计算机病毒的特征及防治策略

摘要:随着计算机病毒技术的发展,病毒给人们造成的损失越来越大。该文通过分析常见的6种病毒的特征,提出了一些病毒防治的策略,对于保护计算机免受病毒侵害具有一定的参考价值。

关键词:计算机病毒;防治策略;木马;蠕虫

中图分类号:TP309.5文献标识码:A文章编号:1009-3044(2010)05-1049-03

Computer Virus Characteristics and Cure Strategies

LI Wei-min, GE Fu-hong, ZHANG Li-ping

(College of Education Science and Technology,Shanxi Datong University, Datong 037009, China)

Abstract: With the development of computer virus technology, the damages of virus are worsening. This paper analyzes the characteristics of six kinds of viruses and provides some cure strategies. These strategies have reference value to protect computer from viruses.

Key words: computer virus; cure strategy; trojan horse; worm

在我们享受网络带给我们的种种便利的同时,也有人同时在编造病毒攻击计算机。虽然防毒软件不断升级,但病毒也在不断增加和升级。这些日新月异更新的病毒借助于网络给计算机用户带来不同程度的损失。下面介绍几种常见的计算机病毒的特征及防治策略。

1 计算机病毒概述

计算机病毒是一种人为制造的、在计算机运行中对计算机信息或系统起破坏作用的程序。计算机病毒有六大特性:寄生性、传染性、潜伏性、隐蔽性、破坏性、可触发性。病毒的侵入必将对系统资源构成威胁,轻则占用大量的系统空间影响系统的正常运行,重则能在很短的时间内使整个计算机网络处于瘫痪状态,从而造成巨大的损失。

2 CIH病毒特征及防治策略

2.1 CIH病毒的基本特征

CIH病毒传播的主要途径是Internet、电子邮件,U盘或光盘来传播。CIH是一种Windows 95/98系统下的32位文件型病毒,它只感染PE格式且扩展名为EXE的文件, 病毒通过修改文件头部的程序入口地址,使其指向病毒的引导代码。当病毒代码驻留内存后,每当系统中有文件服务请求时,首先被调用的将是病毒代码,它都要从CMOS保存的信息中读取系统当前日期,如果是4月26日,则执行病毒的破坏代码:通过输入输出指令改写BIOS引导程序,然后将内存中从地址C0001000H处开始的内容写到硬盘上从0柱面、0头开始的位置, 直到用户关机或系统死机为止。

CIH病毒破坏性很大,它首先会毁坏掉磁盘上的所有文件;其次,CIH病毒会感染硬盘上的所有逻辑驱动器,最坏的情况是硬盘所有数据(含全部逻辑盘数据)均被破坏;更为严重的是,CIH病毒还会破坏主板上的BIOS,将计算机中的BIOS内容重新改写,造成计算机无法启动,假如用户的BIOS是可FLASH型的,那么主板有可能彻底损坏。

2.2 CIH的防护策略

1)对CIH病毒进行免疫。设置两重防线,使CIH病毒代码不能再进入内存,从根本上杜绝CIH病毒的传播和破坏。

具体过程是:通过调用VXD函数IFSMgr_InstallFileSystemApiHook,获得系统当前的文件系统钩子函数的地址和函数IFSMgr_InstallFileSystemApiHoo的入口地址,根据获得的地址,扫描相应的内存区,判断内存中是否有CIH病毒。如果发现内存中有CIH病毒,调用VXD函数IFSMgr_RemoveFileSystemApiHook 先撤消其设置的文件系统钩子函数,然后利用函数_PageFree将其占用的内存释放。

病毒在驻留内存之前,先要检查该寄存器的值是否为零,以判断病毒代码是否已在内存中。因此,我们可以将该寄存器的值设置为非零值,让病毒以为内存中已有病毒代码存在,从而不驻留内存,这是第一道防线。

考虑到寄存器dr0的值可能被其它程序修改,让病毒代码获得进入内存的机会,我们再设置第二道防线。 在内存高端申请一页内存空间,驻留一段代码在这一内存空间中,修改系统中IFSMgr_InstallFileSystemApiHook 函数的入口地址,使其指向我们自己设置的代码,该代码负责监视文件系统钩子函数的安装过程,如果是病毒代码要进入内存,则拒绝让其进入,并释放其申请的内存。

有了这两道防线,就能较好地防止CIH病毒进入内存,即便是运行染有病毒的程序,也不会对系统造成不利的影响。

2)若出现以上所写的中毒特征,则首要要保护好自己的主板BIOS。现在的主板一般使用EEPROM作为BIOS芯片,没有任何的安全保护措施,所以当中毒时,切记千万不要轻易重新启动计算机,尤其是从C盘启动应被绝对禁止,正确的措施是应该及时进入CMOS设置程序,将系统引导顺序设置为A盘优先,然后用干净无毒的系统软盘引导系统到DOS状态,这时即可对硬盘的所有逻辑驱动器进行一次全面扫描并查杀CIH病毒;当然最好的办法 是平时将主板上的BIOS刷新跳线设定在Disabled状态。

3)CIH的清除

现在CIH在网络上广泛流行,除了使用专业杀毒软件清除它以外,还可以使用手工的方式清除,清除的方法如下。

在染毒文件中找到特征字串:查找5ECC568BF0把CC改为90,查找5ECCFB33DB把CC改为90。

在染毒文件中找:查找CD205300010083C420改为909090909090909090;查找CD2067004000改变909090909090。

3 “木马”病毒特征及防治策略

3.1 “木马”病毒的特征

“木马”全称是“特洛伊木马(Trojan Horse)”,“木马”病毒是一种专门用来偷取用户资料的病毒,是一种极度危险的恶意程序。“木马”病毒虽然和其他恶意程序一样,也会删除或修改文件、格式化硬盘、上传和下载文件、骚扰用户、驱逐其他恶意程序,但除此之外,“木马”病毒还有其独一无二的特点:窃取内容和远程控制。这使得它们成为最危险的恶意软件。

1)“木马”病毒具有捕获每一个用户屏幕、每一次键击事件的能力,这意味着攻击者能够轻松地窃取用户的密码、目录路径、驱动器映射,甚至医疗记录、银行账户和信用卡、个人通信方面的信息。假如你的电脑中带有麦克风,那么“木马”病毒就可能窃听到你的谈话内容。

2)“木马”病毒带有嗅探器,它能够捕获和分析流经网卡的每一个数据包。攻击者可以利用木马窃取的信息设置后门,即使“木马”病毒后来被清除了,攻击者仍可以利用以前留下的后门方便地闯入。

3)如果一个未经授权的用户掌握了远程控制宿主机器的能力,宿主机器就变成了强大的攻击武器。“木马”病毒不仅使远程用户拥有了随意操控PC本身资源的能力,而且还能够冒充PC合法用户。

3.2 “木马”病毒的防护

随着病毒编写技术的发展,木马程序对用户的威胁越来越大,尤其是一些木马程序采用了极其狡猾的手段来隐蔽自己,因此用户在使用计算机时应该采取以下措施来有效地预防“木马”病毒的侵袭。

1)不要随意打开来历不明的邮件

现在许多“木马”都是通过邮件来传播的。所以当你收到来历不明的邮件时,请不要打开应直接删除。同时,我们还应该加强邮件监控系统,拒收垃圾邮件。对于邮件附件要先用防病毒软件和专业清除木马的工具进行扫描后再使用。

2)不要随意下载来历不明的安装软件

现在大多数“木马”都直接隐藏在安装软件中,同时出现在网页的最显眼处来引导用户下载。所以用户在下载必要软件安装时,最好用杀毒软件查看有没有病毒,之后才进行安装。

3)经常升级系统及时修补漏洞和关闭可疑的端口

一般木马都是通过漏洞在系统上打开端口留下后门,以便上传木马文件和执行代码。用户在使用计算机时应及时更新系统漏洞修补程序以防“木马”病毒入侵。在把漏洞修补上的同时,也要及时对端口进行检查,把可疑的端口关闭。

4)尽量少用共享文件夹

如果必须使用共享文件夹,则最好设置账号和密码保护。注意千万不要将系统目录设置成共享,最好将系统下默认共享的目录关闭。

5)禁用Windows系统对移动存储设备的自动播放功能

“木马”病毒也会利用U盘传播,例如有名的“机器狗木马”就属此类。如果U盘中含有此病毒时,如果直接双击打开U盘,就会激活病毒,从而感染进电脑中。因此建议用户通过组策略的方式禁用U盘的自动播放功能。在使用U盘等移动存储设备时要先查杀病毒再使用。

6)运行实时监控程序及时更新病毒库

用户在上网时最好运行反木马实时监控程序和个人防火墙,并定时对系统进行病毒检查,同时启动病毒库实时升级程序及时更新病毒库。

4 蠕虫病毒特征及防治策略

4.1 蠕虫病毒的特征

蠕虫病毒的前缀是:Worm。这种病毒的公有特性是通过网络或者系统漏洞进行传播,很大部分的蠕虫病毒都有向外发送带毒邮件,阻塞网络的特性。蠕虫病毒的破坏性很强,部分蠕虫病毒不仅可以在因特网上兴风作浪,局域网也成了它们“施展身手”的舞台――蠕虫病毒可以潜伏在基于客户机/服务机模式的局域网的服务机上的软件内,当客户机访问服务机,并对有毒的软件实施下载后,病毒就神不知、鬼不觉地从服务机上“拷贝”到客户机上了。

大部分蠕虫病毒通过脚本语言实现其复制能力、潜伏性、破坏性和触发性,通过电子邮件实现其很强的传播性。

4.2 蠕虫病毒的防治策略

1)破解病毒的破坏力最强的功能模块――病毒的破坏性。

网络蠕虫病毒不可能像传统病毒一样调用汇编程序来实现破坏功能。它只能通过调用已经编译好的带有破坏性的程序来实现这一功能。那么我们就把本地的带有破坏性的程序改名字,比如把format.com改成fmt.com,那样病毒的编辑者就无发实现用调用本地命令来实现这一功能。

2)破解病毒的潜伏性及触发性功能模块。

蠕虫病毒是通过死循环语句完成的,且一开机就运行这程序,等待触发条件。用Ctrl+Alt+Del弹出关闭程序对话框方可看见一个叫Wscript.exe的程序在后台运行(那样的程序不一定是病毒,但病毒也常常伪装成那样的程序),我们为了防止病毒对我们的机算机进行破坏,我们不得不限制这类程序的运行时间,以达到控制的效果。首先在“开始”菜单的“运行”里输入"Wscript",然后会弹出一个窗体。单击“经过以下数秒终止脚本”前面的复选框,使复选框前面打起钩,然后调整下方的时间设为最小值即可。这样可以破解一部分这样的病毒的潜伏,消除潜伏性自然触发性就破解了。

3)破解病毒的自我复制能力功能模块。

大多数利用VBscript编写的病毒,自我复制的原理基本上是利用程序将本身的脚本内容复制一份到一个临时文件,然后再在传播的环节将其作为附件发送出去。而该功能的实现离不开"FileSystemObject"对象,因此禁止了"FileSystemObject"就可以有效的控制VBS病毒的传播。具体操作方法:用regsvr32 scrrun.dll /u这条命令就可以禁止文件系统对象。 破解完了以上四个功能模块,第五个功能模块传播性自然就不攻自破了。

4)要彻底防治网络蠕虫病毒,还须设置一下你的浏览器。将Internet选项中,"安全设置"中所有ActiveX插件和控件以及Java相关全部选择“禁用”即可。

5 其它病毒特征及防治测流

5.1 BO黑洞病毒特征

BO病毒是通过电子邮件进行传播的,是一个基于Windows的远端控制软件。它的工作原理是:首先把服务(Server)程序发给欲攻击方,并且执行它。攻击者自己运行客户(Client)程序来控制欲攻击方。当用户运行了Boserve.exe之后,Windows的注册表会被BO修改,

Boserve.exe被复制到System目录下面,随后原来的Boserve.exe文件会被删除掉。以后每次启动Windows时,它都会根据注册表自动加载System目录下面的Boserve.exe服务程序。此时表面上来看Windows没有任何的变化,而实际上Boserve.exe服务程序正在悄悄地运行,接受从网络客户端传来的控制命令。

5.2 邮件病毒特征

“邮件病毒”其实和普通的电脑病毒一样,只不过由于它们的传播途径主要是通过电子邮件,所以才被称为“邮件病毒”。“邮件病毒”除了具备普通病毒可传播性、可执行性、破坏性、可触发性特征之外,还具有感染速度快、扩散面广、清除病毒困难、破坏性大、隐蔽性好等特点。

5.3 宏病毒的特征

宏病毒是一种寄存在文档或模板的宏中的计算机病毒,一旦打开这样的文档,其中的宏就会被执行,于是宏病毒就会被激活,转移到计算机上,并驻留在Normal模板上。从此以后,所有自动保存的文档都会 “感染”上这种宏病毒,而且如果其他用户打开了感染病毒的文档,宏病毒又会转移到他的计算机上。宏病毒具有传播速度极快、制作、变种方便、破坏可能性极大、多平台交叉感染。

5.4 常用的一些防治策略

1)不执行来历不明的程序。

2)收到不明邮件最好不要打开,或者在使用前使用最新杀毒软件清除。

3)合理设置、定期更新杀毒软件。

总之,计算机病毒及其防御措施都是在不停的发展和更新的,因此我们应做到认识病毒,了解病毒,及早发现病毒并采取相应的措施,从而确保我们的计算机能安全工作。

参考文献:

[1] 葛秀慧.计算机网络安全管理[M].北京:清华大学出版社,2006:213-219.

[2] 罗卫敏.基于良性蠕虫对抗P2P蠕虫策略研究[J].计算机应用研究,2009:24-28.

[3] 陈健伟.计算机病毒与反病毒技术的研究[J].电脑与电信,2006:31-33.

[4] 卢立蕾.Windows环境木马进程隐藏技术研究[J].信息网络安全,2009:40-42.

推荐访问:计算机病毒 防治 特征 策略