1、一、一、病毒基础知识病毒基础知识 一、计算机病毒 计算机病毒是一种隐藏在计算机系统的信息资源中,利用系统信息资源进行繁殖并生存,能影响计算机系统正常运行,并通过系统信息共享的途径进行传染的、可执行的程序。一般来说,计算机病毒可分为两大类:良性病毒和恶性病毒。所谓良性病毒,是指病毒不对计算机数据进行破坏,但会造成计算机程序工作异常,如小球、台湾一号等。恶性病毒往往没有直观表现,但会对计算机数据进行破坏,造成整个计算机系统瘫痪,如黑色星期五。其中98年出现的基于 Win95和Win98的CIH系统毁灭者能改写计算机EEPROM中的BIOS,遭受攻击的计算机不能启动。还有目前比较流行的网络蠕虫病毒,
2、它们虽然对本地计算机系统未造成多大的危害,但是它们却严重的臃塞网络,造成网络瘫痪。这也是以后病毒的发展趋势。二、计算机病毒特性 计算机病毒有寄生性、潜伏性、传染性、繁殖性。病毒的表现有:破坏引导程序和分区表,造成异常死机;破坏可执行文件,使文件加长,运行变慢。二、二、局域网病毒的传播方式局域网病毒的传播方式 学校内局域网是由一个个网络节点站所组成的(也可以称其为网络上的一个个站点),站点就可以具体为网络服务器和客户机。计算机病毒可以通过各种途径进入到网络中的一个站点(包括服务器),然后再通过局域网络中的各种特定环境进行传播。具体地说,我们可以把它的传播方式归纳为以下几种:1.局域网资源共享感染
3、病毒局域网资源共享感染病毒 学校机房中局域网很大的一部分用处是在共享资源方面,而正是由于共享资源的“数据开放性”,造就了病毒感染的有效渠道。2.服务器数据传播病毒服务器数据传播病毒 学校不可能花大成本构建含“路由器”等高端网络设备的网络环境,很多工作都会丢给一台普通PC代替的服务器去做,网络中的客户机可以通过服务器来和外界联系,而客户机自间的内部邮件传递也可以通过服务器完成,但普通PC的性能特点,不可避免地在病毒面前有其脆弱性。一旦服务器感染病毒,所有需要经过服务器的数据也会被顺带感染,进而造成整个网络感染病毒的情况。3.客户机之间的数据传递携带客户机之间的数据传递携带病毒病毒 客户机除了和服
4、务器通讯之外,相互之间也需要进行数据传递,如果其中一台计算机感染病毒,在与另一台客户机传递数据时,势必会将病毒带给对方。4.客户机带动服务器染毒,进客户机带动服务器染毒,进而感染网络中的其他客户机而感染网络中的其他客户机 这种形式可以说是综合了前三种形式。网络中的某一台客户机染毒,通过1、3种形式感染服务器,服务器再由第2种形式感染其他客户机。如果企业使用的是“无盘工作站”形式,那么病毒的传播将更为简易。因为其“无盘”并非真的“无盘”(它的盘是网络盘),当其运行网络盘上的一个带毒程序时,便将内存中的病毒传染给该程序或通过映像路径传染到服务器的其他的文件上,因此整个“无盘”网络就彻底地被病毒感染
5、了。三、三、局域网病毒的特点局域网病毒的特点 在中小型企业网络的特定环境下,病毒除了与生俱来的可传播性、可执行性、破坏性等常规病毒的共性外,还具有一些其他的特点:1.感染速度快感染速度快 病毒的传播必须要一定的途径,在完全封闭的单机情况下,病毒是无法从一台计算机传给另一台计算机的。不过在企业简单的网络环境下,病毒的传播可以利用充分的介质,通过简单而快速的内部网络,病毒可以迅速地传播。2.扩散面广扩散面广 病毒感染了局域网中某一台客户机,而客户机又可以进一步感染网络中的其他客户机(也包括服务器),而感染了病毒的客户机又可以更进一步的感染更多客户机(也包括了局域网以外的计算机)如此反复交叉感染,病
6、毒在网络中扩散时,除了速度快以外,其扩散范围也相当惊人。3.传播的形式复杂多样传播的形式复杂多样 网络内病毒的传播形式前面我们已经做了介绍,这里就不再详细说明,不过随着计算机病毒的推陈出新,相信还会有更多的我们所无法预计的传播形式。4.难于彻底清除难于彻底清除 单机上的计算机病毒有时可以通过杀毒和删除带毒文件来解决。如果还不行,低级格式化硬盘等措施总能将病毒彻底清除。而网络中只要有一台工作站未能清除干净,就可使整个网络重新被病毒感染,甚至刚刚完成杀毒工作的一台工作站,就有可能被网上另一台带毒工作站所感染。因此,以对付单机形式的杀毒方法,在局域网内会显得捉襟见肘,心有余而力不足。5.破坏性大破坏
7、性大 中小型企业的办公网络,主要就是为企业的工作服务。受到病毒袭击后,不但影响网络正常的工作,而更可怕的是它会使网络崩溃,破坏网络中计算机的数据,使工作成果毁于一旦。6.可激发性可激发性 它可以称得上是病毒的隐蔽性在网络上的延伸,网络病毒激发的条件多样化,可以是内部时钟、系统的日期和用户名,也可以是网络的一次通信等等。一个病毒程序可以按照病毒设计者的要求,在某个工作站上爆发,并传播给整个网络。7.潜在性潜在性 在网络中,一旦感染了病毒,即使病毒已被清除,其潜在的危险性也是巨大的。根据对企业的网络统计,病毒被清除后,85%的会在30天内会被再次感染。四、病毒的发现四、病毒的发现 计算机病毒发作时
8、,通常会出现以下几种情况,这样我们就能尽早地发现和清除它们。1.电脑运行比平常迟钝 2.程序载入时间比平常久 3.对一个简单的工作,磁盘似乎花了比预期长的时间 4.不寻常的错误信息出现 5.硬盘的指示灯无缘无故的亮了当你没 有存取磁盘,但磁盘指示灯却亮了,电脑这时已经受到病毒感染了。6.系统内存容量忽然大量减少 7.磁盘可利用的空间突然减少 8.可执行程序的大小改变了.9.坏轨增加 10.程序同时存取多部磁盘.11.内存内增加来路不明的常驻程序 12.文件奇怪的消失 13.文件的内容被加上一些奇怪的资料 14.文件名称,扩展名,日期,属性被更改过 五、计算机系统的保护五、计算机系统的保护 当在
9、系统刚刚安装完毕,我们如何预防病毒的感染?当怀疑或者确定自己的系统已经感染了病毒的时候,我们有如何处理,才能把病毒带来的损失减少到最小?在平时的使用中,什么样的习惯能让我们最大可能的避免病毒的入侵?(一)、系统的防病毒能力(一)、系统的防病毒能力 1、系统的安装的过程中 在有黑客在某篇文章这样说道“他可以进入任何缺省安装的windows系统中”,对于病毒也一样。缺省安装的系统存在太多的漏洞。在安装windows 2000的时候,默认启动的时候,messager 服务是“自动”的。Messager 服务在连网安装的时候,很容易接受由伪装成消息的病毒感染。因此在安装的时候,我们应该关闭messag
10、er 服务。还有许多系统服务和进程,这里就不再详述。同时我们建议在安装过程中,计算机最好不要接入局域网,以防在安装过程中感染病毒。二、安装性能优秀的杀毒软件与防火墙。杀毒软件和防火墙 杀毒软件:是能查找或者删除隐藏在计算机程序中破坏计算机功能或能毁坏数据,影响系统使用的恶意代码 的应用软件。防火墙:防火墙是采用综合的网络技术设置在被保护网络和外部网络之间的 一道屏障,用以分隔被保护网络与外部网络系统防止发生不可预 测的、潜在破坏性的侵入。在系统中安装性能良好的杀毒软件和防火墙对于即时的查找杀除病毒具有决定性的影响。目前国内外比较有名气的杀毒软件有:KV3000,瑞星,金山毒霸,诺顿(Norto
11、n),pc-cillin(趋势科技),熊猫卫士 KILL 系列杀毒软件。防火墙:国内外比较有名的有:诺顿防火墙(norton internet security)Zonelabs 的ZoneAlarm(免费软件)金山毒霸的自带防火墙。瑞星自带防火墙。熊猫卫士 三、系统打补丁。有许多系统使用者不喜欢给系统打补丁。认为这样会影响自己机器的性能,的确会这样。但是当你的系统因为病毒的原因而崩溃时,你会觉得降低点性能获得稳定的性能是值得的。微软不定期地会在网上发布针对某些系统漏洞的补丁。四、杀毒软件和防火墙的升级 不少人认为自己的系统打了补丁,也安装了防火墙,那系统就安全了,不会再感染病毒了,这样想的后
12、果就是系统安装杀毒软件和防火墙在一段时间后形同虚设。任何杀毒软件和防火墙都是被动防御的,因此针对最新的病毒,未更新的杀毒软件与防火墙是无效的。因此定时升级系统的杀毒软件与防火墙是非常必要的。同时,我们建议杀毒软件和防火墙最好要用正版软件,因为盗版的杀毒软件和防火墙很多都是黑客软件员利用黑客工具破解的,含有很多漏洞。这些漏洞不是为病毒提供漏洞,就是为黑客提供了后门。(二)、常见病毒的杀除(二)、常见病毒的杀除 1、Word 宏病毒的杀除。Word宏病毒通过.DOC文档及.DOT模板进行自我复制及传播,而计算机文档是交流最广的文件类型。由于宏病毒用Word Basic语言编写,Word Basic
13、语言提供了许多系统级底层调用,因此破坏可能性极大。根据AUTO宏的自动执行的特点,在打开Word文档时,可通过先禁止所有自动宏的执行,这样能够保证用户在安全启动Word文档后,进行必要的宏病毒检查,从而达到防治宏病毒的目的。打开宏菜单,在通用模板中删除您认为是病毒的宏。打开带有病毒宏的文档(模板),然后打开宏菜单,在通用模板和病毒文件名模板中删除您认为是病毒的宏。保存清洁文档。下载宏病毒专杀工具。2.欢乐时光病毒(happytime)“欢乐时光”属于VBS/HTM蠕虫类病毒,通过邮件传播,但不是作为邮件的附件,而是作为邮件内容。当染毒的用户在发送邮件时,该病毒会自动插入到邮件体中。当用户收到上
14、述邮件后,如果使用Outlook,当光标条移到带毒邮件时,Outlook的预览功能将使病毒自动执行。防治方法:将Windows Scripting Host卸载,这样,可以阻止VBS脚本程序执行,从而,保证即使收到带毒邮件,也可以防止“欢乐时光”病毒传染、破坏。卸载方法如下:Windows 98:控制面板添加删除程序Windows安装程序附件Windows Scripting Host,将WSH卸载,然后,再收发邮件。然后下载欢乐时光专杀工具。例如:金山毒霸欢乐时光专杀工具。3、红色代码2(CodeRed II)红色代码2是一种专门攻击WINDOWS NT4.0以及WINDOWS 2000系统
15、的恶性网络蠕虫VirtualRoot(虚拟目录)病毒,利用MICROSOFT已知的溢出漏洞,通过80端口来传播到其它的WEB页服务器上。如果感染成功的话,该蠕虫病毒可以获得受感染WEB服务器的超级用户的完全权限。当然它是通过在受感染的机器上安装一个后门程序,远程的发出指令端是通过该后门程序来控制受感染的机器的。查杀方法:首先用户或者系统管理员应该及时安装微软的补丁程序;另外,可使用KV3000系列杀毒软件来全面防杀,KVW3000.EXE以及KVD3000.EXE可以在WINDOWS NT4以及WIN2000 系统下来防杀该网络蠕虫程序。冲击波(WormBlaster)病毒 冲击波病毒是利用了微软系统的RPC漏洞进行的攻击,涉及的操作系统有:winnt、win2k、winxp、windows server 2003;电脑被攻击后的表现:系统资源占用较大,有时弹出RPC服务终止的对话框,系统反复重启。也有用户可能不能在IE中打开新窗口,IE上网不正常,windows不能复制粘贴等奇怪现象。查杀方法:将电脑与互连网断开物理连接。关闭相应的服务。下载windows补丁.下载专杀工具杀毒。