计算机病毒的特点
传染性
这是病毒的基本特征。计算机病毒会通过各种渠道从已被感染的计算机扩散到未被感染的计算机,造成被感染的计算机工作失常甚至瘫痪。是否具有感染性是判别一个程序是否为计算机病毒的重要条件。
隐蔽性
病毒通常附在正常程序中或磁盘较隐蔽的地方,也有的以隐含文件形式出现。如果不经过代码分析,病毒程序与正常程序是不容易区分开来的。计算机病毒的源程序可以是一个独立的程序体,源程序经过扩散生成的再生病毒一般采用附加和插入的方式隐藏在可执行程序和数据文件中,采取分散和多处隐藏的方式,当有病毒程序潜伏的程序被合法调用时,病毒程序也合法进入,并可将分散的程序部分在所非法占用的存储空间进行重新分配,构成一个完整的病毒体投入运行。
潜伏性
大部分病毒感染系统后,会长期隐藏在系统中,悄悄的繁殖和扩散而不被发觉,只有在满足其特定条件的时候才启动其表现(破坏)模块。
破坏性
任何病毒只要入侵系统,就会对系统及应用程序产生程度不同的影响。轻则会降低计算机工作效率,占用系统资源,重则可导致系统崩溃,根据病毒的这一特性可将病毒分为良性病毒和恶性病毒。良性病毒可能只显示些画面或无关紧要的语句,或者根本没有任何破坏动作,但会占用系统资源。恶性病毒具有明确的目的,或破坏数据、删除文件,或加密磁盘、格式化磁盘,甚至造成不可挽回的损失。
不可预见性
从病毒的监测方面看,病毒还有不可预见性。计算机病毒常常被人们修改,致使许多病毒都生出不少变种、变体,而且病毒的制作技术也在不断地深入性提高,病毒对反病毒软件常常都是超前的,无法预测。
触发性
病毒因某个事件或数值的出现,诱使病毒实施感染或进行进攻的特性称为可触发性。病毒既要隐蔽又要维持攻击力,就必须有可触发性。
病毒的触发机制用于控制感染和破坏动作的频率。计算机病毒一般都有一个触发条件,它可以按照设计者的要求在某个点上激活并对系统发起攻击。
针对性
有一定的环境要求,并不一定对任何系统都能感染。
寄生性
计算机病毒程序嵌入到宿主程序中,依赖于宿主程序的执行而生存,这就是计算机病毒的寄生性。病毒程序在浸入到宿主程序后,一般会对宿主程序进行一定的修改,宿主程序一旦执行,病毒程序就被激活,从而进行自我复制。
通常认为,计算机病毒的主要特点是传染性、隐蔽性、潜伏性、寄生性、破坏性。
病毒介绍
计算机病毒是人为制造的,有破坏性,又有传染性和潜伏性的,对计算机信息或系统起破坏作用的程序。它不是独立存在的,而是隐蔽在其他可执行的程序之中。计算机中病毒后,轻则影响机器运行速度,重则死机系统破坏;因此,病毒给用户带来很大的损失,通常情况下,我们称这种具有破坏作用的程序为计算机病毒。
计算机病毒结构
一般由引导模块、传染模块、表现模块三部分组成。
引导模块 |
引导代码 |
传染模块 |
传染条件判断 |
传染代码 |
|
表现模块 |
表现及破坏条件判断 |
破坏代码 |
病毒分类(按照宿主分类)
(1)引导型病毒
引导区型病毒侵染软(硬、优)盘中的“主引导记录”
(Master Boot Record,0柱面0磁头1扇区)
解释:引导型病毒是放在引导型扇区里面,在计算机中都有个0柱面0磁头1扇区特殊的记录,是计算机开机的重要文件,病毒把Master Boot Record代码修改之后,在计算机开机的时候可能就会先激活病毒。
(2)文件型病毒
通常它感染各种可执行文件、有可解释执行脚本的文件、可包含宏代码的文件。每一次它们激活时,感染文件把病毒代码自身复制到其他文件中。
(3)混合型病毒
混合型病毒通过技术手段把引导型病毒和文件型病毒组合成一体,使之具有引导型病毒和文件型病毒两种特征,以两者相互促进的方式进行传染。这种病毒既可以传染引导区又可以传染可执行文件,增加了病毒的传染性以及生存率,使其传播范围更广,更难于清除干净。
经典实例
宏病毒
1.病毒是一种使用宏编辑语言编写的病毒,主要寄生于Word文档或模板的宏中。一旦打开这样的文档,宏病毒就会被激活,进入计算机内存并驻留在Normal模板上,从而感染所有自动保存的文档。如果网络上其他用户打开感染病毒的文档,宏病毒就会转移到他的计算机上。
宏病毒通常使用VB脚本,影响微软的Office组建或类似的应用软件,大多通过邮件传播。
在我们计算机的Word文档中就可以找到宏,
2.宏病毒的工作原理:
3.宏病毒的特点:
(1)感染数据文件。一般病毒只感染程序,而宏病毒专门感染数据文件。
(2)多平台交叉感染。当Word、Excel这类软件在不同平台(如Windows、OS/2和MacinTosh)上运行时,会被宏病毒交叉感染。
(3)容易编写。宏病毒以源代码形式出现,所以编写和修改宏病毒就更容易了。这也是宏病毒的数量居高不下的原因。
(4)容易传播。只要打开带有宏病毒的电子邮件,计算机就会被宏病毒感染。此后,打开或新建文件都会感染宏病毒。
4.宏病毒的预防
防治宏病毒的根本在于限制宏的执行。
(1)禁止所有宏的执行。在打开Word文档时,按住Shift键,即可禁止自动宏,从而达到防治宏病毒的目的。
(2)检查是否存在可疑的宏。若发现有一些奇怪名字的宏,肯定就是病毒无疑了,将它立即删除即可。即便删错了也不会对Word文档内容产生任何影响。具体做法是,选择【工具】【| 宏】命令,打开【宏】对话框,选择要删除的宏,单击【删除】按钮即可。
(3)按照自己的习惯设置。重新安装Word后,建立一个新文档,将Word的工作环境按照自己的使用习惯进行设置,并将需要使用的宏一次编制好,做完后保存新文档。这时候的Normal.dot模板绝对没有宏病毒,可将其备份起来。在遇到宏病毒时,用备份的Normal.dot模板覆盖当前的模板,可以消除宏病毒。
(4)使用Windows自带的写字板。在使用可能有宏病毒的Word文档时,先用Windows自带的写字板打开文档,将其转换为写字板格式的文件保存后,再用Word调用。因为写字板不调用、不保存宏,文档经过这样的转换,所有附带的宏(包括宏病毒)都将丢失。
(5)提示保存Normal模板。选择【工具】【| 选项】命令,在【选项】对话框中打开【保存】选项卡,选中【提示保存Normal模板】复选框。一旦宏病毒感染了Word文档,退出Word时,Word就会出现“更改的内容会影响到公用模板Normal,是否保存这些修改内容?”的提示信息,此时应选择“否”,退出后进行杀毒。
(6)使用.rtf和.csv格式代替.doc和.xls。因为.rtf和.csv格式不支持宏功能,所以交换文件时候,用.rtf格式的文档代替.doc格式,用.csv格式的电子表格代替.xls格式。这样就可以避免宏病毒的传播。
5.宏病毒的清除
(1)手工清除。选取【工具】【| 宏】命令,打开【宏】对话框,单击【管理器】命令按钮,打开【管理器】对话框,选择【宏方案项】选项卡,在【宏方案项的有效范围】下拉列表中选择要检查的文档,将来源不明的宏删除。退出Word,然后到C盘根目录下查看有没有Autoexec.dot文件,如果有这个文件就删除,再找到Normal.dot文件,删除它。Word会自动重新生成一个干净的Normal.dot文件。到目录 C:\Program Files\Microsoft Office\Office\Startup 下查看有没有模板文件,如果有而且不是用户自己建立的,则删除它。重启Word,这时Word已经恢复正常了。
(2)使用专业杀毒软件。目前的专业杀毒软件都具有清除宏病毒的能力。但是如果是新出现的病毒或者是病毒的变种则可能不能正常清除,此时需要手工清理.
蠕虫
1.定义:
蠕虫(Worm)是一种通过网络传播的恶性病毒,通过分布式网络来扩散传播特定的信息或错误,进而造成网络服务遭到拒绝并发生死锁。
2. 蠕虫病毒的基本结构和传播过程
蠕虫的基本程序结构包括以下三个模块
(1)传播模块:负责蠕虫的传播,传播模块又可分为三个基本模块,即扫描模块、攻击模块和复制模块。
(2)隐藏模块:浸入主机后,隐藏蠕虫程序,防止被用户发现。
(3)目的功能模块:实现对计算机的控制、监视或破坏等功能。
蠕虫程序的一般传播过程为:
(1)扫描:由蠕虫的扫描功能模块负责探测存在漏洞的主机。当程序向某个主机发送探测漏洞的信息并收到成功的反馈信息后,就得到一个可传播的对象。
(2)攻击:攻击模块按漏洞攻击步骤自动攻击步骤1中找到的对象,取得该主机的权限(一般为管理员权限),获得一个shell。
(3)复制:复制模块通过原主机和新主机的交互将蠕虫程序复制到新主机并启动。
由此可见,传播模块实现的实际上是自动入侵的功能,所以蠕虫的传播技术是蠕虫技术的核心。
3.蠕虫病毒实例——熊猫烧香
熊猫烧香是一个感染型的蠕虫病毒,它能感染系统中exe,com,pif,src,html,asp等文件,它还能结束大量的反病毒软件进程。
熊猫烧香是一种蠕虫病毒的变种,经过多次变种而来,由于中毒电脑的可执行文件会出现“熊猫烧香”图案,所以也被称为 “熊猫烧香”病毒。但原病毒只会对exe文件的图标进行替换,并不会对系统本身进行破坏。而大多数是中等病毒变种,用户电脑中毒后可能会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。
同时,该病毒的某些变种可以通过局域网进行传播,进而感染局域网内所有计算机系统,最终导致企业局域网瘫痪,无法正常使用,它能感染系统中exe,com,pif,src,html,asp等文件,它还能终止大量的反病毒软件进程并且会删除扩展名为gho的备份文件。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。