件级实时监控系统”落伍，杀毒软件必须向内存实时监控和邮件实时监控发展。

    ②经常升级病毒库。杀毒软件对病毒的查杀是以病毒的特征码为依据的，而病毒每天都层出不穷，尤其是在网络时代，蠕虫病毒的传播速度快、变种多，所以必须随时更新病毒库，以便能够查杀最新的病毒。

    ③提高防病毒意识，不要轻易去点击陌生的站点。

    ④不随意查看陌生邮件，尤其是带有附件的邮件。

    三、宏病毒分析与防范

    1.宏病毒介绍

    宏病毒是一种寄存在文档或模板的宏中的计算机病毒。一旦打开这样的文档，其中的宏就会被执行，于是宏病毒就会被激活，转移到计算机上并驻留在Normal模板上。从此以后，所有自动保存的文档都会感染上这种宏病毒，而且如果其他用户打开了感染病毒的文档，宏病毒又会转移到其他的计算机上。

    宏病毒的感染，利用了一些数据处理系统，如字处理或表格处理系统内置宏命令编程语言的特性。这种特性可以把特定的宏命令代码附加在指定文件上，在未经使用者许可的情况下获取某种控制权，实现宏命令在不同文件之间的共享和传递，这使得目前的办公软件能够完成许多自动文档批处理功能，而宏病毒正是借助和应用了这些功能才得以四处扩散。

    宏病毒与传统的病毒有很大的不同，它不感染.exe和.com等可执行文件，而是将病毒代码以“宏”的形式潜伏在Office文件中，主要感染Word和Excel等文件。当采用Of-fice软件打开这些染毒文件时，这些代码就会被执行并产生破坏作用。

    2.宏病毒的传播方法

    用户在打开或建立Word文件时，系统都会自动装入通用的模板并执行其中的宏命令。其中的操作可以是打开文件、关闭文件、读取数据以及保存和打印，并对应着特定的宏命令，如“保存”文件与FileSave命令相对应，“另存为”文件对应着FileSaveAs等。

    3.宏病毒的防范

    （1）将常用的Word模板文件改为只读属性，可防止Word系统被感染。

    （2）因为Word宏病毒肯定会将自动宏作为一个侵入点，所以应禁止使用所有的自动宏，这种方法能够有效地防止宏病毒感染。

    四、ARP病毒分析与防范

    1.ARP病毒介绍

    ARP病毒也叫ARP地址欺骗类病毒，这是一类特殊的病毒。该病毒一般属于木马病毒，不具备主动传播的特性，不会自我复制，但是由于其发作的时候会向全网发送伪造的ARP数据包，严重干扰全网的正常运行，其危害甚至比一些蠕虫病毒还要严重得多。

    ARP病毒发作的现象是网络掉线，但网络连接正常，内网的部分PC机不能上网，或者所有电脑不能上网，无法打开网页或打开网页慢，局域网时断时续并且网速较慢，网上银行、游戏及QQ账号的频繁丢失等。

    2.ARP病毒的防范

    （1）做好IP-MAC地址的绑定工作（即将IP地址与硬件识别地址绑定），在交换机和客户端都要绑定，这是可以使局域网免疫ARP病毒侵扰的好办法。

    （2）给系统安装补丁程序，可以通过Windows Update安装系统补丁程序。

    （3）禁用系统的自动播放功能，防止病毒从U盘、移动硬盘、MP3等移动存储设备进入到计算机。

    （4）在网络正常的时候保存好全网的IP-MAC地址对照表，这样在查找ARP中毒电脑时会很方便。

    （5）部署网络流量检测设备，时刻监视全网的ARP广播包，查看其MAC地址是否正确。

    （6）安装杀毒软件，及时升级病毒库，定期全网杀毒。

    （7）用户要提高网络安全意识，不要轻易下载、使用盗版和存在安全隐患的软件，或浏览一些缺乏可信度的网站（网页），不要随便打开来历不明的电子邮件尤其是邮件附件，不要随便共享文件和文件夹，不要随便打开QQ、MSN等聊天工具上发来的链接信息等。

    （8）设置足够强劲的密码。