提起计算机病毒,相信绝大多数用户都不会陌生(即使那些没有接触过计算机的多也听说过),有些用户甚至还对计算机病毒有着切肤之痛,不过要问起计算机病毒是如何产生的、病毒到底有些什么特征,能够回答生来的用户可能并不多。为此,本人特将有关计算机病毒的定义、起源、历史、特征、途径、分类、最新动态、错误认识、防毒原则、解决病毒的办法等内容汇集成文,希望能对广大用户日常的反病毒操作有所帮助: 计算机病毒使指那些具有复制能力的计算机程序,它能影响计算机软件、硬件的正常运行,数据的正确与完整。 计算机病毒的来源多种多样,有的是计算机工作人员或业余爱好者为了纯粹寻开心而制造出来的,有的则是软件公司为自己的产品被非法拷贝而制造的报复性惩罚,因为他们发现病毒比加密对付非法拷贝更有效且更有,这种情况助长了病毒的。还有一种情况就是,它分为个人行为和行为两种。个人行为多为雇员对雇主的报复行为,而行为则是有组织的战略战术手段(据说在海湾战争中,美一秘密机构曾对伊拉克的通讯系统进行了有计划的病毒,一度使伊拉克的国防通讯陷于瘫痪)。另外有的病毒还是用于研究或实验而设计的有用程序,由于某种原因失去控制扩散出实验室或研究所,从而成为危害四方的计算机病毒。 病毒是如何一步步的从无到有、从小到大的发展到今天的地步的呢?下面的介绍可以解除你的这一疑问: 概念的提出 计算机病毒这一概念是1977年由美国著名科普作家雷恩在一部科幻小说《P1的青春》中提出 1987年 世界各地的计算机用户几乎同时发现了形形色色的计算机病毒,如、IBM圣诞树、黑色星期五等等,面对计算机病毒的 突然袭击,众多计算机用户甚至专业人员都惊慌失措。 1989年 全世界的计算机病毒十分,我国也为幸免。其中米开朗基罗病毒给许多计算机用户造成极大损失。 1991年 在海湾战争中,美军第一次将计算机病毒用于实战,在空袭巴格达的战斗中,成功地了对方的指挥系统,使之瘫痪,了战斗的顺利进行,直至最后胜利。 1997年 1997年被为计算机反病毒界的宏病毒年。宏病毒主要感染WORD、EXCEL等文件。如Word宏病毒,早期是用一种专门的Basic语言即WordBasic所编写的程序,后来使用Visual Basic。与其它计算机病毒一样,它能对用户系统中的可执行文件和数据文本类文件造成。常见的如:Tw no.1(一号)、Setmd、Consept、Mdma等。 1998年 出现针对Windows95/98系统的病毒,如CIH(1998年被为计算机反病毒界的CIH病毒年)。CIH病毒是继DOS病毒、Windows病毒、宏病毒后的第四类新型病毒。这种病毒与DOS下的传统病毒有很大不同,它使用面向Windows的VXD技术编制。1998年8月份从传入国内,共有三个版本:1.2版/1.3版/1.4版,发作时间分别是4月26日/6月26日/每月26日。该病毒是第一个直接、硬件的计算机病毒,是迄今为止最为严重的病毒。它主要感染Windows95/98的可执行程序,发作时计算机Flash BIOS芯片中的系统程序,导致主板损坏,同时硬盘中的数据。病毒发作时,硬盘驱动器不停旋转转,硬盘上所有数据(包括分区表)被,必须重新FDISK方才有可能硬盘;同时,对于部分厂牌的主板(如技嘉和微星等),会将Flash BIOS中的系统程序,造成开机后系统无反应。 1999年 Happy99等完全通过Internet的病毒的出现标志着Internet病毒将成为病毒新的增长点。其特点就是利用Internet的优势,快速进行大规模的,从而使病毒在极短的时间内遍布全球。 提起病毒,大家都很熟悉,可说到病毒到底有哪些特征,能有说出个所以然的用户却不多,许多用户甚至根本搞不清到底什么是病毒,这就严重影响了对病毒的防治工作。有鉴于此,特将常见病毒的特征简要介绍如下,希望广大用户能藉以对病毒有一个较完善的认识。 传染性是病毒的基本特征。在生物界,通过传染病毒从一个生物体扩散到另一个生物体。在适当的条件下,它可得到大量繁殖,并使被感染的生物体表现出病症甚至死亡。同样,计算机病毒也会通过各种渠道从已被感染的计算机扩散到未被感染的计算机,在某些情况下造成被感染的计算机工作失常甚至瘫痪。与生物病毒不同的是,计算机病毒是一段人为编制的计算机程序代码,这段程序代码一旦进入计算机并得以执行,它会搜寻其他符合其传染条件的程序或存储介质,确定目标后再将自身代码插入其中,达到繁殖的目的。只要一台计算机染毒,如不及时处理,那么病毒会在这台机子上迅速扩散,其中的大量文件(一般是可执行文件)会被感染。而被感染的文件又成了新的传染源,再与其他机器进行数据交换或通过网络接触,病毒会继续进行传染。 正常的计算机程序一般是不会将自身的代码连接到其它程序之上的。而病毒却能使自身的代码传染到一切符合其传染条件的未受到传染的程序之上。计算机病毒可通过各种可能的渠道,如软盘、计算机网络去传染其它的计算机。当你在一台机器上发现了病毒时,往往曾在这台计算机上用过的软盘已感染上了病毒,而与这台机器相联网的其它计算机也许也被该病毒侵染上了。是否具有传染性是判别一个程序是否为计算机病毒的最重要条件。 一般正常的程序是由用户调用,再由系统分配资源,完成用户交给的任务。其目的对用户是可见的、透明的。而病毒具有正常程序的一切特性,它隐藏再正常程序中,当用户调用正常程序时窃取到系统的控制权,先于正常程序执行,病毒的动作、目的对用户时未知的,是未经用户允许的。 病毒一般是具有很高编程技巧、短小精悍的程序。通常附在正常程序中或磁盘较隐蔽的地方,也有个别的以隐含文件形式出现。目的是不让用户发现它的存在。如果不经过代码分析,病毒程序与正常程序是不容易区别开来的。一般在没有防护措施的情况下,计算机病毒程序取得系统控制权后,可以在很短的时间里传染大量程序。而且受到传染后,计算机系统通常仍能正常运行,使用户不会感到任何异常。试想,如果病毒在传染到计算机上之后,机器马上无法正常运行,那么它本身便无法继续进行传染了。正是由于隐蔽性,计算机病毒得以在用户没有察觉的情况下扩散到上百万台计算机中。 大部分的病毒的代码之所以设计得非常短小,也是为了隐藏。病毒一般只有几百或1k字节,而PC机对DOS文件的存取速度可达每秒几百KB以上,所以病毒转瞬之间便可将这短短的几百字节附着到正常程序之中,使人非常不易被察觉。 大部分的病毒感染系统之后一般不会马上发作,它可长期隐藏在系统中,只有在满足其特定条件时才启动其表现()模块。只有这样它才可进行广泛地。如PETER-2在每年2月27日会提三个问题,答错后会将硬盘加密。著名的黑色星期五在逢13号的星期五发作。国内的上海一号会在每年三、六、九月的13日发作。当然,最令人难忘的便是26日发作的CIH。这些病毒在平时会隐藏得很好,只有在发作日才会露出本来面目。 任何病毒只要侵入系统,都会对系统及应用程序产生程度不同的影响。轻者会降低计算机工作效率,占用系统资源,重者可导致系统崩溃。由此特性可将病毒分为良性病毒与恶性病毒。良性病度可能只显示些画面或出点音乐、无聊的语句,或者根本没有任何动作,但会占用系统资源。这类病毒较多,如:GENP、小球、W-BOOT等。恶性病毒则有明确得目的,或数据、删除文件或加密磁盘、格式化磁盘,有的对数据造成不可的。这也反映出病毒编制者的用心(最著名的恐怕就是CIH病毒了)。 从对病毒的检测方面来看,病毒还有不可预见性。不同种类的病毒,它们的代码千差万别,但有些操作是共有的(如驻内存,改中断)。有些人利用病毒的这种共性,制作了声称可查所有病毒的程序。这种程序的确可查出一些新病毒,但由于目前的软件种类极其丰富,且某些正常程序也使用了类似病毒的操作甚至借鉴了某些病毒的技术。使用这种方法对病毒进行检测势必会造成较多的误报情况。而且病毒的制作技术也在不断的提高,病毒对反病毒软件永远是超前的。 1. 通过不可移动的计算机硬件设备进行(即利用专用ASIC芯片和硬盘进行)。这种病毒虽然极少,但力却极强,目前尚没有较好的检测手段对付。 2. 通过移动存储设备来(包括软盘、磁带等)。其中软盘是使用最广泛移动最频繁的存储介质,因此也成了计算机病毒寄生的温床。 3. 通过计算机网络进行。随着Internet的高速发展,计算机病毒也了高速之,现在通过网络已经成为计算机病毒的第一途径。 各种不同种类的病毒有着各自不同的特征,它们有的以感染文件为主、有的以感染系统引导区为主、大多数病毒只是开个小小的玩笑、但少数病毒则危害极大(如臭名昭著CIH病毒),这就要求我们采用适当的方法对病毒进行分类,以进一步满足日常操作的需要: 病毒按传染方式可分为引导型病毒、文件型病毒和混合型病毒三种。其中引导型病毒主要是感染磁盘的引导区,我们在使用受感染的磁盘(无论是软盘还是硬盘)启动计算机时它们就会首先取得系统控制权,驻留内存之后再引导系统,并伺机传染其它软盘或硬盘的引导区,它一般不对磁盘文件进行感染;文件型病毒一般只传染磁盘上的可执行文件(COM,EXE),在用户调用染毒的可执行文件时,病毒首先被运行,然后病毒驻留内存伺机传染其他文件或直接传染其他文件,其特点是附着于正常程序文件,成为程序文件的一个外壳或部件;混合型病毒则兼有以上两种病毒的特点,既染引导区又染文件,因此扩大了这种病毒的传染途径。 病毒按连接方式分为源码型病毒、入侵型病毒、操作系统型病毒、外壳型病毒等四种。其中源码病毒主要高级语言编写的源程序,它会将自己插入到系统的源程序中,并随源程序一起编译、连接成可执行文件,从而导致刚刚生成的可执行文件直接带毒,不过该病毒较为少见,亦难以编写;入侵型病毒则是那些用自身代替正常程序中的部分模块或堆栈区的病毒,它只某些特定程序,针对性强,一般情况下也难以被发现,清除起来也较困难;操作系统病毒则是用其自身部分加入或替代操作系统的部分功能,危害性较大;外壳病毒主要是将自身附在正常程序的开头或结尾,相当于给正常程序加了个外壳,大部份的文件型病毒都属于这一类。 病毒按性可分为良性病毒和恶性病毒。顾名思义,良性病毒当然是指对系统的危害不太大的病毒,它一般只是作个小小的恶作剧罢了,如屏幕显示、播放音乐等(需要注意的是,即使某些病毒不对系统造成任何直接损害,但它总会影响系统性能,从而造成了一定的间接危害);恶性病毒则是指那些对系统进意的病毒,它往往会给用户造成较大危害,如最近十分流行的CIH病毒就就属此类,它不仅删除用户的硬盘数据,而且还硬件(主板),实可谓十恶不赦! 部分新型病毒由于其独特性而暂时无法按照前面的类型进行分类,如宏病毒、黑客软件、电子邮件病毒等。 宏病毒主要是使用某个应用程序自带的宏编程语言编写的病毒,如感染WORD系统的WORD宏病毒、感染EXCEL系统的EXCEL宏病毒和感染Lotus Ami Pro的宏病毒等。宏病毒与以往的病毒有着截然不同的特点,如它感染数据文件,彻底改变了人们的数据文件不会病毒的错误认识;宏病毒冲破了以往病毒在单一平台上的局限,当WORD、EXCEL这类软件在不同平台(如WINDOWS、WINDOWS NT、OS/2和MACINTOSH等)上运行时,就可能会被宏病毒交叉感染;以往病毒是以二进制的计算机机器码形式出现,而宏病毒则是以人们容易阅读的源代码形式出现,所以编写和修改宏病毒比以往病毒更容易;另外宏病毒还具有容易、隐蔽性强、危害巨大等特点。最终来说,宏病毒应该算是一种特殊的文件型病毒,同时它应该也可以算是按程序运行平台分类中的一种特例。 黑客软件本身并不是一种病毒,它实质是一种通讯软件,而不少的人却利用它的独特特点来通过网络非法进入他人计算机系统,获取或各种数据,危害信息安全。正是由于黑客软件直接各个广大网民的数据安全,况且用户手工很难对其进行防范的独特特点,因此各大反病毒厂商纷纷将黑客软件纳入病毒范围,利用杀毒软件将黑客从用户的计算机中出境,从而了用户的网络安全。 电子邮件病毒实际上并不是一类单独的病毒,它严格来说应该划入到文件型病毒及宏病毒中去,只不过由于这些病毒采用了独特的电子邮件方式(其中不少种类还专门针对电子邮件的方式进行了优化),因此我们习惯于将它们定义为电子邮件病毒。 近一段时间以来,计算机病毒不但没有象人们想象的那样随着Internet的流行而趋于,而是进一步的爆发流行,如CIH、Happy99等,它们与以往的病毒相比具有一些新的特点,如传染性、隐蔽性、性等,给广大计算机用户带来了极大的经济损失。为方便用户的使用,现将计算机病毒的最新动态向大家做一个简要介绍: 多形性病毒 多形性病毒又名幽灵病毒,是指采用特殊加密技术编写的病毒,这种病毒在每感染一个对象时采用随机方法对病毒主体进行加密,因而完全多形性病毒的主要不同样本中甚至不存在连续两个相同的字节。这种病毒主要是针对查毒软件而设计的,所以使得查毒软件的编写更困难,并且还会带来许多误报。 轻微病毒 文件备份是人们用于对抗病毒的一种常用的方法,轻微病毒就是针对备份而设计的。它每次只一点点数据,用户难以察觉,这就导致用户每次备份的数据均是已被的内容。当用户发觉到数据被彻底时,可能所有备份中的数据均是被的,这时的损失是难以估计的。 宏病毒 宏病毒是使用某种应用程序自带的宏编程语言编写的病毒,目前国际上已发现五类:Word宏病毒、Excel宏病毒、Access宏病毒、Ami Pro宏病毒、Word Perfect宏病毒。其中Word宏病毒最多,流行最范围最广,96年下半年开始在我国出现,97年在全国各地广泛流行,成为目前最主要的病毒,如Tw No.1(一号)、Concept(概念)、SetMd、Cap、MdMa(无一号)等。 病毒生成工具 病毒生成工具通常是以菜单形式驱动,只要是具备一点计算机知识的人,利用病毒生成工具就可以象点菜一样轻易地制造出计算机病毒,而且可以设计出非常复杂的具有偷盗和多形性特征的病毒。如:G2、VCL、MTE、TPE等。 黑客软件 黑客软件本身并不是一种病毒,它实际上是一种通讯软件,而不少的人却利用它的独特特点来通过网络非法进入他人计算机系统,获取或各种数据,危害信息安全。正是由于黑客软件直接各个广大网民的数据安全,况且用户手工很难对其进行防范,因此各大反病毒厂商纷纷将黑客软件纳入病毒范围,利用杀毒软件将黑客从用户的计算机中出境(黑客软件对既没有上Internet、又没有连局域网纯粹的单机没有危害)。 电子邮件病毒 电子邮件病毒实际上并不是一类单独的病毒,它严格来说应该划入到文件型病毒及宏病毒中去,只不过由于这些病毒采用了独特的电子邮件方式(其中不少种类还专门针对电子邮件的方式进行了优化,如前一段时间曾爆发流行的Happy99),因此我们习惯于将它们定义为电子邮件病毒。 系统数据区 即计算机硬盘的主引寻扇区、Boot扇区、FAT表、文件目录等内容(一般来说,系统数据区的病毒是恶性病毒,受损的数据不易恢复)。 内存 内存是计算机的重要资源,也是病毒的目标。其方式主要有占用大量内存、改变内存总量、分配内存等。 干扰系统运行 不执行用户指令、干扰指令的运行、内部栈溢出、占用特殊数据区、时钟倒转、自动重新启动计算机、死机等。 5. 准备一张干净的系统引导盘,并将常用的工具软件拷贝到该软盘上,然后加以保存。此后一旦系统受病毒,我们就可以使用该盘引导系统,然后进行检查、杀毒等操作。 6. 对外来程序要使用尽可能多的查毒软件进行检查(包括从硬盘、软盘、局域网、Internet、Email中获得的程序),未经检查的可执行文件不能拷入硬盘,更不能使用。 9. 随时注意计算机的各种异常现象(如速度变慢、出现奇怪的文件、文件尺寸发生变化、内存减少等),一旦发现,应立即用杀毒软件仔细检查。 3. 发现病毒后,我们一般应利用反病毒软件清除文件中的病毒,如果可执行文件中的病毒不能被清除,一般应将其删除,然后重新安装相应的应用程序。同时,我们还应将病毒样本送交反病毒软件厂商的研究中心,以供详细分析。 4. 某些病毒在Windows 98状态下无法完全清除(如CIH病毒就是如此),此时我们应采用事先准备的干净的系统引导盘引导系统,然后在DOS下运行相关杀毒软件进行清除。 随着计算机反病毒技术的不断发展,广大用户对计算机病毒的了解也是越来越深,以前那种谈毒色变的情况再也不会出现了!不过本人在日常错作过程中发现,许多用户对病毒的认识还存在着一定的误区,如认为自己已经购买了正版的杀毒软件,因而再也不会受到病毒的困扰了、病毒不感染数据文件等,这些错误认识在一定程度上影响了用户对病毒的正确处理(如前段时间不少被CIH病毒感染的计算机中都安装有反病毒软件,只不过由于用户没有及时升级杀毒软件的病毒代码才导致了这一悲剧)!为此,特将用户的这些错误认识列举如下,希望对大家今后的操作有所帮助。 错误认识一对感染病毒的软盘进行浏览就会导致硬盘被感染。我们在使用资源管理器或DIR命令浏览软盘时,系统不会执行任何额外的程序,我们只要操作系统本身干净无毒,那么无论是使用Windows 98的资源管理器还是使用DOS的DIR命令浏览软盘都不会引起任何病毒感染的问题。 错误认识二将文件改为只读方式可免受病毒的感染。某些人认为通过将文件的属性设置为只读会十分有效的抵御病毒,其改一个文件的属性只需要调用几个DOS中断就可以了,这对病毒来说绝对是小菜一碟。我们甚至可以说,通过将文件设置为只读属性对于病毒的感染及几乎是为力。 错误认识三病毒能感染处于写状态的磁盘。前面我们谈到,病毒可感染只读文件,不少人由此认为病毒也能修改那些提供了写功能的磁盘上的文件,而事实却并非如此。一般来说,磁盘驱动器可以判断磁盘是否写、是否应该对其进行写操作等,这一切都是由硬件来控制的,用户虽然能物理地解除磁盘驱动器的写传感器,却不能通过软件来达到这一目的。 错误认识四反病毒软件能够清除所有已知病毒。由于病毒的感染方式很多,其中有些病毒会利用自身代码覆盖源程序中的部分内容(以达到不改变被感染文件长度的目的)。当应用程序被这样的病毒感染之后,程序中被覆盖的代码是无法复原的,因此这种病毒是无法安全杀除的(病毒虽然可以杀除,但用户原有的应用程序却不能恢复)。 错误认识五使用杀毒软件可以免受病毒的。目前市场上出售的杀毒软件,都只能在病毒之后才一展身手,但在杀毒之前病毒已经造成了工作的延误、数据的或其它更为严重的后果。因此广大用户应该选择一套完善的反毒系统,它不仅应包括常见的查、杀病毒功能,还应该同时包括有实时防毒功能,能实时地监测、对文件的各种操作,一旦发现病毒,立即报警,只有这样才能最大程度地减少被病毒感染的机会。 错误认识六磁盘文件损坏多为病毒所为。磁盘文件的损坏有多种原因,如电源电压波动、掉电、磁化、磁盘质量、硬件错误、其它软件中的错误、灰尘、烟灰、茶水、甚至一个喷嚏都可能导致数据丢失(对保存在软盘上的数据而言)。这些所作所为对文件造成的损坏会比病毒造成的损失更常见、更严重,这点务必引起广大用户的注意。 错误认识七如果做备份的时候系统就已经感染了病毒,那么这些含有病毒的备份将是无用的。尽管用户所作的备份也感染了病毒的确会带来很多麻烦,但这绝对不至于导致备份失效,我们可根据备份感染病毒的情况分别加以处理--若备份的软盘中含有引导型病毒,那么只要不用这张盘启动计算机就不会传染病读;如果备份的可执行文件中传染了病毒,那么可执行文件就算白备份了,但是备份的数据文件一般都是可用的(除Word之类的文件外,其它数据文件一般不会感染病毒)。 错误认识八反病毒软件可以随时随地防护任何病毒。很显然,这种反病毒软件是不存在的!随着各种新病毒的不断出现,反病毒软件必须快速升级才能达到杀除病毒的目的。具体来说,我们在对抗病毒时需要的是一种安全策略和一个完善的反病毒系统,用备份作为防病毒的第一道防线,将反病毒软件作为第二道防线。而及时升级反病毒软件的病毒代码则是加固第二道防线的唯一方法。 错误认识九病毒不能从一种类型计算机向另一种类型计算机蔓延。目前的宏病毒能够传染运行Word或Excel的多种平台,如Windows 9X、Windows NT、Macintosh等。 错误认识十病毒不感染数据文件。尽管多数病毒都不感染数据文件,但宏病毒却可感染包含可执行代码的MS-Office数据文件(如Word、Excel等),这点务必引起广大用户的注意。 错误认识十一病毒能隐藏在电脑的CMOS存储器里。不能!因为CMOS中的数据不是可执行的,尽管某些病毒可以改变CMOS数据的数值(结果就是致使系统不能引导),但病毒本身并不能在CMOS中蔓延或藏身于其中。 错误认识十二Cache中能隐藏病毒。不能!Cache种的数据在关机后会消失,病毒无法长期置身其中。 怎么样?还不对照看看自己是不是陷入了某个认识上的误区中?若真要是这样,那可一定要小心噢!(李红波)
|