局域網(wǎng)病毒傳播的方式特點及防范技巧

PAGE

II

局域網(wǎng)病毒傳播的方式特點及防范技巧

摘要

計算機病毒(ComputerVirus)在《中華人民共和國計算機信息系統(tǒng)安全保護條例》中被明確定義，病毒指“編制者在計算機程序中插入的破壞計算機功能或者破壞數(shù)據(jù)，影響計算機使用并且能夠自我復(fù)制的一組計算機指令或者程序代碼”。

病毒不是來源于突發(fā)或偶然的原因。病毒來自于一次偶然的事件，那時的研究人員為了計算出當時互聯(lián)網(wǎng)的在線人數(shù)，然而它卻自己“繁殖”了起來導(dǎo)致了整個服務(wù)器的崩潰和堵塞，有時一次突發(fā)的停電和偶然的錯誤，會在計算機的磁盤和內(nèi)存中產(chǎn)生一些亂碼和隨機指令，但這些代碼是無序和混亂的，病毒則是一種比較完美的，精巧嚴謹?shù)拇a，按照嚴格的秩序組織起來，與所在的系統(tǒng)網(wǎng)絡(luò)環(huán)境相適應(yīng)和配合起來，病毒不會通過偶然形成，并且需要有一定的長度，這個基本的長度從概率上來講是不可能通過隨機代碼產(chǎn)生的。

計算機資源的損失和破壞，不但會造成資源和財富的巨大浪費，而且有可能造成社會性的災(zāi)難，隨著信息化社會的發(fā)展，計算機病毒的威脅日益嚴重，反病毒的任務(wù)也更加艱巨了。

關(guān)鍵詞：計算機病毒，計算機病毒的傳播，危害

目錄

第一章計算機病毒介紹

1

1.1什么是計算機病毒

1

1.2計算機病毒的特點

1

1.3計算機病毒的分類

2

第二章計算機病毒的表現(xiàn)形式

4

2.1計算機病毒發(fā)作時的表現(xiàn)現(xiàn)象

4

2.2計算機病毒發(fā)作后的表現(xiàn)現(xiàn)象

6

第三章計算機病毒的傳播途徑

8

3.1軟盤

8

3.2光盤

8

3.3硬盤

8

3.4BBS

8

3.5病毒通過網(wǎng)絡(luò)傳播的方式

8

3.5.1E-mail

9

3.5.2郵件附件

9

3.5.3Web服務(wù)器

9

3.5.4文件共享

9

第四章病毒的防治

10

4.1病毒防治的意義

10

4.2病毒的預(yù)防

10

4.3計算機病毒如何處理

11

第五章星星網(wǎng)吧病毒防治

13

5.1網(wǎng)吧中毒過程

13

5.1.1尼姆達的傳播方式

13

5.1.2中毒后的表現(xiàn)形式

13

5.1.3如何消滅病毒

14

5.2網(wǎng)吧的病毒防治

14

5.2.1安全維護從布線做起

14

5.2.2合理選購硬件防火墻

16

5.3安全防護的三個重要模塊

18

5.4局域網(wǎng)內(nèi)部安全措施

18

總結(jié)

20

參考文獻

21

第

PAGE

21

頁共22頁

第一章計算機病毒介紹

1.1什么是計算機病毒

計算機病毒(ComputerVirus)在《中華人民共和國計算機信息系統(tǒng)安全保護條例》中被明確定義，病毒指“編制者在計算機程序中插入的破壞計算機功能或者破壞數(shù)據(jù)，影響計算機使用并且能夠自我復(fù)制的一組計算機指令或者程序代碼”。而在一般教科書及通用資料中被定義為:利用計算機軟件與硬件的缺陷或操作系統(tǒng)漏洞，由被感染機內(nèi)部發(fā)出的破壞計算機數(shù)據(jù)并影響計算機正常工作的一組指令集或程序代碼。

計算機病毒最早出現(xiàn)在70年代DavidGerrold科幻小說WhenH.A.R.L.I.E.wasOne.最早科學(xué)定義出現(xiàn)在1983:在FredCohen(南加大)的博士論文“計算機病毒實驗”“一種能把自己(或經(jīng)演變)注入其它程序的計算機程序”啟動區(qū)病毒,宏(macro)病毒,腳本(script)病毒也是相同概念傳播機制同生物病毒類似.生物病毒是把自己注入細胞之中。

病毒不是來源于突發(fā)或偶然的原因。病毒來自于一次偶然的事件，那時的研究人員為了計算出當時互聯(lián)網(wǎng)的在線人數(shù)，然而它卻自己“繁殖”了起來導(dǎo)致了整個服務(wù)器的崩潰和堵塞，有時一次突發(fā)的停電和偶然的錯誤，會在計算機的磁盤和內(nèi)存中產(chǎn)生一些亂碼和隨機指令，但這些代碼是無序和混亂的，病毒則是一種比較完美的，精巧嚴謹?shù)拇a，按照嚴格的秩序組織起來，與所在的系統(tǒng)網(wǎng)絡(luò)環(huán)境相適應(yīng)和配合起來，病毒不會通過偶然形成，并且需要有一定的長度，這個基本的長度從概率上來講是不可能通過隨機代碼產(chǎn)生的?，F(xiàn)在流行的病毒是由人為故意編寫的，多數(shù)病毒可以找到作者和產(chǎn)地信息，從大量的統(tǒng)計分析來看，病毒作者主要情況和目的是：一些天才的程序員為了表現(xiàn)自己和證明自己的能力，出于對上司的不滿，為了好奇，為了報復(fù)，為了祝賀和求愛，為了得到控制口令，為了軟件拿不到報酬預(yù)留的陷阱等。當然也有因政治，軍事，宗教，民族．專利等方面的需求而專門編寫的，其中也包括一些病毒研究機構(gòu)和黑客的測試病毒。

1.2計算機病毒的特點

（1）寄生性

計算機病毒寄生在其他程序之中，當執(zhí)行這個程序時，病毒就起破壞作用，而在未啟動這個程序之前，它是不易被人發(fā)覺的。

（2）傳染性

計算機病毒不但本身具有破壞性，更有害的是具有傳染性，一旦病毒被復(fù)制或產(chǎn)生變種，其速度之快令人難以預(yù)防。傳染性是病毒的基本特征。在生物界，病毒通過傳染從一個生物體擴散到另一個生物體。在適當?shù)臈l件下，它可得到大量繁殖，并使被感染的生物體表現(xiàn)出病癥甚至死亡。同樣，計算機病毒也會通過各種渠道從已被感染的計算機擴散到未被感染的計算機，在某些情況下造成被感染的計算機工作失常甚至癱瘓。與生物病毒不同的是，計算機病毒是一段人為編制的計算機程序代碼，這段程序代碼一旦進入計算機并得以執(zhí)行，它就會搜尋其他符合其傳染條件的程序或存儲介質(zhì)，確定目標后再將自身代碼插入其中，達到自我繁殖的目的。只要一臺計算機染毒，如不及時處理，那么病毒會在這臺機子上迅速擴散，計算機病毒可通過各種可能的渠道，如軟盤、計算機網(wǎng)絡(luò)去傳染其他的計算機。當您在一臺機器上發(fā)現(xiàn)了病毒時，往往曾在這臺計算機上用過的軟盤已感染上了病毒，而與這臺機器相聯(lián)網(wǎng)的其他計算機也許也被該病毒染上了。是否具有傳染性是判別一個程序是否為計算機病毒的最重要條件。病毒程序通過修改磁盤扇區(qū)信息或文件內(nèi)容并把自身嵌入到其中的方法達到病毒的傳染和擴散，而被嵌入的程序叫做宿主程序。

（3）潛伏性

有些病毒像定時炸彈一樣，讓它什么時間發(fā)作是預(yù)先設(shè)計好的。比如黑色星期五病毒，不到預(yù)定時間一點都覺察不出來，等到條件具備的時候一下子就爆炸開來，對系統(tǒng)進行破壞。一個編制精巧的計算機病毒程序，進入系統(tǒng)之后一般不會馬上發(fā)作，因此病毒可以靜靜地躲在磁盤或磁帶里呆上幾天，甚至幾年，一旦時機成熟，得到運行機會，就又要四處繁殖、擴散，繼續(xù)為害。潛伏性的第二種表現(xiàn)是指，計算機病毒的內(nèi)部往往有一種觸發(fā)機制，不滿足觸發(fā)條件時，計算機病毒除了傳染外不做什么破壞。觸發(fā)條件一旦得到滿足，有的在屏幕上顯示信息、圖形或特殊標識，有的則執(zhí)行破壞系統(tǒng)的操作，如格式化磁盤、刪除磁盤文件、對數(shù)據(jù)文件做加密、封鎖鍵盤以及使系統(tǒng)死鎖等。

（4）隱蔽性

計算機病毒具有很強的隱蔽性，有的可以通過病毒軟件檢查出來，有的根本就查不出來，有的時隱時現(xiàn)、變化無常，這類病毒處理起來通常很困難。

（5）破壞性

計算機中毒后，可能會導(dǎo)致正常的程序無法運行，把計算機內(nèi)的文件刪除或受到不同程度的損壞。通常表現(xiàn)為：增、刪、改、移。

（6）可觸發(fā)性

病毒因某個事件或數(shù)值的出現(xiàn)，誘使病毒實施感染或進行攻擊的特性稱為可觸發(fā)性。為了隱蔽自己，病毒必須潛伏，少做動作。如果完全不動，一直潛伏的話，病毒既不能感染也不能進行破壞，便失去了殺傷力。病毒既要隱蔽又要維持殺傷力，它必須具有可觸發(fā)性。病毒的觸發(fā)機制就是用來控制感染和破壞動作的頻率的。病毒具有預(yù)定的觸發(fā)條件，這些條件可能是時間、日期、文件類型或某些特定數(shù)據(jù)等。病毒運行時，觸發(fā)機制檢查預(yù)定條件是否滿足，如果滿足，啟動感染或破壞動作，使病毒進行感染或攻擊；如果不滿足，使病毒繼續(xù)潛。

1.3計算機病毒的分類

按照科學(xué)的、系統(tǒng)的、嚴密的方法，計算機病毒可分為如下幾類

（1）按病毒存在的媒體

根據(jù)病毒存在的媒體，病毒可以劃分為網(wǎng)絡(luò)病毒，文件病毒，引導(dǎo)型病毒。網(wǎng)絡(luò)病毒通過計算機網(wǎng)絡(luò)傳播感染網(wǎng)絡(luò)中的可執(zhí)行文件，文件病毒感染計算機中的文件（如：COM，EXE，DOC等），引導(dǎo)型病毒感染啟動扇區(qū)（Boot）和硬盤的系統(tǒng)引導(dǎo)扇區(qū)（MBR），還有這三種情況的混合型，例如：多型病毒（文件和引導(dǎo)型）感染文件和引導(dǎo)扇區(qū)兩種目標，這樣的病毒通常都具有復(fù)雜的算法，它們使用非常規(guī)的辦法侵入系統(tǒng)，同時使用了加密和變形算法。

（2）按病毒傳染的方法

根據(jù)病毒傳染的方法可分為駐留型病毒和非駐留型病毒，駐留型病毒感染計算機后，把自身的內(nèi)存駐留部分放在內(nèi)存（RAM）中，這一部分程序掛接系統(tǒng)調(diào)用并合并到操作系統(tǒng)中去,他處于激活狀態(tài),一直到關(guān)機或重新啟動.非駐留型病毒在得到機會激活時并不感染計算機內(nèi)存,一些病毒在內(nèi)存中留有小部分,但是并不通過這一部分進行傳染,這類病毒也被劃分為非駐留型病毒。

（3）按病毒破壞的能力

無害型：除了傳染時減少磁盤的可用空間外，對系統(tǒng)沒有其它影響。無危險型：這類病毒僅僅是減少內(nèi)存、顯示圖像、發(fā)出聲音及同類音響。危險型：這類病毒在計算機系統(tǒng)操作中造成嚴重的錯誤。非常危險型：這類病毒刪除程序、破壞數(shù)據(jù)、清除系統(tǒng)內(nèi)存區(qū)和操作系統(tǒng)中重要的信息。

這些病毒對系統(tǒng)造成的危害，并不是本身的算法中存在危險的調(diào)用，而是當它們傳染時會引起無法預(yù)料的和災(zāi)難性的破壞。由病毒引起其它的程序產(chǎn)生的錯誤也會破壞文件和扇區(qū)，這些病毒也按照他們引起的破壞能力劃分。一些現(xiàn)在的無害型病毒也可能會對新版的DOS、Windows和其它操作系統(tǒng)造成破壞。例如：在早期的病毒中，有一個“Denzuk”病毒在360K磁盤上很好的工作，不會造成任何破壞，但是在后來的高密度軟盤上卻能引起大量的數(shù)據(jù)丟失。

（4）按病毒的算法

伴隨型病毒：這一類病毒并不改變文件本身，它們根據(jù)算法產(chǎn)生EXE文件的伴隨體，具有同樣的名字和不同的擴展名（COM），例如：XCOPY.EXE的伴隨體是XCOPY-COM。病毒把自身寫入COM文件并不改變EXE文件，當DOS加載文件時，伴隨體優(yōu)先被執(zhí)行到，再由伴隨體加載執(zhí)行原來的EXE文件。

“蠕蟲”型病毒，通過計算機網(wǎng)絡(luò)傳播，不改變文件和資料信息，利用網(wǎng)絡(luò)從一臺機器的內(nèi)存?zhèn)鞑サ狡渌鼨C器的內(nèi)存，計算網(wǎng)絡(luò)地址，將自身的病毒通過網(wǎng)絡(luò)發(fā)送。有時它們在系統(tǒng)存在，一般除了內(nèi)存不占用其它資源。

寄生型病毒，除了伴隨和“蠕蟲”型，其它病毒均可稱為寄生型病毒，它們依附在系統(tǒng)的引導(dǎo)扇區(qū)或文件中，通過系統(tǒng)的功能進行傳播，按其算法不同可分為：練習(xí)型病毒，病毒自身包含錯誤，不能進行很好的傳播，例如一些病毒在調(diào)試階段。

詭秘型病毒，它們一般不直接修改DOS中斷和扇區(qū)數(shù)據(jù)，而是通過設(shè)備技術(shù)和文件緩沖區(qū)等DOS內(nèi)部修改，不易看到資源，使用比較高級的技術(shù)。利用DOS空閑的數(shù)據(jù)區(qū)進行工作

變型病毒（又稱幽靈病毒），這一類病毒使用一個復(fù)雜的算法，使自己每傳播一份都具有不同的內(nèi)容和長度。它們一般的作法是一段混有無關(guān)指令的解碼算法和被變化過的病毒體組成。

第二章計算機病毒的表現(xiàn)形式

計算機病毒是客觀存在的，客觀存在的事物總有它的特性，計算機病毒也不例外。從實質(zhì)上說，計算機病毒是一段程序代碼，雖然它可能隱藏得很好，但也會留下許多痕跡。通過對這些蛛絲馬跡的判別，我們就能發(fā)現(xiàn)計算機病毒的存在了。

根據(jù)計算機病毒感染和發(fā)作的階段，可以將計算機病毒的表現(xiàn)現(xiàn)象分為：計算機病毒發(fā)作時和發(fā)作后的表現(xiàn)現(xiàn)象。

2.1計算機病毒發(fā)作時的表現(xiàn)現(xiàn)象

計算機病毒發(fā)作前，是指從計算機病毒感染計算機系統(tǒng)，潛伏在系統(tǒng)內(nèi)開始，一直到激發(fā)條件滿足，計算機病毒發(fā)作之前的一個階段。在這個階段，計算機病毒的行為主要是以潛伏、傳播為主。計算機病毒會以各式各樣的手法來隱藏自己，在不被發(fā)現(xiàn)同時，又自我復(fù)制，以各種手段進行傳播。

以下是一些計算機病毒發(fā)作前常見的表現(xiàn)現(xiàn)象：

1、平時運行正常的計算機突然經(jīng)常性無緣無故地死機。病毒感染了計算機系統(tǒng)后，將自身駐留在系統(tǒng)內(nèi)并修改了中斷處理程序等，引起系統(tǒng)工作不穩(wěn)定，造成死機現(xiàn)象發(fā)生。

2、操作系統(tǒng)無法正常啟動。關(guān)機后再啟動，操作系統(tǒng)報告缺少必要的啟動文件，或啟動文件被破壞，系統(tǒng)無法啟動。這很可能是計算機病毒感染系統(tǒng)文件后使得文件結(jié)構(gòu)發(fā)生變化，無法被操作系統(tǒng)加載、引導(dǎo)。

3、運行速度明顯變慢。在硬件設(shè)備沒有損壞或更換的情況下，本來運行速度很快的計算機，運行同樣應(yīng)用程序，速度明顯變慢，而且重啟后依然很慢。這很可能是計算機病毒占用了大量的系統(tǒng)資源，并且自身的運行占用了大量的處理器時間，造成系統(tǒng)資源不足，運行變慢。

4、以前能正常運行的軟件經(jīng)常發(fā)生內(nèi)存不足的錯誤。某個以前能夠正常運行的程序，程序啟動的時候報系統(tǒng)內(nèi)存不足，或者使用應(yīng)用程序中的某個功能時報說內(nèi)存不足。這可能是計算機病毒駐留后占用了系統(tǒng)中大量的內(nèi)存空間，使得可用內(nèi)存空間減校需要注意的是在Windows95/98下，記事本程序所能夠編輯的文本文件不超過64Kb字節(jié)，如果用"復(fù)制／粘貼"操作粘貼一段很大的文字到記事本程序時，也會報"內(nèi)存不足，不能完成操作"的錯誤，但這不是計算機病毒在作怪。

5、打印和通訊發(fā)生異常。硬件沒有更改或損壞的情況下，以前工作正常的打印機，近期發(fā)現(xiàn)無法進行打印操作，或打印出來的是亂碼。串口設(shè)備無法正常工作，比如調(diào)制解調(diào)器不撥號。這很可能是計算機病毒駐留內(nèi)存后占用了打印端口、串行通訊端口的中斷服務(wù)程序，使之不能正常工作。

6、無意中要求對軟盤進行寫操作。沒有進行任何讀、寫軟盤的操作，操作系統(tǒng)提示軟驅(qū)中沒有插入軟盤，或者要求在讀娶復(fù)制寫保護的軟盤上的文件時打開軟盤的寫保護。這很可能是計算機病毒自動查找軟盤是否在軟驅(qū)中的時候引起的系統(tǒng)異常。需要注意的是有些編輯軟件需要在打開文件的時候創(chuàng)建一個臨時文件，也有的安裝程序（如Office97）對軟盤有寫的操作。

7、以前能正常運行的應(yīng)用程序經(jīng)常發(fā)生死機或者非法錯誤。在硬件和操作系統(tǒng)沒有進行改動的情況下，以前能夠正常運行的應(yīng)用程序產(chǎn)生非法錯誤和死機的情況明顯增加。這可能是由于計算機病毒感染應(yīng)用程序后破壞了應(yīng)用程序本身的正常功能，或者計算機病毒程序本身存在著兼容性方面的問題造成的?

8、系統(tǒng)文件的時間、日期、大小發(fā)生變化。這是最明顯的計算機病毒感染跡象。計算機病毒感染應(yīng)用程序文件后，會將自身隱藏在原始文件的后面，文件大小大多會有所增加，文件的訪問和修改日期和時間也會被改成感染時的時間。尤其是對那些系統(tǒng)文件，絕大多數(shù)情況下是不會修改它們的，除非是進行系統(tǒng)升級或打補叮對應(yīng)用程序使用到的數(shù)據(jù)文件，文件大小和修改日期、時間是可能會改變的，并不一定是計算機病毒在作怪。

9、運行Word，打開Word文檔后，該文件另存時只能以模板方式保存。無法另存為一個DOC文檔，只能保存成模板文檔（DOT）。這往往是打開的Word文檔中感染了Word宏病毒的緣故。

10、磁盤空間迅速減少。沒有安裝新的應(yīng)用程序，而系統(tǒng)可用的可用的磁盤空間減少地很快。這可能是計算機病毒感染造成的。需要注意的是經(jīng)常瀏覽網(wǎng)頁、回收站中的文件過多、臨時文件夾下的文件數(shù)量過多過大、計算機系統(tǒng)有過意外斷電等情況也可能會造成可用的磁盤空間迅速減少。另一種情況是Windows95/98下的內(nèi)存交換文件的增長，在Windows95/98下內(nèi)存交換文件會隨著應(yīng)用程序運行的時間和進程的數(shù)量增加而增長，一般不會減少，而且同時運行的應(yīng)用程序數(shù)量越多，內(nèi)存交換文件就越大。

11、網(wǎng)絡(luò)驅(qū)動器卷或共享目錄無法調(diào)用。對于有讀權(quán)限的網(wǎng)絡(luò)驅(qū)動器卷、共享目錄等無法打開、瀏覽，或者對有寫權(quán)限的網(wǎng)絡(luò)驅(qū)動器卷、共享目錄等無法創(chuàng)建、修改文件。雖然目前還很少有純粹地針對網(wǎng)絡(luò)驅(qū)動器卷和共享目錄的計算機病毒，但計算機病毒的某些行為可能會影響對網(wǎng)絡(luò)驅(qū)動器卷和共享目錄的正常訪問。

12、基本內(nèi)存發(fā)生變化。在DOS下用mem/c/p命令查看系統(tǒng)中內(nèi)存使用狀況的時候可以發(fā)現(xiàn)基本內(nèi)存總字節(jié)數(shù)比正常的640Kb要小，一般少1Kb～2Kb。這通常是計算機系統(tǒng)感染了引導(dǎo)型計算機病毒所造成的。

13、陌生人發(fā)來的電子函件。收到陌生人發(fā)來的電子函件，尤其是那些標題很具誘惑力，比如一則笑話，或者一封情書等，又帶有附件的電子函件。當然，這要與廣告電子函件、垃圾電子函件和電子函件炸彈區(qū)分開。一般來說廣告電子函件有很明確的推銷目的，會有它推銷的產(chǎn)品介紹；垃圾電子函件的內(nèi)容要么自成章回，要么根本沒有價值。這兩種電子函件大多是不會攜帶附件的。電子函件炸彈雖然也帶有附件，但附件一般都很大，少則上兆字節(jié)，多的有幾十兆甚至上百兆字節(jié)，而電子函件計算機病毒的附件大多是腳本程序，通常不會超過100Kb字節(jié)。當然，電子函件炸彈在一定意義上也可以看成是一種黑客程序，是一種計算機病毒。

14、自動鏈接到一些陌生的網(wǎng)站。沒有在上網(wǎng)，計算機會自動撥號并連接到因特網(wǎng)上一個陌生的站點，或者在上網(wǎng)的時候發(fā)現(xiàn)網(wǎng)絡(luò)特別慢，存在陌生的網(wǎng)絡(luò)鏈接。這種聯(lián)接大多是黑客程序?qū)⑹占降挠嬎銠C系統(tǒng)的信息"悄悄地"發(fā)回某個特定的網(wǎng)址，可以通過netstat命令查看當前建立的網(wǎng)絡(luò)鏈接，再比照訪問的網(wǎng)站來發(fā)現(xiàn)。需要注意的是有些網(wǎng)頁中有一些腳本程序會自動鏈接到一些網(wǎng)頁評比站點，或者是廣告站點，這時候也會有陌生的網(wǎng)絡(luò)鏈接出現(xiàn)。當然，這種情況也可以認為是非法的。一般的系統(tǒng)故障是有別與計算機病毒感染的。系統(tǒng)故障大多只符合上面的一點或二點現(xiàn)象，而計算機病毒感染所出現(xiàn)的現(xiàn)象會多的多。根據(jù)上述幾點，就可以初步判斷計算機和網(wǎng)絡(luò)是否感染上了計算機病毒。

15、提示一些不相干的話。最常見的是提示一些不相干的話，比如打開感染了宏病毒的Word文檔，如果滿足了發(fā)作條件的話，它就會彈出對話框顯示"這個世界太黑暗了！"，并且要求你輸入"太正確了"后按確定按鈕。

16、發(fā)出一段的音樂。惡作劇式的計算機病毒，最著名的是外國的"楊基"計算機病毒（Yangkee）和中國的"瀏陽河"計算機病毒。"楊基"計算機病毒發(fā)作是利用計算機內(nèi)置的揚聲器演奏《楊基》音樂，而"瀏陽河"計算機病毒更絕，當系統(tǒng)時鐘為9月9日時演奏歌曲《瀏陽河》，而當系統(tǒng)時鐘為12月26日時則演奏《東方紅》的旋律。這類計算機病毒大多屬于"良性"計算機病毒，只是在發(fā)作時發(fā)出音樂和占用處理器資源。

17、產(chǎn)生特定的圖像。另一類惡作劇式的計算機病毒，比如小球計算機病毒，發(fā)作時會從屏幕上方不斷掉落下來小球圖形。單純地產(chǎn)生圖像的計算機病毒大多也是"良性"計算機病毒，只是在發(fā)作時破壞用戶的顯示界面，干擾用戶的正常工作。

18、硬盤燈不斷閃爍。硬盤燈閃爍說明有硬盤讀寫操作。當對硬盤有持續(xù)大量的操作時，硬盤的燈就會不斷閃爍，比如格式化或者寫入很大很大的文件。有時候?qū)δ硞€硬盤扇區(qū)或文件反復(fù)讀取的情況下也會造成硬盤燈不斷閃爍。有的計算機病毒會在發(fā)作的時候?qū)τ脖P進行格式化，或者寫入許多垃圾文件，或反復(fù)讀取某個文件，致使硬盤上的數(shù)據(jù)遭到損失。具有這類發(fā)作現(xiàn)象的計算機病毒大多是"惡性"計算機病毒。

19、進行游戲算法。有些惡作劇式的計算機病毒發(fā)作時采取某些算法簡單的游戲來中斷用戶的工作，一定要玩嬴了才讓用戶繼續(xù)他的工作。比如曾經(jīng)流行一時的"臺灣一號"宏病毒，在系統(tǒng)日期為13日時發(fā)作，彈出對話框，要求用戶做算術(shù)題。這類計算機病毒一般是屬于"良性"計算機病毒，但也有那種用戶輸了后進行破壞的"惡性"計算機病毒。

20、Windows桌面圖標發(fā)生變化。這一般也是惡作劇式的計算機病毒發(fā)作時的表現(xiàn)現(xiàn)象。把Windows缺省的圖標改成其他樣式的圖標，或者將其他應(yīng)用程序、快捷方式的圖標改成Windows缺省圖標樣式，起到迷惑用戶的作用。

21、計算機突然死機或重啟。有些計算機病毒程序兼容性上存在問題，代碼沒有嚴格測試，在發(fā)作時會造成意想不到情況；或者是計算機病毒在Autoexec.bat文件中添加了一句：Formatc：之類的語句，需要系統(tǒng)重啟后才能實施破壞的。

22、自動發(fā)送電子函件。大多數(shù)電子函件計算機病毒都采用自動發(fā)送電子函件的方法作為傳播的手段，也有的電子函件計算機病毒在某一特定時刻向同一個郵件服務(wù)器發(fā)送大量無用的信件，以達到阻塞該郵件服務(wù)器的正常服務(wù)功能。

23、鼠標自己在動。沒有對計算機進行任何操作，也沒有運行任何演示程序、屏幕保護程序等，而屏幕上的鼠標自己在動，應(yīng)用程序自己在運行，有受遙控的現(xiàn)象。大多數(shù)情況下是計算機系統(tǒng)受到了黑客程序的控制，從廣義上說這也是計算機病毒發(fā)作的一種現(xiàn)象。需要指出的是，有些是計算機病毒發(fā)作的明顯現(xiàn)象，比如提示一些不相干的話、播放音樂或者顯示特定的圖像等。有些現(xiàn)象則很難直接判定是計算機病毒的表現(xiàn)現(xiàn)象，比如硬盤燈不斷閃爍，當同時運行多個內(nèi)存占用大的應(yīng)用程序，比如3DMAX，AdobePremiere等，而計算機本身性能又相對較弱的情況下，在啟動和切換應(yīng)用程序的時候也會使硬盤不停地工作，硬盤燈不斷閃爍?！?】

2.2計算機病毒發(fā)作后的表現(xiàn)現(xiàn)象

大多數(shù)計算機病毒都是屬于"惡性"計算機病毒。"惡性"計算機病毒發(fā)作后往往會帶來很大的損失，以下列舉了一些惡性計算機病毒發(fā)作后所造成的后果：

1、硬盤無法啟動，數(shù)據(jù)丟失計算機病毒破壞了硬盤的引導(dǎo)扇區(qū)后，就無法從硬盤啟動計算機系統(tǒng)了。有些計算機病毒修改了硬盤的關(guān)鍵內(nèi)容（如文件分配表，根目錄區(qū)等），使得原先保存在硬盤上的數(shù)據(jù)幾乎完全丟失。

2、系統(tǒng)文件丟失或被破壞通常系統(tǒng)文件是不會被刪除或修改的，除非對計算機操作系統(tǒng)進行了升級。但是某些計算機病毒發(fā)作時刪除了系統(tǒng)文件，或者破壞了系統(tǒng)文件，使得以后無法正常啟動計算機系統(tǒng).通常容易受攻擊的系統(tǒng)文件C，Emm386.exe，W，Kernel.exe，User.exe等等。

3、文件目錄發(fā)生混亂目錄發(fā)生混亂有兩種情況。一種就是確實將目錄結(jié)構(gòu)破壞，將目錄扇區(qū)作為普通扇區(qū)，填寫一些無意義的數(shù)據(jù)，再也無法恢復(fù)。另一種情況將真正的目錄區(qū)轉(zhuǎn)移到硬盤的其他扇區(qū)中，只要內(nèi)存中存在有該計算機病毒，它能夠?qū)⒄_的目錄扇區(qū)讀出，并在應(yīng)用程序需要訪問該目錄的時候提供正確的目錄項，使得從表面上看來與正常情況沒有兩樣。但是一旦內(nèi)存中沒有該計算機病毒，那么通常的目錄訪問方式將無法訪問到原先的目錄扇區(qū)。這種破壞還是能夠被恢復(fù)的。

4、部分文檔丟失或被破壞類似系統(tǒng)文件的丟失或被破壞，有些計算機病毒在發(fā)作時會刪除或破壞硬盤上的文檔，造成數(shù)據(jù)丟失。

5、部分文檔自動加密碼還有些計算機病毒利用加密算法，將加密密鑰保存在計算機病毒程序體內(nèi)或其他隱蔽的地方，而被感染的文件被加密，如果內(nèi)存中駐留有這種計算機病毒，那么在系統(tǒng)訪問被感染的文件時它自動將文檔解密，使得用戶察覺不到。一旦這種計算機病毒被清除，那么被加密的文檔就很難被恢復(fù)了。

6、修改Autoexec.bat文件，增加FormatC：一項，導(dǎo)致計算機重新啟動時格式化硬盤。在計算機系統(tǒng)穩(wěn)定工作后，一般很少會有用戶去注意Autoexec.bat文件的變化，但是這個文件在每次系統(tǒng)重新啟動的時候都會被自動運行，計算機病毒修改這個文件從而達到破壞系統(tǒng)的目的。

7、使部分可軟件升級主板的BIOS程序混亂，主板被破壞。類似CIH計算機病毒發(fā)作后的現(xiàn)象，系統(tǒng)主板上的BIOS被計算機病毒改寫、破壞，使得系統(tǒng)主板無法正常工作，從而使計算機系統(tǒng)報廢。

8、網(wǎng)絡(luò)癱瘓，無法提供正常的服務(wù)。由上所述，我們可以了解到防殺計算機病毒軟件必須要實時化，在計算機病毒進入系統(tǒng)時要立即報警并清除，這樣才能確保系統(tǒng)安全，待計算機病毒發(fā)作后再去殺毒，實際上已經(jīng)為時已晚。

第三章計算機病毒的傳播途徑

計算機病毒的傳染性是計算機病毒最基本的特性，病毒的傳染性是病毒賴以生存繁殖的條件，如果計算機病毒沒有傳播渠道，則其破壞性小，擴散面窄，難以造成大面積流行。計算機病毒必須要“搭載”到計算機上才能感染系統(tǒng)，通常它們是附加在某個文件上。

計算機病毒的傳播主要通過文件拷貝、文件傳送、文件執(zhí)行等方式進行，文件拷貝與文件傳送需要傳輸媒介，文件執(zhí)行則是病毒感染的必然途徑（Word、Excel等宏病毒通過Word、Excel調(diào)用間接地執(zhí)行），因此，病毒傳播與文件傳播媒體的變化有著直接關(guān)系。

計算機病毒的主要傳播途徑有：軟盤、光盤、硬盤、BBS、網(wǎng)絡(luò)?！?】

3.1軟盤

軟盤作為最常用的交換媒介，在計算機應(yīng)用的早期對病毒的傳播發(fā)揮了巨大的作用，因那時計算機應(yīng)用比較簡單，可執(zhí)行文件和數(shù)據(jù)文件系統(tǒng)都較小，許多執(zhí)行文件均通過軟盤相互拷貝、安裝，這樣病毒就能通過軟盤傳播文件型病毒；另外，在軟盤列目錄或引導(dǎo)機器時，引導(dǎo)區(qū)病毒會在軟盤與硬盤引導(dǎo)區(qū)互相感染。因此軟盤也成了計算機病毒的主要寄生的“溫床”。

3.2光盤

光盤因為容量大，存儲了大量的可執(zhí)行文件，大量的病毒就有可能藏身于光盤，對只讀式光盤，不能進行寫操作，因此光盤上的病毒不能清除。以謀利為目的非法盜版軟件的制作過程中，不可能為病毒防護擔(dān)負專門責(zé)任，也決不會有真正可靠可行的技術(shù)保障避免病毒的傳入、傳染、流行和擴散。當前，盜版光盤的泛濫給病毒的傳播帶來了極大的便利。

3.3硬盤

由于帶病毒的硬盤在本地或移到其他地方使用、維修等，將干凈的軟盤傳染并再擴散。

3.4BBS

電子布告欄（BBS）因為上站容易、投資少，因此深受大眾用戶的喜愛。BBS是由計算機愛好者自發(fā)組織的通訊站點，用戶可以在BBS上進行文件交換（包括自由軟件、游戲、自編程序）。由于BBS一般沒有嚴格的安全管理，亦無任何限制，這樣就給一些病毒程序編寫者提供了傳播病毒的場所。各城市BBS站間通過中心站間進行傳送，傳播面較廣。隨著BBS在國內(nèi)的普及，給病毒的傳播又增加了新的介質(zhì)。

3.5病毒通過網(wǎng)絡(luò)傳播的方式

現(xiàn)代通信技術(shù)的巨大進步已使空間距離不再遙遠，數(shù)據(jù)、文件、電子郵件可以方便地在各個網(wǎng)絡(luò)工作站間通過電纜、光纖或電話線路進行傳送，工作站的距離可以短至并排擺放的計算機，也可以長達上萬公里，正所謂“相隔天涯，如在咫尺”，但也為計算機病毒的傳播提供了新的“高速公路”。計算機病毒可以附著在正常文件中，當您從網(wǎng)絡(luò)另一端得到一個被感染的程序，并在您的計算機上未加任何防護措施的情況下運行它，病毒就傳染開來了。這種病毒的傳染方式在計算機網(wǎng)絡(luò)連接很普及的國家是很常見的，國內(nèi)計算機感染一種“進口”病毒已不再是什么大驚小怪的事了。在我們信息國際化的同時，我們的病毒也在國際化。大量的國外病毒隨著互聯(lián)網(wǎng)絡(luò)傳入國內(nèi)。

3.5.1E-mail

有些蠕蟲病毒會利用在MicrosoftSecurityBulletin在MS01－020中討論過的安全漏洞將自身藏在郵件中，并向其他用戶發(fā)送一個病毒副本來進行傳播。正如在公告中所描述的那樣，該漏洞存在于InternetExplorer之中，但是可以通過e－mail來利用。只需簡單地打開郵件就會使機器感染上病毒——并不需要您打開郵件附件。

3.5.2郵件附件

病毒經(jīng)常會附在郵件的附件里，然后起一個吸引人的名字，誘惑人們?nèi)ゴ蜷_附件，一旦人們執(zhí)行之后，機器就會染上附件中所附的病毒。

3.5.3Web服務(wù)器

有些網(wǎng)絡(luò)病毒攻擊IIS4.0和5.0Web服務(wù)器。就拿“尼姆達病毒”來舉例說明吧，它主要通過兩種手段來進行攻擊：第一，它檢查計算機是否已經(jīng)被紅色代碼II病毒所破壞，因為紅色代碼II病毒會創(chuàng)建一個“后門”，任何惡意用戶都可以利用這個“后門”獲得對系統(tǒng)的控制權(quán)。如果Nimda病毒發(fā)現(xiàn)了這樣的機器，它會簡單地使用紅色代碼II病毒留下的后門來感染機器。第二，病毒會試圖利用“WebServerFolderTraversal”（MS00-078）漏洞來感染機器。如果它成功地找到了這個漏洞，病毒會使用它來感染系統(tǒng)。

IIS：InternetInformationServer（簡稱IIS）是Windows系統(tǒng)提供的一種服務(wù)，它包括WWW服務(wù)器、FTP服務(wù)器和SMTP服務(wù)器，是架設(shè)個人網(wǎng)站的首選。

3.5.4文件共享

文件共享也是造成計算機病毒的一種傳播途徑。

第四章病毒的防治

4.1病毒防治的意義

計算機病毒防治主要是為了防止出現(xiàn)計算機資源的損失和破壞，這種損失和破壞不但會造成資源和財富的巨大浪費，而且有可能造成社會性的災(zāi)難，隨著信息化社會的發(fā)展，計算機病毒的威脅日益嚴重，反病毒的任務(wù)也更加艱巨了。1988年11月2日下午5時1分59秒，美國康奈爾大學(xué)的計算機科學(xué)系研究生，23歲的莫里斯（Morris）將其編寫的蠕蟲程序輸入計算機網(wǎng)絡(luò)，致使這個擁有數(shù)萬臺計算機的網(wǎng)絡(luò)被堵塞。這件事就像是計算機界的一次大地震，引起了巨大反響，震驚全世界，引起了人們對計算機病毒的恐慌，也使更多的計算機專家重視和致力于計算機病毒研究。1988年下半年，我國在統(tǒng)計局系統(tǒng)首次發(fā)現(xiàn)了“小球”病毒，它對統(tǒng)計系統(tǒng)影響極大，此后由計算機病毒發(fā)作而引起的“病毒事件”接連不斷，前一段時間發(fā)現(xiàn)的CIH、美麗莎等病毒更是給社會造成了很大損失。

4.2病毒的預(yù)防

我們在平時要做好這樣一些方面，對于病毒的預(yù)防是很有效果的，

1、建立良好的安全習(xí)慣

例如：對一些來歷不明的郵件及附件不要打開，不要上一些不太了解的網(wǎng)站、不要執(zhí)行從Internet下載后未經(jīng)殺毒處理的軟件等，這些必要的習(xí)慣會使您的計算機更安全。

2、關(guān)閉或刪除系統(tǒng)中不需要的服務(wù)

默認情況下，許多操作系統(tǒng)會安裝一些輔助服務(wù)，如FTP客戶端、Telnet和Web服務(wù)器。這些服務(wù)為攻擊者提供了方便，而又對用戶沒有太大用處，如果刪除它們，就能大大減少被攻擊的可能性。

3、經(jīng)常升級安全補丁

據(jù)統(tǒng)計，有80%的網(wǎng)絡(luò)病毒是通過系統(tǒng)安全漏洞進行傳播的，象蠕蟲王、沖擊波、震蕩波等，所以我們應(yīng)該定期到微軟網(wǎng)站去下載最新的安全補丁，以防范未然。

4、使用復(fù)雜的密碼

有許多網(wǎng)絡(luò)病毒就是通過猜測簡單密碼的方式攻擊系統(tǒng)的，因此使用復(fù)雜的密碼，將會大大提高計算機的安全系數(shù)。

5、迅速隔離受感染的計算機

當您的計算機發(fā)現(xiàn)病毒或異常時應(yīng)立刻斷網(wǎng)，以防止計算機受到更多的感染，或者成為傳播源，再次感染其它計算機。

6、了解一些病毒知識

這樣就可以及時發(fā)現(xiàn)新病毒并采取相應(yīng)措施，在關(guān)鍵時刻使自己的計算機免受病毒破壞。如果能了解一些注冊表知識，就可以定期看一看注冊表的自啟動項是否有可疑鍵值;如果了解一些內(nèi)存知識，就可以經(jīng)常看看內(nèi)存中是否有可疑程序。

7、最好安裝專業(yè)的殺毒軟件進行全面監(jiān)控

在病毒日益增多的今天，使用殺毒軟件進行防毒，是越來越經(jīng)濟的選擇，不過用戶在安裝了反病毒軟件之后，應(yīng)該經(jīng)常進行升級、將一些主要監(jiān)控經(jīng)常打開(如郵件監(jiān)控)、內(nèi)存監(jiān)控等、遇到問題要上報，這樣才能真正保障計算機的安全。

8、用戶還應(yīng)該安裝個人防火墻軟件進行防黑

由于網(wǎng)絡(luò)的發(fā)展，用戶電腦面臨的黑客攻擊問題也越來越嚴重，許多網(wǎng)絡(luò)病毒都采用了黑客的方法來攻擊用戶電腦，因此，用戶還應(yīng)該安裝個人防火墻軟件，將安全級別設(shè)為中、高，這樣才能有效地防止網(wǎng)絡(luò)上的黑客攻擊。

4.3計算機病毒如何處理

一般大范圍傳播的病毒都會讓用戶在重新啟動電腦的時候能夠自動運行病毒，來達到長時間感染計算機并擴大病毒的感染能力。

通常病毒感染計算機第一件事情就是殺掉他們的天敵--安全軟件，比如卡巴斯基，360安全衛(wèi)士，NOD32等等。這樣我們就不能通過使用殺毒軟件的方法來處理已經(jīng)感染病毒的電腦。那么我說一下手動殺毒方法。

我們要解決病毒可以首先解決在計算機重啟以后自我啟動。

通常病毒會這樣進行自我啟動：

直接自啟動，1.引導(dǎo)扇區(qū)2.驅(qū)動3.服務(wù)4.注冊表。

間接自啟動：印象劫持，autorun.inf文件，HOOK，感染文件。放置一個誘惑圖標讓用戶點擊……知道上面病毒的啟動原理，不難得出清理方式：首先刪掉注冊表文件中病毒的啟動項。最常見啟動位置在[HKEY_LOCAL_MACHINE\SOFTWARE\Micrisift\Windiws\CurrentVersion\Run]，刪除所有該子項內(nèi)的字符串等，只留下cftmon.exe。立即按機箱上的重啟鍵，不讓病毒回寫注冊表（正常關(guān)機可能會激活病毒回寫進啟動項目，比如“磁碟機”）。如果病毒仍然啟動，就要懷疑有服務(wù)，或者驅(qū)動。那么這個時候就需要有一定計算機能力的人，用批處理或者其他的程序同時找到并關(guān)閉病毒的服務(wù)和刪除注冊表，然后快速關(guān)機。驅(qū)動一般在系統(tǒng)下很難刪除，所以可以用上面介紹的Xdelete或者icesword，wsyscheck或者進入DOS，WPE等其他系統(tǒng)進行刪除。如果是通過引導(dǎo)扇區(qū)啟動，我們還要用其他軟件，比如diskgen，重寫主引導(dǎo)記錄。如果是通過BIOS啟動，用放電法還原BIOS。

當病毒不能啟動以后，他們就像一堆垃圾在我們電腦上面，然后我們需要注意不要再激活病毒，刪掉autorun.inf，可疑文件，刪除印象劫持的注冊表，等可能觸發(fā)病毒的系統(tǒng)設(shè)置，用干凈的U盤去其他電腦拷貝一個殺毒軟件安裝以后，升級到最新的病毒庫，全盤查殺病毒殘留。

上面我說了通過不讓病毒在重啟電腦以后啟動的方法刪除病毒，下面我來說一下通過直接刪除病毒文件方法。

在病毒正在運行的系統(tǒng)里，直接刪除病毒文件會很難的。如果在網(wǎng)上找到該病毒機理，進入DOS，找到所有病毒文件路徑，可以很輕松的刪除病毒文件（除了感染型病毒）。我推薦最好用PE（不懂PE的上百科看），用有一個可以啟動電腦的裝PE的U盤，或者光盤啟動電腦，進入可以進入完全無毒的系統(tǒng)，然后使用綠色版的殺毒軟件（網(wǎng)上有，我試過綠色卡巴和nod32，很好，可以在PE運行）全盤查殺。殺毒完以后，我們先不要重新啟動電腦，看看到底刪除了什么，如果有被感染的系統(tǒng)文件刪掉了，注意從相同系統(tǒng)拷貝一個，否則可能不能開機。然后重啟，系統(tǒng)用其他安全軟件修復(fù)系統(tǒng)。

真正我們電腦感染上棘手的病毒，最簡單有效的方法就是重裝系統(tǒng)。如果C盤（系統(tǒng)盤）有重要資料先備份。不能開機，可以進入PE備份。

問：為什么我重裝了幾次還是有病毒，是不是這個病毒很厲害？

答：首先我要說明幾點，一、重裝后的系統(tǒng)是干凈的。二、遇到引導(dǎo)性病毒，感染BIOS病毒可能非常小，就像中彩票。

這種情況是由于其他盤仍然有病毒殘留，比如如果有autorun.inf類型的病毒，雙擊打開DEF等盤的時候就會啟動病毒，或者病毒感染了其他盤上的文件，你重裝系統(tǒng)以后，運行這個文件的時候，就又啟動病毒。正確的方法是，找一個高手，或者不要打開除C：（系統(tǒng)盤）以外的任何盤，然后上網(wǎng)或者U盤下載一個殺毒軟件，升級更新以后，全盤殺毒。

第五章星星網(wǎng)吧病毒防治

5.1網(wǎng)吧中毒過程

下面以"尼姆達"病毒為例

尼姆達病毒2001年9月18日在全球蔓延，是一個傳播性非常強的黑客病毒。它以郵件傳播、主動攻擊服務(wù)器、即時通訊工具傳播、FTP協(xié)議傳播、網(wǎng)頁瀏覽傳播為主要的傳播手段。它能夠通過多種傳播渠道進行傳染，傳染性極強。對于個人用戶的PC機，“尼姆達”可以通過郵件、網(wǎng)上即時通訊工具和“FTP程序”同時進行傳染；對于服務(wù)器，“尼姆達病毒姆達”則采用和紅色代碼病毒相似的途徑，即攻擊微軟服務(wù)器程序的漏洞進行傳播。由于該病毒在自身傳染的過程中占用大量的網(wǎng)絡(luò)帶寬和計算機的內(nèi)部資源，因此許多企業(yè)的網(wǎng)絡(luò)現(xiàn)在受到很大的影響，有的甚至已經(jīng)癱瘓，就個人使用的PC機來說，速度也會有明顯的下降。Nimda病毒不但發(fā)送染毒郵件，還會感染EXE文件。當時聲稱能處理該病毒的反病毒公司都采取刪除染毒文件的方式殺毒，導(dǎo)致很多重要程序不能運行，甚至機器癱瘓。瑞星公司推出世界上唯一可安全清除染毒文件的方法，不但可以清除染毒文件，還可清除內(nèi)存中的病毒，確保殺毒之后系統(tǒng)正常運行。

它是一個新型蠕蟲，也是一個病毒，它通過email、共享網(wǎng)絡(luò)資源、IIS服務(wù)器傳播。同時它也是一個感染本地文件的新型病毒。

5.1.1尼姆達的傳播方式

這個新型W32.Nimda.A@mm蠕蟲通過多種方式進行傳播，幾乎包括目前所有流行病毒的傳播手段：

①通過email將自己發(fā)送出去；

②搜索局域網(wǎng)內(nèi)共享網(wǎng)絡(luò)資源；

③將病毒文件復(fù)制到?jīng)]有打補丁的微軟（NT/2000尼姆達病毒）IIS服務(wù)器；

④感染本地文件和遠程網(wǎng)絡(luò)共享文件；

⑤感染瀏覽的網(wǎng)頁；

這個病毒降低系統(tǒng)資源，可能最后導(dǎo)致系統(tǒng)運行變慢最后宕機；它改變安全設(shè)置，在網(wǎng)絡(luò)中共享被感染機器的硬盤，導(dǎo)致泄密；它不斷的發(fā)送帶毒郵件。

5.1.2中毒后的表現(xiàn)形式

1、病毒運行時會搜索所有可寫目錄，如果這些目錄中存在有.doc文件時，病毒便會將自己復(fù)制到該目錄下，并將自身命名為：_setup.exe和riched20.dll。只要用戶雙擊該doc文件，系統(tǒng)便會自動執(zhí)行這兩個病毒文件，造成病毒在被感染的計算機上被激活，導(dǎo)致病毒再一次重復(fù)感染動作。

2、病毒運行時還將激活當前系統(tǒng)的guest賬號并將其加入到管理員組中，使其具有管理員的權(quán)限，然后病毒就能通過該通道進行非法操作。病毒還會將當前的a至z盤變成共享，使任何外界的黑客程序都可以無障礙地訪問計算機中的信息，并且病毒還會感染這些共享磁盤中的所有系統(tǒng)文件，使其全部帶毒。如果對系統(tǒng)比較的用戶可以查看一下自己計算機中的guest賬號是否已經(jīng)被加入管理員組中，如果是則很可能是中了該病毒；普通的用戶可以查看一下自己的計算機，看計算機中的盤符是否是共享標志，如果是則很可能是中了該病毒。

3、病毒運行時會每隔30秒就重復(fù)一次傳染流程，將導(dǎo)致系統(tǒng)資源極大浪費，使計算機運行速度忽然變慢。如果用戶發(fā)現(xiàn)自己的計算機運行速度忽然變慢而且還持續(xù)一段時間，則很可能是中了該病毒。

5.1.3如何消滅病毒

尼姆達病毒的特點是傳播方式多，感染速度快，它通過email、共享網(wǎng)絡(luò)資源、IIS服務(wù)器傳播，同時它也是一個感染本地文件的新型病毒。其主要通過郵件傳播，并能夠在預(yù)覽時進行感染，使計算機速度逐漸變慢，硬盤在不知情的情況下被共享、word和寫字板等文檔不能夠正常的打開、保存或顯示內(nèi)存不足等提示信息。

根據(jù)尼姆達病毒的特點對于擁有局域網(wǎng)的企業(yè)級用戶，建議使用瑞星網(wǎng)絡(luò)版殺毒軟件。由于“尼姆達”最大危害在于感染計算機后會改變安全設(shè)置，開放硬盤作為網(wǎng)絡(luò)共享的資源，從而感染到服務(wù)器，將本地的文件和遠程網(wǎng)絡(luò)共享的文件全部感染。所以普通單機版的殺毒軟件不可能實現(xiàn)全網(wǎng)的同步升級，安裝網(wǎng)絡(luò)版是最佳選擇。

而對于廣大單機用戶及雖擁有局域網(wǎng)的企業(yè)級用戶，但沒有網(wǎng)絡(luò)版的殺毒軟件，而只有單機版殺毒軟件的請按照如下的方法操作：

1、及時斷開所有的網(wǎng)絡(luò)連接

2、熱啟動，結(jié)束此蠕蟲病毒的進程

3、在系統(tǒng)的temp文件目錄下刪除病毒文件

4、使用干凈無毒的Riched20.DLL（約100k）文件替換染毒的同名的Riched20.DLL文件（57344字節(jié)）

5、將系統(tǒng)目錄下的load.exe文件（57344字節(jié)）徹底刪除以及windows根目錄下的mmc.exe文件；要在各邏輯盤的根目錄下查找Admin.DLL文件，如果有Admin.DLL文件的話，刪除這些病毒文件，并要查找文件名為Readme.eml的文件，也要刪除它

6、如果用戶使用的是WindowsNT或Windows2000的操作系統(tǒng)的計算機，那么要打開"控制面板"，之后打開"用戶和密碼"，將Administrator組中g(shù)uest帳號刪除。

5.2網(wǎng)吧的病毒防治

5.2.1安全維護從布線做起

網(wǎng)吧的建設(shè)應(yīng)該從網(wǎng)絡(luò)的綜合布線開始，首先應(yīng)該考慮到電源的布線，合理的電源布線可以保機器的正常運行。再就是考慮到網(wǎng)絡(luò)的布線，從網(wǎng)絡(luò)的接入到每臺機器的穩(wěn)定上網(wǎng)。大型網(wǎng)吧有可能需要采用三層交換機，千兆雙線（電信和網(wǎng)通）接入來保證網(wǎng)絡(luò)的穩(wěn)定性。對于小型的網(wǎng)吧來說在經(jīng)濟上可以考慮不采用三層交換機，一般情況下二層交換機就可以滿足網(wǎng)吧的需求了。但是安全方面必須從外網(wǎng)的接入開始做起，在接入網(wǎng)絡(luò)前必須先通過硬件防火墻，之后通過路由器連接服務(wù)器和交換機構(gòu)成星狀的網(wǎng)絡(luò)拓撲結(jié)構(gòu)。如圖5-1為拓撲圖，5-2為水平干線子系統(tǒng)圖。

圖5-1小型網(wǎng)吧網(wǎng)絡(luò)拓撲圖

圖5-2水平干線子系統(tǒng)

（1）電源系統(tǒng)綜合布線

設(shè)計網(wǎng)吧電源系統(tǒng)綜合布線時，首先要搞清楚網(wǎng)吧的用電功率是多少，然后根據(jù)用電功率選擇合適電源線、插座及開關(guān)等電器配件，最后才能設(shè)計電源線的走向及整體布局。

1、用電功率設(shè)計：任何一家網(wǎng)吧，都會擁有空調(diào)、電腦、照明及網(wǎng)絡(luò)設(shè)備等用電設(shè)備。由于網(wǎng)吧規(guī)模不同，其電腦數(shù)量和空調(diào)數(shù)量也會有所差異。對于布線設(shè)計人員而言，必須清楚每一種用電設(shè)備的功率。

空調(diào)：公認的耗電大戶，網(wǎng)吧最常用的是柜式空調(diào)。從節(jié)約用電的角度講，網(wǎng)吧最好使用三相電源的空調(diào)。柜式空調(diào)的功率在3500－5500W之間。

電腦：單臺電腦的功率一直是備受爭議，因為硬件配置不同，電腦的功率也不同。目前，單核電腦的功率通常在200W左右，雙核電腦的功率通常在250－300W之間。

照明：在每一個燈泡的上面都標著功率，設(shè)計人員要做的就是數(shù)一下整個網(wǎng)吧需要多少個照明燈泡就可以了。

除了空調(diào)、電腦和照明燈之外，網(wǎng)絡(luò)設(shè)備也是一種用電設(shè)備，但其總功率非常小，1000W完全滿足要求。網(wǎng)吧的總功率就是各種用戶設(shè)備功率的總和，為了日后擴充及實際安全負載的需要，在設(shè)計電源系統(tǒng)布線時，設(shè)計功率要在網(wǎng)吧總功率的數(shù)值基礎(chǔ)上，上浮80－150％才可以。

2、供電材質(zhì)選擇：除了照明設(shè)備之外，網(wǎng)吧的每一種用電設(shè)備都是耗電大戶，為此，網(wǎng)吧的供電材質(zhì)，必須選擇銅芯電源線，而且要選擇國標的銅芯電源線。

3、電源布線設(shè)計：網(wǎng)吧電源布線的設(shè)計，要以安全、穩(wěn)定、夠用為原則。具體來說，電源布線設(shè)計主要有以下幾個部分。

空調(diào)功率比較大，建議單獨供電，可以選擇直徑為6mm的銅芯線。每臺空調(diào)安裝一個空氣開關(guān)，控制空調(diào)電源的開關(guān)。

其實，網(wǎng)吧內(nèi)總負載最大的還是電腦，25臺機器的負載要超過一臺空調(diào)。網(wǎng)吧電腦部分的布線要引起足夠的重視。網(wǎng)吧電腦用電不應(yīng)該是逐一串聯(lián)的模式，而是使用分組點接。每隔1.5米左右安裝一只10A三芯國標插座（即墻上嵌入的獨立插座）作為一個點，再將上述多孔插座接入，在1.5米的范圍內(nèi)，將會有2－4臺電腦使用這一個插座接入電源；然后，可視實際情況把電腦按10臺或16臺為一組，每組由一個空氣開關(guān)控制，這樣，整個網(wǎng)吧的電腦就可以分為更多的組。

每個電腦分組需要一條主干電源線，建議使用直徑為4mm的銅芯線。

照明設(shè)備單獨用一條線路，由于功率相對較小，使用直徑為2.5mm的銅芯線即可。網(wǎng)絡(luò)設(shè)備供電與收銀服務(wù)器也需要單獨供電，而且要加上UPS后備電源。

4、避雷方案設(shè)計：雷電災(zāi)害的威力無需多言，對于網(wǎng)吧這個電器化高度集中的場所，要設(shè)計電源系統(tǒng)布線時，一定要把避雷方案考慮在內(nèi)。避雷方案的重要部分就是避雷導(dǎo)線的安裝位置，以及一些避雷設(shè)備的安裝位置。

（2）網(wǎng)絡(luò)系統(tǒng)綜合布線

每家網(wǎng)吧網(wǎng)絡(luò)布線的設(shè)計方案不會雷同，因為網(wǎng)吧網(wǎng)絡(luò)布線要受網(wǎng)吧經(jīng)營場所地形的限制，也要受到交換機等網(wǎng)絡(luò)設(shè)備安放位置的限制。所有網(wǎng)吧的網(wǎng)絡(luò)結(jié)構(gòu)都是路由器→主交換機→分枝交換機→客戶機的網(wǎng)絡(luò)模式，網(wǎng)絡(luò)布線的設(shè)計也要以這個基本網(wǎng)絡(luò)結(jié)構(gòu)為設(shè)計原則。

1、確定分枝交換機的安裝位置：雙絞線把客戶機與交換機相連，由于交換機的端口數(shù)量有限，為此，每個交換機只能為一定數(shù)量的計算機服務(wù)。目前，24口交換機是網(wǎng)吧用性價比最高的交換機，48口交換機由于價格昂貴還未普及。

由于雙絞線的最大傳輸距離為100米，在選擇分枝交換機的安裝位置時，必須保證交換機距離每臺計算機的距離在100米之內(nèi)。為了節(jié)約網(wǎng)線，可以將交換機安裝在24臺計算機的中心位置處。由于交換機工作中需要產(chǎn)生一定的熱量，交換機的安裝位置還應(yīng)保持良好的通風(fēng)性能，并且要易于維護交換機。對于經(jīng)營面積比較小的網(wǎng)吧，可以將交換機集中放置在專業(yè)的機柜中，而無需為每臺交換機尋找安裝位置。

2、確定路由器安裝位置：網(wǎng)吧的網(wǎng)絡(luò)是一個分層式的結(jié)構(gòu)，路由器可以看成網(wǎng)絡(luò)匯聚層，所有的數(shù)據(jù)都要在路由器這里匯聚，然后轉(zhuǎn)發(fā)出去。路由器也是一種昂貴的網(wǎng)絡(luò)設(shè)備，對工作環(huán)境有著苛刻的要求，為此，路由器最好安裝在機房中，而且要保證路由器能夠擁有良好的通風(fēng)性能。

3、確定雙絞線的走向：路由器和交換機的安裝位置確定之后，下一步就要為雙絞線設(shè)計一個走向。由于雙絞線傳輸?shù)氖蔷W(wǎng)絡(luò)信號，電磁信號會干擾信號傳輸質(zhì)量，為此，雙絞線的走向，要遠離電源線，避免穿過空調(diào)等大功率電器。

在設(shè)計網(wǎng)吧網(wǎng)絡(luò)系統(tǒng)的布線方案時，還要注意一點，由于分支交換機與主干交換機之間是級聯(lián)的關(guān)系，一臺24口交換機只能為22臺計算機提供接入服務(wù)。除此之外，還要注意，所有的分枝交換機直接與主干交換機相連，而不是分枝交換機之間串聯(lián)之后再與主干交換機相連。同時施工時要注意所使用的雙絞線的類型：一般情況下，網(wǎng)吧都用直通線，即雙絞線兩端全部用568B線序連接；交叉線用于交換機與路由器之間的級聯(lián)，一端用568B線序連接，另外一端用568A線序連接。由于目前很多品牌的交換機都支持端口翻轉(zhuǎn)，交叉線已經(jīng)被淘汰。

5.2.2合理選購硬件防火墻

對于網(wǎng)吧安全管理而言來自外部與內(nèi)部的探測和攻擊都是需要解決的頭等問題。在眾多的安全產(chǎn)品中硬件防火墻至關(guān)重要，可以有效的防護外部的攻擊。硬件防火墻是網(wǎng)絡(luò)安全的第一道防線，選擇更強大的專用防火墻成為了網(wǎng)吧防御黑客攻擊的重要工具。從網(wǎng)吧安全角度考慮硬件防火墻應(yīng)具備以下特點：性價比高、用戶限制數(shù)較寬、具有很強的防黑入侵監(jiān)控能力，還必須與網(wǎng)吧的穩(wěn)定、高速的網(wǎng)絡(luò)環(huán)境相適應(yīng)。在近年來流行的ARP攻擊應(yīng)該選擇配備有MAC地址和IP綁定功能的硬件防火墻，可以有效的防止惡意用戶的非法攻擊。這里推薦2款:華為3ComEudemon1000和CISCOPIX-525-R-BUN都是很不錯的產(chǎn)品。

DOS（拒絕服務(wù)攻擊）/DDOS（分布式拒絕服務(wù)攻擊）是指攻擊者過多的占用網(wǎng)絡(luò)資源，導(dǎo)致服務(wù)器超載或系統(tǒng)資源耗盡，從而使其他用戶無法享受網(wǎng)絡(luò)服務(wù)或沒有資源可利用。防火墻還應(yīng)該考慮到規(guī)則的設(shè)置，規(guī)定在單位時間內(nèi)接受同地址的TCP全連接和半連接的數(shù)量，如果超過這數(shù)量就默認為DOS/DDOS攻擊而作出相應(yīng)的處理。通過防火墻的檢測、控制機制可以有效的防止這類的惡意網(wǎng)絡(luò)攻擊。

(1)怎樣選購防火墻

1、產(chǎn)品本身的安全性

防火墻本身直接暴露在外網(wǎng)訪問之下，所以產(chǎn)品本身的安全性應(yīng)該是用戶選擇產(chǎn)品時首先要注意的一點。這里所說的產(chǎn)品安全性主要針對產(chǎn)品所采用的系統(tǒng)構(gòu)架是否完整或者強健、產(chǎn)品是否有過安全漏洞歷史、是否有被拒絕服務(wù)攻擊擊潰的歷史等方面。除此之外，產(chǎn)品所支持的認證方式也是值得思忖的問題之一，支持方式較為廣泛、與網(wǎng)內(nèi)認證措施協(xié)同較好的產(chǎn)品無疑具有更高的安全性，而且也可以避免成為整體安全環(huán)境中的“短板”。

2、數(shù)據(jù)處理性能

防火墻控制的對象是網(wǎng)絡(luò)數(shù)據(jù)，因此數(shù)據(jù)處理能力是用戶在購買產(chǎn)品前要著重考察的一項。主要的衡量指標包括吞吐量、轉(zhuǎn)發(fā)率、丟包率、緩沖能力和延遲等，通過這些參數(shù)的對比可以了解一款硬件防火墻產(chǎn)品的硬件性能。這個時候不能迷信廠家所給出的數(shù)據(jù)表，多參考第三方評測數(shù)據(jù)或者別的產(chǎn)品的參數(shù)才是上選。

另外，吞吐量的大小主要由防火墻內(nèi)網(wǎng)卡，及程序算法的效率決定，尤其是程序算法，會使防火墻系統(tǒng)進行大量運算，通信量大打折扣。因此在參考數(shù)據(jù)時也不要迷信絕對數(shù)據(jù)，算法的不同也會導(dǎo)致吞吐量有很大的差別。

一般來說，對于中小型企業(yè)，選擇吞吐量為百兆級的防火墻即可滿足需要，而對于電信、金融、保險等大公司大企業(yè)部門就需要采用吞吐量千兆級的防火墻產(chǎn)品。

3、可管理性

這是考察產(chǎn)品的易用性重要的一項?，F(xiàn)在的信息環(huán)境相當復(fù)雜，如果沒有一個配置合理的管理系統(tǒng)，很容易為日后的使用和制定安全方案種下隱患，同時可管理性差的防火墻產(chǎn)品增加了安全管理員的工作量，也無形中增加了企業(yè)人力的成本。

其次，一些大型防火墻面對的是行業(yè)用戶，這就對產(chǎn)品的集中管理性能提出了較高的要求，在安全策略的定制與下發(fā)、日志的集中管理與分析等方面比較出色的產(chǎn)品不僅避免了大量問題的集中出現(xiàn)，也給企業(yè)降低網(wǎng)絡(luò)設(shè)備成本帶來了便利。

4、日志記錄能力

所有的安全系統(tǒng)都在遭受著被攻擊的危險，一款日志功能強大的防火墻，記錄的項目比較全面，可以有效的防范日志被竄改，并能利用多種途徑將日志數(shù)據(jù)定期備份到指定機器等，這些都給企業(yè)日后追究攻擊者的法律責(zé)任提供了有效的依據(jù)。

5、產(chǎn)品兼容性

現(xiàn)在的企業(yè)擁有交換機、路由器等大量網(wǎng)絡(luò)設(shè)備，防火墻產(chǎn)品與這些設(shè)備的兼容性也非常重要，畢竟網(wǎng)絡(luò)安全要