計算機病毒知識與防治學(xué)習(xí)資料

1、文檔名稱計算機病毒知識與防治學(xué)習(xí)資料電子郵件 | | HYPERLINK mailto:nic nic網(wǎng)絡(luò)信息中心網(wǎng)站 | | HYPERLINK / /計算機病毒知識與防治學(xué)習(xí)資料一、什么是計算機病毒“計算機病毒”為什么叫做病毒。首先，與醫(yī)學(xué)上的“病毒”不同，它不是天然存在的，是某些人利用計算機軟、硬件所固有的脆弱性，編制具有特殊功能的程序。其能通過某種途徑潛伏在計算機存儲介質(zhì)(或程序)里，當達到某種條件時即被激活，它用修改其他程序的方法將自己的精確拷貝或者可能演化的形式放入其他程序中，從而感染它們，對計算機資源進行破壞的這樣一組程序或指令集合。1994年2月18日， 我國正式頒布實施了中華

2、人民共和國計算機信息系統(tǒng)安全保護條例，在條例第二十八條中明確指出：“計算機病毒，是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用，并能自我復(fù)制的一組計算機指令或者程序代碼。”此定義具有法律性、權(quán)威性。二、病毒起源最早由馮諾伊曼提出一種可能性現(xiàn)在稱為病毒，但沒引起注意. 1975 年，美國科普作家約翰布魯勒爾 (JOHN BRUNNER) 寫了本名為震蕩波騎士(SHOCK WAVE RIDER) 的書，該書第一次描寫了在信息社會中，計算機作為正義和邪惡雙方斗爭的工具的故事，成為當年最佳暢銷書之一1977年夏天，托馬斯捷瑞安 (THOMAS.J.RYAN) 的科幻小說P-

3、1的春天(THE ADOLESCENCE OF P-1) 成為美國的暢銷書，作者在這本書中描寫了一種可以在計算機中互相傳染的病毒，病毒最后控制了 7，000 臺計算機，造成了一場災(zāi)難。1983年11月3日，弗雷德科恩 (FRED COHEN) 博士研制出一種在運行過程中可以復(fù)制自身的破壞性程序，倫艾德勒曼 (LEN ADLEMAN) 將它命名為計算機病毒(COMPUTER VIRUSES)，并在每周一次的計算機安全討論會上正式提出，8小時后專家們在VAX11/750計算機系統(tǒng)上運行，第一個病毒實驗成功，一周后又獲準進行5個實驗的演示，從而在實驗上驗證了計算機病毒的存在。1986 年初，在巴基斯

4、坦的拉合爾 (LAHORE)，巴錫特 (BASIT) 和阿姆杰德(AMJAD) 兩兄弟經(jīng)營著一家 IBM-PC 機及其兼容機的小商店。他們編寫了PAKISTAN 病毒，即BRAIN。在一年內(nèi)流傳到了世界各地。 1988 年 3 月 2 日，一種蘋果機的病毒發(fā)作，這天受感染的蘋果機停止工作，只顯示“向所有蘋果電腦的使用者宣布和平的信息”。以慶祝蘋果機生日。 1988 年 11 月 2 日，美國六千多臺計算機被病毒感染，造成 INTERNET不能正常運行。這是一次非常典型的計算機病毒入侵計算機網(wǎng)絡(luò)的事件，迫使美國政府立即做出反應(yīng)，國防部成立了計算機應(yīng)急行動小組。這次事件中遭受攻擊的包括5個計算機中

5、心和12個地區(qū)結(jié)點，連接著政府、大學(xué)、研究所和擁有政府合同的 250，000 臺計算機。這次病毒事件，計算機系統(tǒng)直接經(jīng)濟損失達 9600 萬美元。這個病毒程序設(shè)計者是羅伯特莫里斯 (ROBERT T.MORRIS)，當年 23 歲，是在康乃爾 (CORNELL) 大學(xué)攻讀學(xué)位的研究生。羅伯特莫里斯設(shè)計的病毒程序利用了系統(tǒng)存在的弱點。由于羅伯特莫里斯成了入侵 ARPANET 網(wǎng)的最大的電子入侵者，而獲準參加康乃爾大學(xué)的畢業(yè)設(shè)計，并獲得哈佛大學(xué) AIKEN 中心超級用戶的特權(quán)。他也因此被判3年緩刑，罰款1萬美元，他還被命令進行400 小時的社區(qū)服務(wù)。1988 年底，在我國的國家統(tǒng)計部門發(fā)現(xiàn)小球病毒

6、。三、病毒的產(chǎn)生計算機病毒的產(chǎn)生是計算機技術(shù)和以計算機為核心的社會信息化進程發(fā)展到一定階段的必然產(chǎn)物。其產(chǎn)生的過程可分為：程序設(shè)計-傳播-潛伏-觸發(fā)、運行-實行攻擊。究其產(chǎn)生的原因不外乎以下幾種： 一些計算機愛好者出于好奇或興趣，也有的是為了滿足自己的表現(xiàn)欲，故意編制出一些特殊的計算機程序，讓別人的電腦出現(xiàn)一些動畫，或播放聲音，或提出問題讓使用者回答，以顯示自己的才干。而此種程序流傳出去就演變成計算機病毒，此類病毒破壞性一般不大。 產(chǎn)生于個別人的報復(fù)心理。如祖國臺灣的學(xué)生陳盈豪，就是出于此種情況；他以前購買了一些殺病毒軟件，可拿回家一用，并不如廠家所說的那么厲害，殺不了什么病毒，于是他就想親自

7、編寫一個能避過各種殺病毒軟件的病毒，這樣，CIH就誕生了。此種病毒對電腦用戶曾造成一度的災(zāi)難。 來源于軟件加密，一些商業(yè)軟件公司為了不讓自己的軟件被非法復(fù)制和使用，運用加密技術(shù)，編寫一些特殊程序附在正版軟件上，如遇到非法使用，則此類程序自動激活，于是又會產(chǎn)生一些新病毒；如巴基斯坦病毒。 產(chǎn)生于游戲，編程人員在無聊時互相編制一些程序輸入計算機，讓程序去銷毀對方的程序，如最早的“磁芯大戰(zhàn)”，這樣，另一些病毒也產(chǎn)生了。 用于研究或?qū)嶒灦O(shè)計的“有用”程序，由于某種原因失去控制而擴散出來。 由于政治、經(jīng)濟和軍事等特殊目的，一些組織或個人也會編制一些程序用于進攻對方電腦，給對方造成災(zāi)難或直接性的經(jīng)濟損失

8、。 四、病毒的傳播途徑計算機病毒的傳播主要是通過拷貝文件、傳送文件、運行程序等方式進行。而主要的傳播途徑有以下幾種： 硬盤 因為硬盤存儲數(shù)據(jù)多，在其互相借用或維修時，將病毒傳播到其他的硬盤或軟盤上。 軟盤 軟盤主要是攜帶方便，早期時候在網(wǎng)絡(luò)還不普及時，為了計算機之間互相傳遞文件，經(jīng)常使用軟盤，這樣，通過軟盤，也會將一臺機子的病毒傳播到另一臺機子。 光盤 光盤的存儲容量大，所以大多數(shù)軟件都刻錄在光盤上，以便互相傳遞；由于各普通用戶的經(jīng)濟收入不高，購買正版軟件的人就少，一些非法商人就將軟件放在光盤上，因其只讀，所以上面即使有病毒也不能清除，商人在制作過程中難免會將帶毒文件刻錄在上面。 網(wǎng)絡(luò) 在電腦

9、日益普及的今天，人們通過計算機網(wǎng)絡(luò)，互相傳遞文件、信件，這樣給病毒的傳播速度又加快了；因為資源共享，人們經(jīng)常在網(wǎng)上下載免費、共享軟件，病毒也難免會夾在其中。五、病毒的特征傳染性計算機病毒的傳染性是指病毒具有把自身復(fù)制到其他程序中的特性。計算機病毒是一段人為編制的計算機程序代碼，這段程序代碼一旦進入計算機并得以執(zhí)行，它會搜 尋其他符合其傳染條件的程序或存儲介質(zhì)，確定目標后再將自身代碼插入其中，達到自我繁殖的目的。只要一臺計算機染毒，如不及時處理，那么病毒會在這臺機子 上迅速擴散，其中的大量文件（一般是可執(zhí)行文件）會被感染。而被感染的文件又成了新的傳染源，再與其他機器進行數(shù)據(jù)交換或通過網(wǎng)絡(luò)接觸，病

10、毒會繼續(xù)進行傳 染。 正常的計算機程序一般是不會將自身的代碼強行連接到其它程序之上的。而病毒卻能使自身的代碼強行傳染到一切符合其傳染條件的未受到傳染的程序之上。計算機病 毒可通過各種可能的渠道，如軟盤、計算機網(wǎng)絡(luò)去傳染其它的計算機。當你在一臺機器上發(fā)現(xiàn)了病毒時，往往曾在這臺計算機上用過的軟盤已感染上了病毒，而與這 臺機器相聯(lián)網(wǎng)的其它計算機也許也被該病毒感染上了。是否具有傳染性是判別一個程序是否為計算機病毒的最重要條件。非授權(quán)性一般正常的程序是由用戶調(diào)用，再由系統(tǒng)分配資源，完成用戶交給的任務(wù)。其目的對用戶是可見的、透明的。而病毒具有正常程序的一切特性，它隱藏再正常程序中，當用戶調(diào)用正常程序時竊取

11、到系統(tǒng)的控制權(quán)，先于正常程序執(zhí)行，病毒的動作、目的對用戶時未知的，是未經(jīng)用戶允許的。隱蔽性病毒一般是具有很高編程技巧、短小精悍的程序。通常附在正常程序中或磁盤較隱蔽的地方，也有個別的以隱含文件形式出現(xiàn)。目的是不讓用戶發(fā)現(xiàn)它的存在。如果不 經(jīng)過代碼分析，病毒程序與正常程序是不容易區(qū)別開來的。一般在沒有防護措施的情況下，計算機病毒程序取得系統(tǒng)控制權(quán)后，可以在很短的時間里傳染大量程序。 而且受到傳染后，計算機系統(tǒng)通常仍能正常運行，使用戶不會感到任何異常。試想，如果病毒在傳染到計算機上之后，機器馬上無法正常運行，那么它本身便無法繼 續(xù)進行傳染了。正是由于隱蔽性，計算機病毒得以在用戶沒有察覺的情況下擴散

12、到上百萬臺計算機中。 大部分的病毒的代碼之所以設(shè)計得非常短小，也是為了隱藏。病毒一般只有幾百或1k字節(jié)，而PC機對DOS文件的存取速度可達每秒幾百KB以上，所以病毒轉(zhuǎn)瞬之間便可將這短短的幾百字節(jié)附著到正常程序之中，使人非常不易被察覺。 潛伏性大部分的病毒感染系統(tǒng)之后一般不會馬上發(fā)作，它可長期隱藏在系統(tǒng)中，只有在滿足其特定條件時才啟動其表現(xiàn)（破壞）模塊。只有這樣它才可進行廣泛地傳播。如“PETER-2”在每年2月27日會提三個問題，答錯后會將硬盤加密。著名的“黑色星期五”在逢13號的星期五發(fā)作。國內(nèi)的“上海一號”會在每年三、六、九月的13日發(fā)作。當然，最令人難忘的便是26日發(fā)作的CIH。這些病毒

13、在平時會隱藏得很好，只有在發(fā)作日才會露出本來面目。破壞性任何病毒只要侵入系統(tǒng)，都會對系統(tǒng)及應(yīng)用程序產(chǎn)生程度不同的影響。輕者會降低計算機工作效率，占用系統(tǒng)資源，重者可導(dǎo)致系統(tǒng)崩潰。由此特性可將病毒分為良性 病毒與惡性病毒。良性病毒可能只顯示些畫面或出點音樂、無聊的語句，或者根本沒有任何破壞動作，但會占用系統(tǒng)資源。這類病毒較多，如：GENP、小球、W-BOOT等。惡性病毒則有明確得目的，或破壞數(shù)據(jù)、刪除文件或加密磁盤、格式化磁盤，有的對數(shù)據(jù)造成不可挽回的破壞。這也反映出病毒編制者的險惡用心。不可預(yù)見性從對病毒的檢測方面來看，病毒還有不可預(yù)見性。不同種類的病毒，它們的代碼千差萬別，但有些操作是共有的

14、（如駐內(nèi)存，改中斷）。有些人利用病毒的這種共性， 制作了聲稱可查所有病毒的程序。這種程序的確可查出一些新病毒，但由于目前的軟件種類極其豐富，且某些正常程序也使用了類似病毒的操作甚至借鑒了某些病毒 的技術(shù)。使用這種方法對病毒進行檢測勢必會造成較多的誤報情況。而且病毒的制作技術(shù)也在不斷的提高，病毒對反病毒軟件永遠是超前的。六、病毒的分類病毒主要有以下幾種類型：開機型病毒 (Boot Strap Sector Virus):開機型病毒是藏匿在磁盤片或硬盤的第一個扇區(qū)。因為DOS的架構(gòu)設(shè)計， 使得病毒可以在每次開機時， 在操作系統(tǒng)還沒被加載之前就被加載到內(nèi)存中， 這個特性使得病毒可以針對DOS的各類中

15、斷 (Interrupt) 得到完全的控制， 并且擁有更大的能力進行傳染與破壞。 文件型病毒 (File Infector Virus):文件型病毒通常寄生在可執(zhí)行文件(如 *.COM， *.EXE等)中。當這些文件被執(zhí)行時， 病毒的程序就跟著被執(zhí)行。文件型的病毒依傳染方式的不同， 又分成非常駐型以及常駐型兩種 :非常駐型病毒(Non-memory Resident Virus) : 非常駐型病毒將自己寄生在 *.COM， *.EXE或是 *.SYS的文件中。當這些中毒的程序被執(zhí)行時，就會嘗試去傳染給另一個或多個文件。 2) 常駐型病毒(Memory Resident Virus) :常駐型病

16、毒躲在內(nèi)存中，其行為就是寄生在各類的低階功能 (如 Interrupts)，由于這個原因，常駐型病毒往往對磁盤造成更大的傷害。一旦常駐型病毒進入了內(nèi)存中， 只要執(zhí)行文件被執(zhí)行， 它就對其進行感染的動作， 其效果非常顯著。將它趕出內(nèi)存的唯一方式就是冷開機(完全關(guān)掉電源之后再開機)。復(fù)合型病毒 (Multi-Partite Virus):復(fù)合型病毒兼具開機型病毒以及文件型病毒的特性。它們可以傳染 *.COM， *.EXE 文件，也可以傳染磁盤的開機系統(tǒng)區(qū)(Boot Sector)。由于這個特性， 使得這種病毒具有相當程度的傳染力。一旦發(fā)病，其破壞的程度將會非常可觀！ 隱型飛機式病毒 (Stealt

17、h Virus):隱型飛機式病毒又稱作中斷截取者(Interrupt Interceptors)。顧名思義， 它通過控制DOS的中斷向量，把所有受其感染的文件假還原，再把看似和原來一模一樣的文件丟回給 DOS。千面人病毒 (Polymorphic/Mutation Virus):千面人病毒可怕的地方， 在于每當它們繁殖一次， 就會以不同的病毒碼傳染到別的地方去。每一個中毒的文件中， 所含的病毒碼都不一樣， 對于掃描固定病毒碼的防毒軟件來說，無疑是一個嚴重的考驗！有些高竿的千面人病毒，幾乎無法找到相同的病毒碼。感染 PE_ Marburg 病毒后的3個月，即會在桌面上出現(xiàn)一堆任意排序的 X 符號

18、宏病毒 (Macro Virus):宏病毒主要是利用軟件本身所提供的宏能力來設(shè)計病毒， 所以凡是具有寫宏能力的軟件都有宏病毒存在的可能， 如Word、 Excel 、AmiPro 等等。特洛伊木馬病毒 VS.計算機蠕蟲特洛伊木馬（ Trojan ）和計算機蠕蟲（ Worm ）之間，有某種程度上的依附關(guān)系，有愈來愈多的病毒同時結(jié)合這兩種病毒型態(tài)的破壞力，達到雙倍的破壞能力。計算機蠕蟲大家過去可能比較陌生，不過近年來應(yīng)該常常聽到，顧名思義計算機蠕蟲指的是某些惡性程序代碼會像蠕蟲般在計算機網(wǎng)絡(luò)中爬行，從一臺計算機爬到另外一臺計算機，方法有很多種例如透過局域網(wǎng)絡(luò)或是 E-mail.最著名的計算機蠕蟲案

19、例就是 ILOVEYOU-愛情蟲 。例如： MELISSA-梅莉莎 便是結(jié)合計算機病毒及計算機蠕蟲的兩項特性。該惡性程序不但會感染 Word 的 Normal.dot（此為計算機病毒特性），而且會通過 Outlook E-mail 大量散播（此為計算機蠕蟲特性）。事實上，在真實世界中單一型態(tài)的惡性程序其實愈來愈少了，許多惡性程序不但具有傳統(tǒng)病毒的特性，更是結(jié)合了特洛伊木馬程序、計算機蠕蟲型態(tài)來造成更大的影響力。一個耳熟能詳?shù)陌咐翘诫U蟲（ExploreZip）。探險蟲會覆蓋掉在局域網(wǎng)絡(luò)上遠程計算機中的重要文件（此為特洛伊木馬程序特性），并且會透過局域網(wǎng)絡(luò)將自己安裝到遠程計算機上（此為計算機蠕蟲

20、特性）。黑客型病毒-走后門、發(fā)黑色信件、癱瘓網(wǎng)絡(luò)自從2001年7月 CodeRed紅色警戒利用 IIS 漏洞，揭開黑客與病毒并肩作戰(zhàn)的攻擊模式以來，CodeRed 在病毒史上的地位，就如同第一只病毒 Brain 一樣，具有難以抹滅的歷史意義。如同網(wǎng)絡(luò)安全專家預(yù)料的，CodeRed 將會成為計算機病毒、計算機蠕蟲和黑客三管齊下的開山鼻祖，日后的病毒將以其為樣本，變本加厲地在網(wǎng)絡(luò)上展開新型態(tài)的攻擊行為。果不其然，在造成全球 26.2 億美金的損失后， 不到2個月同樣攻擊 IIS 漏洞的Nimda 病毒，其破壞指數(shù)卻遠高于 CodeRed。 Nimda 反傳統(tǒng)的攻擊模式，不僅考驗著 MIS 人員的應(yīng)

21、變能力，更使得傳統(tǒng)的防毒軟件面臨更高的挑戰(zhàn)。繼紅色代碼之后，出現(xiàn)一只全新攻擊模式的新病毒，透過相當罕見的多重感染管道在網(wǎng)絡(luò)上大量散播，包含： 電子郵件、網(wǎng)絡(luò)資源共享、微軟IIS服務(wù)器的安全漏洞等等。由于 Nimda 的感染管道相當多，病毒入口多，相對的清除工作也相當費事。尤其是下載微軟的 Patch，無法自動執(zhí)行，必須每一臺計算機逐一執(zhí)行，容易失去搶救的時效。每一臺中了Nimda 的計算機，都會自動掃描網(wǎng)絡(luò)上符合身份的受害目標，因此常造成網(wǎng)絡(luò)帶寬被占據(jù)，形成無限循環(huán)的 DoS阻斷式攻擊。另外，若該臺計算機先前曾遭受 CodeRed 植入后門程序，那么兩相掛勾的結(jié)果，將導(dǎo)致黑客為所欲為地進入受害

22、者計算機，進而以此為中繼站對其它計算機發(fā)動攻勢。類似Nimda威脅網(wǎng)絡(luò)安全的新型態(tài)病毒，將會是 MIS 人員最大的挑戰(zhàn)。 -認識計算機病毒與黑客防止計算機黑客的入侵方式，最熟悉的就是裝置防火墻 (Firewall)，這是一套專門放在 Internet 大門口 (Gateway) 的身份認證系統(tǒng)，其目的是用來隔離 Internet 外面的計算機與企業(yè)內(nèi)部的局域網(wǎng)絡(luò)，任何不受歡迎的使用者都無法通過防火墻而進入內(nèi)部網(wǎng)絡(luò)。有如機場入境關(guān)口的海關(guān)人員，必須核對身份一樣，身份不合者，則謝絕進入。否則，一旦讓恐怖份子進入國境破壞治安，要再發(fā)布通緝令逮捕，可就大費周章了。一般而言，計算機黑客想要輕易的破解防火

23、墻并入侵企業(yè)內(nèi)部主機并不是件容易的事，所以黑客們通常就會采用另一種迂回戰(zhàn)術(shù)，直接竊取使用者的賬號及密碼，如此一來便可以名正言順的進入企業(yè)內(nèi)部。而 CodeRed、Nimda即是利用微軟公司的 IIS網(wǎng)頁服務(wù)器操作系統(tǒng)漏洞，大肆為所欲為。-寬帶大開方便之門CodeRed 能在短時間內(nèi)造成亞洲、美國等地 36 萬計算機主機受害的事件，其中之一的關(guān)鍵因素是寬帶網(wǎng)絡(luò)（Broadband）的always-on (固接，即二十四小時聯(lián)機)特性所打開的方便之門。寬帶上網(wǎng)，主要是指 Cable modem 與 xDSL這兩種技術(shù)，它們的共同特性，不單在于所提供的帶寬遠較傳統(tǒng)的電話撥接為大，同時也讓二十四小時固

24、接上網(wǎng)變得更加便宜。事實上，這兩種技術(shù)的在本質(zhì)上就是持續(xù)聯(lián)機的，在線路兩端的計算機隨時可以互相溝通。當 CodeRed 在 Internet 尋找下一部服務(wù)器作為攻擊發(fā)起中心時，前提必須在該計算機聯(lián)機狀態(tài)方可產(chǎn)生作用，而無任何保護措施的寬帶用戶，雀屏中選的機率便大幅提升了。當我們期望Broadband（寬帶網(wǎng)絡(luò)）能讓我們外出時仍可隨時連上家用計算機，甚至利用一根小手指頭遙控家中的電飯鍋煮飯、咖啡爐煮咖啡時，同樣的，黑客和計算機病毒也有可能隨時入侵 到我們家中。計算機病毒可能讓我們的馬桶不停地沖水，黑客可能下達指令炸掉家里的微波爐、讓冰箱變成烤箱、甚至可能利用家用監(jiān)視攝影機來監(jiān)視我們的一舉一動。

25、唯有以安全為后盾，有效地阻止黑客與病毒的覬覦，才能開啟寬帶網(wǎng)絡(luò)的美麗新世界。計算機及網(wǎng)絡(luò)家電鎮(zhèn)日處于always-on的 狀態(tài)，也使得計算機黑客有更多入侵的機會。在以往撥接上網(wǎng)的時代，家庭用戶對黑客而言就像是一個移動的目標，非常難以鎖定，如果黑客想攻擊的目標沒有撥接上網(wǎng)絡(luò)，那么再厲害的黑客也是一籌莫展，只能苦苦等候。相對的，寬帶上網(wǎng)所提供的二十四小時固接服務(wù)卻讓黑客有隨時上下其手的機會，而較大的帶寬不但提供 家庭用戶更寬廣的進出渠道，也同時讓黑客進出更加的快速便捷。 過去我們認為計算機防毒與防止黑客是兩回事（見表一），然而 CodeRed卻改寫了這個的定律，過去黑客植入后門程序必須一臺計算機、

26、一臺計算機地大費周章的慢慢入侵，但CodeRed卻以病毒大規(guī)模感染的手法，瞬間即可植入后門程序，更加暴露了網(wǎng)絡(luò)安全的嚴重問題。表一：黑客與計算機病毒比較黑客（Hacker） 計算機病毒( Virus )入侵對象鎖定特定目標沒有特定目標隱喻被限制出入境者（非企業(yè)網(wǎng)管相關(guān)人員），以幾可亂真的 Passport欺蒙海關(guān)守門員（如同企業(yè)網(wǎng)絡(luò)的Gateway），進入國境（企業(yè)網(wǎng)絡(luò)）后，鎖定迫害對象（計算機主機），進行各種破壞動作。某人持有合法護照，但在出入境時，攜帶的行李被放置槍炮彈藥等違禁品（病毒程序），海關(guān)（如同企業(yè)網(wǎng)絡(luò)的Gateway）并沒有察覺，于是在突破第一道關(guān)卡后，這些違禁品進入國境（個人計

27、算機或企業(yè)網(wǎng)絡(luò)），隨時產(chǎn)生破壞動作。舉例說明沒有合法身份認證的計算機黑客通常都會先想辦法取得一個合法的通行密碼，或者利用系統(tǒng)安全疏失，在網(wǎng)絡(luò)上通行無阻。一個合法的使用者在有意無意間所引進病毒，其管道可能是直接從網(wǎng)際網(wǎng)絡(luò)下載文件、或是開啟 e-mail 中含有病毒的附加文件 (Attachment)所感染。七、病毒的命名對病毒命名，各個反毒軟件亦不盡相同，有時對一種病毒不同的軟件會報出不同的名稱。如“SPY”病毒，KILL起名為SPY，KV300則叫“TPVO-3783”。給病毒起名的方法不外乎以下幾種：按病毒出現(xiàn)的地點，如“ZHENJIANG_JES”其樣本最先來自鎮(zhèn)江某用戶。按病毒中出現(xiàn)的人

28、名或特征字符，如“ZHANGFANG1535”，“DISK KILLER”，“上海一號”。按病毒發(fā)作時的癥狀命名，如“火炬”，“蠕蟲”。按病毒發(fā)作的時間，如“NOVEMBER 9TH”在11月9日發(fā)作。有些名稱包含病毒代碼的長度，如“PIXEL.xxx”系列，“KO.xxx”等體。八、病毒的危害計算機病毒會感染、傳播，但這并不可怕，可怕的是病毒的破壞性。其主要危害有：攻擊硬盤主引導(dǎo)扇區(qū)、Boot扇區(qū)、FAT表、文件目錄，使磁盤上的信息丟失。 刪除軟盤、硬盤或網(wǎng)絡(luò)上的可執(zhí)行文件或數(shù)據(jù)文件，使文件丟失。 占用磁盤空間。 修改或破壞文件中的數(shù)據(jù)，使內(nèi)容發(fā)生變化。 搶占系統(tǒng)資源，使內(nèi)存減少。 占用CP

29、U運行時間，使運行效率降低。 對整個磁盤或扇區(qū)進行格式化。 破壞計算機主板上BIOS內(nèi)容，使計算機無法工作。 破壞屏幕正常顯示，干擾用戶的操作。破壞鍵盤輸入程序，使用戶的正常輸入出現(xiàn)錯誤。 攻擊喇叭，會使計算機的喇叭發(fā)出響聲。有的病毒作者讓病毒演奏旋律優(yōu)美的世界名曲，在高雅的曲調(diào)中去殺戮人們的信息財富。有的病毒作者通過喇叭發(fā)出種種聲音。 .干擾打印機，假報警、間斷性打印、更換字符。九、病毒的發(fā)展當前計算機病毒的最新發(fā)展：病毒的演化，任何程序和病毒都一樣，不可能十全十美，所以一些人還在修改以前的病毒，使其功能更完善，使殺毒軟件更難檢測。在時下操作系統(tǒng)搶占市場的時候，各種操作系統(tǒng)應(yīng)運而生，其它操作

30、系統(tǒng)上的病毒也千奇百怪。一些新病毒變得越來越隱蔽。多變型病毒也稱變形發(fā)動機，是新型計算機病毒。這類病毒采用復(fù)雜的密碼技術(shù)，在感染宿主程序時，病毒用隨機的算法對病毒程序加密，然后放入宿主程序中，由 于隨機數(shù)算法的結(jié)果多達天文數(shù)字，所以，放入宿主程序中的病毒程序每次都不相同。這樣，同一種病毒，具有多種形態(tài)，每一次感染，病毒的面貌都不相同，猶如 一個人能夠“變臉”一樣，檢測和殺除這種病毒非常困難。既然殺病毒軟件是殺病毒的，而就有人卻在搞專門破壞殺病毒軟件的病毒，一是可以避過殺病毒軟件，二是可以修改殺病毒軟件，使其殺毒功能改變。十、怎樣發(fā)現(xiàn)病毒計算機病毒發(fā)作時，通常會出現(xiàn)以下幾種情況，這樣我們就能盡早

31、地發(fā)現(xiàn)和清除它們。電腦運行比平常遲鈍 程序載入時間比平常久 有些病毒能控制程序或系統(tǒng)的啟動程序，當系統(tǒng)剛開始啟動或是一個應(yīng)用程序被載入時，這些病毒將執(zhí)行他們的動作，因此會花更多時間來載入程序。 對一個簡單的工作，磁盤似乎花了比預(yù)期長的時間 例如：儲存一頁的文字若需一秒，但病毒可能會花更長時間來尋找未感染文件。 不尋常的錯誤信息出現(xiàn) 例如你可能得到以下的信息： write protect error on driver A 表示病毒已經(jīng)試圖去存取軟盤并感染之，特別是當這種信息出現(xiàn)頻繁時，表示你的系統(tǒng)已經(jīng)中毒了！ 硬盤的指示燈無緣無故的亮了 當你沒有存取磁盤，但磁盤指示燈卻亮了，電腦這時已經(jīng)受到病毒感染了。 系統(tǒng)內(nèi)存容量忽然大量減少 有些病毒會消耗可觀的內(nèi)存容量，曾經(jīng)執(zhí)行過的程序，再次執(zhí)行時，突然告訴你沒有足夠的內(nèi)存可以利用，表示病毒已經(jīng)存在你的電腦中了！ 磁盤可利用的空間突然減少 這個信息警告你病毒已經(jīng)開始復(fù)制了！ 可執(zhí)行程序的大小改變了！ 正常情況下，這些程序應(yīng)該維持固定的大小，但有些較不聰明的病毒，會增加程序的大小 。壞軌增加 有些病毒會將某些磁區(qū)標注為壞軌，而將自己隱藏其中，往往掃毒軟件也無法檢查病毒的存在，例如Disk Killer會尋找3或5個