操作系统漏洞与病毒防范

任务2　操作系统漏洞与病毒防范

任务介绍

随着互联网的发展，计算机网络病毒形式及传播途径日趋多样化，网络系统的防病毒工作不再像单台计算机病毒检测及清除那样简单。由于计算机系统的开放性、主机和终端多样性的特点，加之操作系统漏洞的暴露，极易使网络遭受病毒、黑客、恶意软件和其他不良行为的破坏或影响。因此，加强系统漏洞管理、病毒防范是保证服务器安全的重要方面。

任务分析

从信息安全角度看，漏洞是恶意攻击者借助网络系统缺陷，广泛存在于不同的设备、操作系统、应用系统中。随着用户的持续使用，其存在的漏洞会不断暴露，入侵者正是利用这些漏洞，威胁系统安全。然而，漏洞造成的安全问题具备一定时效性，具有从被发现、利用到大规模危害和逐渐消失的周期。仅以“冲击波”蠕虫病毒案例，说明漏洞生命周期问题：

第一阶段，2003年7月16日，Microsoft公司公布MS03-026 Microsoft Windows DCOM PRC接口远程缓冲区溢出漏洞，该漏洞影响Windows 2000、Windows XP、Windows Server 2003系统。

第二阶段，2003年7月16日，Microsoft公司公布利用MS03-026补丁修补该漏洞。此后，网络即出现恶意攻击者利用该漏洞入侵。

第三阶段，2003年8月11日，爆发利用上述Windows漏洞的“冲击波”蠕虫病毒。

第四阶段，2003年8月18日，出现一个利用同样原理蔓延的“冲击波清除者”病毒，该蠕虫专门清除原冲击波病毒，但此病毒却消耗了大量Internet带宽，导致互联网连续3个月性能显著下降。

第五阶段，2004年，蠕虫传播被明显遏制。Microsoft公司估计全球有1 000万台主机受感染。

据报道，全世界平均每20秒发生一次计算机网络遭侵害事件。日常使用的U盘等移动存储设备与E-Mail、网上浏览、文件下载以及聊天方式都可能感染病毒，甚至用户没有任何操作也会使系统感染病毒。我国企业主体中95%以上是中小企业，安全问题尚未引起足够重视，网络系统的企业用户安全问题严重。

本任务的核心内容是，学生在老师示范与指导下为自己的计算机进行漏洞修补、安装防病毒软件，并对操作系统进行安全评价。

任务实施

子任务1　系统漏洞安全加固

系统漏洞安全加固步骤如下：

第一步，加固IIS。首先，删除系统盘符中的Inetpub目录，然后在第二个盘中建一个Inetpub，或干脆换个名字，然后在IIS管理器中将主目录指向新的文件地址；其次，安装补丁文件。为系统安装最新的IIS补丁，并在IIS扣排除恶意用户的访问IP地址。删除IIS中默认支持的ISAPI扩展名，诸如：.htr、.idq、.ism以及.printer（这些可执行脚本的扩展名在IIS安装时缺乏支持，用户很少使用），删除 \inetput\wwwroot\scripts目录中的脚本样本文件。同样，在进行IIS安装时不要安装远程管理工具；最后，根据自己的需要建立，最后备份IIS。

第二步，加固1433端口。根据各自的系统安装下面其中一个补丁，SQL Server 7.0 SP4或SQL Server 2000服务包SP2。

第三步，加固不受保护的Windows网络共享：限制文件访问共享，并指定特定IP的访问限制以避免域名指向欺骗。关闭不必要文件服务，取消这一特性并关闭相应端口（如TCP 139、445端口等）。

第四步，加固匿名登录。用户惟一可补救的是修改注册表限制该潜在威胁。

第五步，加固微软数据访问部件（MDAC）：升级MDAC到2.1或更新的版本。

第六步，加固LAN Manager身份认证：只要用户用不到它，就尽快取消LM认证支持。

第七步，加固Windows身份认证，强化账号策略。首先，系统的账号尽可能少。因为每多一个账号，即增加一分被攻破的概率，故应严格控制账号权限；其次，重命名administrator，改为不易猜测的用户名，避免破解；第三，禁用guest账号，且重命名为复杂的名字，设置一个复杂口令，且从guest组删除，防止黑客利用工具将guest提升到管理员组；第四，建立不易猜测和破解的口令，不要使用弱口令如：zhangsan，iloveyou等；最后，经常改变口令，检查账号。

第八步，加固IE浏览器漏洞，升级并安装补丁文件。微软不再支持版本早于5.01的IE浏览器，故用户须升级至更高版本。

第九步，加固远程注册表访问。限制访问并非软件的bug，而是Windows系统具备的一个特性，用户须通过限制访问权限避免潜在威胁。

第十步，加固WSH（Windows 脚本主机服务），取消WSH。根据赛门铁克公司提供的方法取消系统中的WSH服务，使恶意VB脚本无法自动执行。

子任务2　蠕虫的防治

蠕虫的防治要经历以下三个步骤：

第一步，更新系统补丁。

更新系统补丁的目的之一是堵住系统漏洞。冲击波、震荡波病毒均利用系统存在的不同漏洞入侵并发作，及时更新补丁对防止蠕虫非常重要。

针对Windows操作系统漏洞，各类杀毒软件均提供漏洞扫描功能，同时也有一些专门的漏洞扫描软件。但最有效、最方便的方法是利用Windows操作系统自带的Windows Update补丁管理工具为系统安装补丁程序：企业用户可部署WSUS补丁更新服务器，局域网内部计算机则统一更新系统补丁。

微软公司在微软网站的安全中心提供Microsoft产品的技术支持和安全更新，在微软安全中心可查看Microsoft产品相关安全信息。

网址：http://www.microsoft.com/china/technet/Security/default.mspx，如图3.13所示。

图3.13　TechNet安全中心

由于企业的计算机数量多，网络管理员对每台机器的补丁更新可能不及时，则Windows系统自带的更新功能就会发挥很大作用，Windows Update自动更新的方法是：选择“开始”→“设置”→“控制面板”→“自动更新”命令，在打开如图3.14所示的对话框中进行配置，其中需要选择“自动（建议）”单选按钮，然后在下方的下拉列表中选择自动更新的时间。系统最好每天都要进行更新，更新时间可放在机器和网络较空闲时，如夜里1:00。如此，系统会在用户指定时间自动到Windows Update网站下载并安装最新补丁程序。

图3.14　Windows Update的自动配置对话框

第二步，加强对系统账户名称与密码管理。

目前，有些蠕虫会利用暴力破解法获取系统管理员的账户名和密码，再以系统管理员的身份入侵并破坏系统。因此，加强系统管理员账户和密码的管理十分重要。

Administrator是大部分操作系统的默认系统账户，为防止蠕虫，用户可将Administrator更名或创建安全账户。创建安全系统账户的方法如下：

一是，在本地计算机中，打开“计算机管理”控制台，依次展开“系统工具”→“本地用户和组”→“用户”，便可看到本地计算机中所有的用户账户，如图3.15所示。

图3.15　“计算机管理”控制台

二是，右击“用户”项，在弹出的快捷菜单中选择“新用户”命令，系统显示如图3.16所示的“新用户”对话框。

图3.16　“新用户”窗口

在“用户名”文本框中键入新用户名，在“密码”和“确认密码”文本框中给该用户账户设置一个密码。密码认证方式选择方法：

（1） 用户下次登录须更改密码。当希望该用户成为惟一知道其密码的人时，应使用该选项。

（2） 用户不能更改密码。当希望保留对用户账户（如来宾或临时账户）的控制权，或该账户是由多个用户使用时，应使用该选项。此时，“用户下次登录时须更改密码”复选框须清空。

（3） 密码永不过期。建议“服务”账户启用该选项，且应使用强密码，而其他类型用户则应取消对该复选框的选择。

（4） 账户已禁用。如选中该复选框，则禁止使用该用户账户。员工暂时离开公司时（如休假），其账户应被禁用。

三是，单击“创建”按钮，即可创建一个新的用户账户。如无特殊要求，用户不要在系统中创建太多账户，尤其是与Administrator具有相同权限的管理员账户。对于Guest账户，如不需要可将其停用或直接删除。

对于Administrator和Guest账户，除设置较为复杂的密码外，还可将两个账户调换，方法为选择“开始”→“运行”命令，在打开的对话框中输入gpedit.msc，单击“确定”按钮后，在打开的“组策略”窗口中选择“Windows设置”→“本地策略”→“安全选项”，右侧窗口将显示“重命名来宾账户”和“重命名系统管理员账户”两项，如图3.17所示。

图3.17　组策略设置窗口

通过利用这两个策略，给蠕虫设置一个陷阱，即使蠕虫获取了Administrator密码，其入侵系统后也只能以Guest身份进行操作，减小其对系统的破坏性。

第三步，取消共享连接。

文件和文件夹共享及IPC（Internet Process Connection）连接是蠕虫经常使用的入侵途径，用户应该关闭不需要的共享文件或文件夹及IPC，防止蠕虫入侵。操作方法：

选择“开始”→“运行”菜单命令，在弹出的“运行”对话框中输入services.msc命令，在打开的“服务”窗口中，找到Server服务，单击鼠标右键，如图3.18所示在弹出的快捷菜单中选择“停止”命令，将停止所有的共享服务。

图3.18　停止Server服务

子任务3　木马的防治

木马的防治步骤如下：

第一步，防止以电子邮件方式植入木马。木马在电子邮件中通常存在于正文和附件中，一旦用户打开藏有木马的附件，便将木马植入到系统中。因此，用户不要随意打开来路不明的电子邮件。

第二步，防止下载文件时植入木马。为防止从网上下载文件时植入木马，用户在服务器上安装的所有软件不要从网上下载。如确需下载，一定在下载前用病毒查杀软件扫描后方可安装。

第三步，防止在浏览网页时植入木马。为防止在浏览网页时植入木马，用户使用IE时，应及时升级Services Pack补丁程序，以修补IE存在的漏洞。同时，还要进行IE的安全设置，具体方法为：打开IE浏览器，选择“工具”→“Internet选项”→“安全”，在如图3.19和图3.20所示的“自定义级别”对话框中将“Active X控件和插件”下的选项全部设置为“禁用”，从而阻止IE自动下载和执行文件的可能性。

图3.19　“Internet选项”对话框

图3.20　禁用Active X控件和插件

子任务4　脚本病毒的清除和防治方法

脚本病毒的清除和防治有以下两种方法：

第一步，网页脚本病毒防治。打开Internet Explore浏览器，点击“工具”→“Internet选项”，打开“安全”选项卡，弹出图3.21所示对话框，点击“自定义级别”，在图3.22的“安全设置”对话框中，将下载ActiveX控件和插件的功能全部设置为“禁用”。

图3.21　Internet属性对话框

图3.22　设置ActiveX控件和插件

第二步，局域网中脚本病毒防治。在打开的文件夹中，选择“工具”→“文件夹选项”→“查看”，打开图3.23所示的“文件夹选项”对话框，取消对“隐藏已知文件类型的扩展名”的选取，然后单击“确定”按钮即可。

图3.23　“文件夹选项”对话框

知识拓展

一、漏洞管理流程

一个完善的漏洞管理流程应该包括安全策略、漏洞预警、漏洞检测、漏洞分析、漏洞修补、漏洞审计跟踪6部分。

（一）安全策略

为整个网络的安全设备、服务器、网络设备、应用程序和终端计算机指定严格的安全策略，并保证应用的策略可以强制分发和配置。

（二）漏洞预警

利用微软公司网站安全中心提供的Microsoft产品获得安全信息能及时将最新漏洞信息传达给网络管理员。

（三）漏洞检测

利用常用的漏洞扫描工具进行网络检测。不过，并非检测到的漏洞越多表明工具越好，而是要对检测的有效性进行验证和分析，并能为管理员提供必要解决方案。常用的漏洞扫描工具有：

（1） Microsoft Baseline Security Analyzer。微软公司提供的免费安全分析工具，网址：http://www.microsoft.com/downloads/details.aspx?Familyld=484ABA03-B5F3-4DAD-BE9D-7851 EC2E5AC9&displaylang=en。

（2） 金山毒霸漏洞扫描工具。珠海金山软件股份有限公司提供在线和离线两种模式的漏洞扫描工具。网址：http：//news.duba.net/seleak/。

（3） 瑞星漏洞扫描工具。北京瑞星科技股份有限公司提供的漏洞扫描工具，网址http://www.rising.com.cn/default sv.htm。

（4） X-scan。免费的漏洞扫描工具，网址http://www.xfocus.net/。

（四）漏洞统计分析

漏洞检测完成后，通过具体报告和数据对资产风险进行评估、分析，清楚显示漏洞的分布状况、详细描述与相应的解决方案。尤其需要注意的是，要对网络中的资产风险进行分类，以便对后续漏洞修补工作进行优先级区分。这个过程也可通过购买专业的漏洞管理软件或由专业安全服务系统提供商完成。

常用的工具软件：

（1） Microsoft Systems Management Server：微软公司提供的网络管理软件。

（2） X-scan：免费的漏洞扫描工具。网址http://www.xfocus.net/。

（五）漏洞修补

借助统计分析结果制作切实可行的漏洞修补方案，并以合理方式通知终端用户。既可通过补丁服务器提供最新漏洞修补程序，供终端用户下载和安装，也可使用组策略方式分发补丁，或通过用户登录到域时执行脚本的方式解决。

绝大多数蠕虫病毒借助系统漏洞进行传播，扫描和利用系统漏洞是“黑客”最常用的攻击手段。因此，网络安全的基本保障就是系统补丁的安装管理。系统补丁的实施结果将直接影响网络运行的稳定性，用户必须制定一套完备的补丁修补策略。

根据计算机安全研究组织SANS（System Administration，Networking and Security，即系统管理、网络和安全学会）的研究表明，Windows系统存在十个严重漏洞：

（1） IIS（互联网信息服务器）。IIS是众多组件中漏洞最多的一个，微软的IIS服务器不能正确解析HTTP的URL请求，缓冲区溢出等漏洞，难以适应过滤客户端请求。

（2） 1433端口。微软SQL Server Internet Storm Center始终警告用户微软SQL数据库的1433端口是攻击者必定扫描的十大现存漏洞端口之一。

（3） 不受保护的Windows网络共享。由于使用服务器信息块（SMB）协议或通用互联网文件系统（CIFS），方便远程用户访问本地文件的同时也向攻击者开放了系统。互联网文件系统（CIFS）机制可以使攻击者获取系统的敏感信息。

（4） 匿名登录。Windows操作系统的账户服务至关重要，一旦用户通过匿名登录进程（空对话）即可匿名访问其他系统的文件。与此同时，攻击者也可匿名进入系统。Null Session被视为Windows 2000自带的一个后门。建立一个空会话后，一台配置不到位的WIN 2000服务器将能得到非常多的信息，比如枚举账号等。

（5） 微软数据访问部件（MDAC）。微软数据访问部件的远程数据服务单元有一个编码错误，远程访问用户有可能通过这一漏洞获取远程管理权限，并有可能使数据库遭到外部匿名攻击。

（6） LAN Manager身份认证。尽管Windows多数用户不再需要LAN Manager支持，微软还是在Windows NT和Windows 2000系统默认安装LAN Manager口令散列。由于LAN Manager使用早期加密机制比微软现行方法脆弱，所以即使相当强健的LAN Manager口令也能在很短时间内被破解。

（7） Windows身份认证脆弱的密码是管理隐患。尽管各种系统设置都要求用户使用足够强壮的密码并定期更换，但用户往往抱怨系统管理员的各种限制，由此引发访问控制的脆弱性。系统管理员应该理直气壮地要求用户遵守足够强壮的密码策略。

（8） IE浏览器漏洞。IE浏览器用户面临几个方面威胁：ActiveX控件、脚本漏洞、MIME类型内容的误用和缓存区溢出等。

（9） 远程注册表访问。任何Windows系统的注册表都是最重要的文件，而允许远程访问注册表则会带来很大危害。

（10）WSH（Windows 脚本主机服务）。WSH的VB编辑功能非常方便，但类似“爱虫”和其他VB脚本蠕虫病毒却会给用户系统带来难以预见的灾难，用户无意间下载的该类恶意脚本文件，很可能通过WSH服务自动在系统中执行。

二、计算机病毒的概念

计算机病毒并非新产物。早在1949年，计算机鼻祖冯·诺依曼就在一篇论文中勾勒出计算机病毒的蓝图：“一种能够在内存中自我复制的计算机程序。”——计算机病毒就是一个程序，一段可执行代码。

1994年2月18日，我国正式颁布实施《中华人民共和国计算机信息系统安全保护条例》。该条例第二十八条中明确指出：“计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码”。

从不同角度给出的计算机病毒定义还有：其一，计算机病毒是通过磁盘、磁带和网络等媒介传播扩散，能“传染”其他程序的程序；其二，计算机病毒是能够自我复制且借助一定的载体存在的具有潜伏性、传染性和破坏性的程序；其三，计算机病毒是一种人为制造的程序，它通过不同的途径潜伏或寄生在存储媒体（如磁盘、内存）或程序里，当某种条件或时机成熟时，它能够自我复制并传播，使计算机的资源受到不同程度的破坏。

计算机病毒就像生物病毒一样具有独特的复制能力，蔓延迅速，难以根除。计算机病毒附着在各种类型文件上，当文件被复制或从一个用户传送到另一用户时，病毒即随同文件一起蔓延开来。除复制能力外，计算机病毒还有其他共性——被污染的程序能够传送病毒载体。病毒发作时可能毁坏文件，甚至格式化硬盘；或引发其他类型灾害；或通过占据存储空间降低计算机性能等。

总之，计算机病毒是能够通过某种途径潜伏在计算机存储介质或程序里，当达到某种条件时能自动激活、对计算机资源进行破坏的一组程序或指令集合。

三、计算机病毒案例

下面简要介绍几起典型的计算机病毒案例。

（1）“蠕虫”病毒案。1988年，美国CORNELL大学研究生莫里斯编写了在Internet上大肆传播的“蠕虫”病毒，使6 000台计算机停止运行。

（2）“美丽杀”病毒案。1999年3月28日，美国发生了历史上第二次重大全国性计算机病毒灾难，“美丽杀”于3月26日诞生，只用一天即传遍全美国。据美国网络联盟（NAI）估计，该病毒感染了数以百万计的计算机。其后，“美丽杀”的一种变种又在网上传播，致使波音公司被迫关闭150 000余名员工使用的电子邮件系统。

（3）“CIH”病毒案。1999年4月26日，CIH病毒大爆发，我国受其影响的PC机总量达36万台之多。此次事件造成的经济损失近12亿元。

（4）“爱虫”病毒案。2000年5月4日，“爱虫”病毒大肆袭击美国和欧洲的计算机系统，美国参议院、美国国防部、英国众议院、伦敦金融城等诸多机构均遭“爱虫”病毒攻击，至4日上午9时，该病毒在北美造成的经济损失即达14亿美元。美国加利福尼亚研究机构的数据表明，“爱虫”病毒爆发两天后，全球约有4 500万台计算机被感染。

四、计算机病毒的特征

目前，世界范围内已发现的计算机病毒达几万种。尽管这些病毒的传染方式和目标不一，发作条件各异，干扰和破坏程度不同，但都具有如下共同特征：

（一）计算机病毒的程序性（可执行性）

计算机病毒与其他合法程序一样，是一段可执行程序，但又不是一个完整程序，而是寄生在其他可执行程序上的程序，因此它拥有一切程序所能得到的权利。计算机运行时，病毒便与合法程序争夺系统的控制权。计算机病毒只有在计算机内得以运行时，才具有传染性和破坏性。即计算机CPU的控制权是关的，在这台计算机上可以查看病毒文件的名字，查看计算机病毒的代码，打印病键。若计算机在正常程序控制下运行，而不运行带病毒的程序，则这台计算机是可靠毒代码，甚至可以复制病毒程序，却不会感染病毒。

相反，计算机病毒一经在计算机上运行，就会与其他程序争夺系统控制权，表现出病毒症状，甚至造成系统崩溃，导致计算机瘫痪。反病毒技术就是要控制病毒取得计算机系统的控制权，识别计算机病毒的代码和行为，阻止其取得系统控制权。好的反病毒系统不仅能准确识别已知计算机病毒代码，阻止其运行，还应识别未知计算机病毒在系统内的行为，阻止其传染和破坏系统。

（二）传染性

传染性是病毒的基本特征。计算机病毒一旦进入计算机并得以执行，就会搜索其他符合其传染条件的程序或存储介质，将自身代码插入其中，达到自我复制的目的。通过自我复制，病毒迅速扩散到整个系统。

（三）寄生性

病毒程序会嵌入宿主程序，依赖宿主程序的存在而生存，即计算机病毒的寄生性。病毒程序侵入宿主程序后，会对宿主程序进行一定程度的修改。当病毒激活条件一旦满足，病毒程序即被激活，从而自我复制。

（四）破坏性

任何病毒只要侵入系统，就会对系统及应用程序产生不同程度的影响，轻者降低计算机工作效率，占用系统资源；重者导致系统瘫痪。根据这个特性可将病毒分为良性病毒与恶性病毒。良性病毒只显示某些画面或播放音乐，展示无聊语句，或没有任何破坏动作（但会占用系统资源）；恶性病毒则有明确的目的，或破坏数据、删除文件，或加密磁盘、格式化磁盘，造成不可挽回的损失。

（五）隐蔽性

病毒是具有很高编程技巧的程序员编写的短小精悍的程序，通常附在正常程序中或磁盘隐蔽处，个别的会以隐含文件形式出现，以防用户发现它的存在。大部分病毒代码之所以非常短小，也是为了便于隐藏。病毒一般只有几百或几千字节，不用IS即可完成存取，不易被人发现。计算机病毒隐蔽性的严重危害在于传染过程隐蔽，且传染速度极快，传染时没有外部表现，不易被人发现。

（六）主动攻击性

病毒对系统的攻击是主动的。一定程度上讲，计算机系统很难彻底排除病毒对系统的攻击，保护措施仅是一种预防的手段。

（七）针对性

计算机病毒一般是针对特定计算机或特定操作系统或特定格式的文件。例如，有一种病毒就是专门针对IBM PC机及其兼容机编写出来的。

（八）潜伏性

计算机病毒侵入系统后通常并不马上发作，而是隐藏在磁盘或磁带的合法文件中几周或几个月甚至几年，一旦时机成熟获得运行机会，就会四处传染、扩散，危害各系统。病毒的潜伏性愈强，其在系统中存在时间会愈长，其传染范围就愈大。

潜伏性的一种表现是，不用检测程序难以检查出病毒程序，它能静静地躲在磁盘或磁带里几天、几个月，甚至几年；潜伏性的另一表现是，计算机病毒具有一种触发机制，不满足触发条件时，计算机病毒除四处传染外不做大的破坏，而一旦触发条件得到满足，病毒就会运行造成严重危害。

（九）可触发性

计算机病毒因某个事件或数值的出现，引起病毒实施感染或进行攻击的特性称为可触发性。为了隐蔽自己，病毒一方面潜伏、隐蔽自己，少做动作，一方面又要维持杀伤力，必然具有可触发性。病毒一般具有时间、日期、文件类型或某些特定数据等预定的触发条件，病毒的触发机制能控制感染和破坏动作的频率。病毒的触发机制是检查预定条件是否满足，一旦满足了预定的触发条件，病毒就会运行、感染甚至破坏；如不满足，则继续潜伏。

（十）欺骗性

计算机病毒一般行动诡秘，用户对其反应迟缓、不知情时，往往会在病毒的侵害中操作，导致病毒轻易地获得成功。

五、蠕虫的清除和防治方法

第一个不需要人为干涉就能在互联网上活动的蠕虫是在1988年被罗伯特·莫里斯释放的莫里斯蠕虫。它在几个小时之内迅速感染了所能找到的存在漏洞的计算机。莫里斯蠕虫的出现开创了蠕虫病毒的时代，在这之后诞生的各种蠕虫基本都是使用了和莫里斯蠕虫的相类似的技术。莫里斯蠕虫感染几种类型的机器（Sun 3s和VAXes），利用多种系统漏洞进行传播，还采用了多线程的技术来改善攻击时的性能。

尽管莫里斯释放这个蠕虫只是为了验证理论，并没有什么恶意。不过出于他的程序存在一个Bug，蠕虫会重复感染机器，在一台机器上运行的蠕虫数量不断增加，最后导致系统资源被耗尽而瘫痪。

莫里斯蠕虫事件之后很长一段时间内，蠕虫病毒并没有在计算机病毒发展史上有太大的作为。尽管也出现过其他的一些蠕虫病毒，但是并没有给世界造成太大的影响。1999年，梅丽莎（Mellisa）蠕虫病毒的出现改变了这一切。感染了梅丽莎蠕虫病毒的文件在首次打开的时候，蠕虫会打开Outlook的地址簿，然后将自身的副本发送到地址簿中的前50个邮件地址。为迷惑用户，病毒邮件的标题是一个很多人都关心的话题。

梅丽莎诞生之后，很快出现了越来越多的电子邮件病毒，传播的特点各不相同。例如IloveYou病毒，采用了社会工程学的原理，使用一个非常有诱惑力的电子邮件标题来诱使用户将病毒邮件打开：而Sircam则因为能将用户计算机上的文件发送出去而成为第一个间谍蠕虫。

红色代码病毒是一个主动传染的蠕虫病毒，能主动查找互联网上可感染的计算机进行攻击。红色代码病毒利用了一个Windows NT和Windows 2000自带的Web服务软件IIS存在的缓存溢出漏洞进行快速的传播，在24小时内就可快速拓展到全球范围。

红色代码之后的Nimda蠕虫更是集成了多种蠕虫的传播方式，成为近期对全球造成损失最大的病毒。

（一）蠕虫的特性

蠕虫（Worm）是通过分布式网络来扩散特定的信息，进而造成正常的网络服务遭到拒绝并发生死锁的程序。蠕虫侵入计算机网络可以导致计算机网络效率急剧下降、系统资源遭到严重破坏，短时间内造成网络系统的瘫痪，蠕虫具有以下特性：

1. 传播速度快

蠕虫在网络中传染速度极快，其扩散范围很大，不但能迅速传染局域网内所有的计算机，还能通过Internet将蠕虫传播出去。目前比较流行的Office蠕虫病毒无论是给企业内部还是给事业单位都带来了很大的困扰。

2. 清除难度大

一旦互联网中的一台主机感染蠕虫，可能导致整个网络被病毒感染，由此带来的清除工作也相当艰巨，因为刚刚完成清除工作的一台主机马上就可能被网络上的另一台主机的病毒所传染。

3. 破坏性强

网络中蠕虫将直接影响网络的工作状态，轻则降低速度，影响工作效率，重则造成网络系统的瘫痪，破坏服务器系统资源，使系统数据毁于一旦。例如，目前在局域网中泛滥的ARP欺骗便属于蠕虫。

（二）系统感染蠕虫后的表现

当计算机系统感染蠕虫后，表现为：系统运行速度和上网速度均变慢，如果网络中有防火墙，防火墙会产生报警等。以下是不同类型蠕虫的传播和破坏系统的表现。

1. 感染Office的蠕虫

这个病毒会搜索U盘等移动存储设备和网络驱动器上的Word文档，并试图用自身来覆盖找到的Word文档，以达到传播的目的，同时也破坏了原有文档的数据。当用户误点击经过伪装的病毒后，病毒就会发作，先将硬盘里面所有的Word文档建立一个列表，然后逐一将这些文件删除，同时修改注册表键值，以达到隐藏扩展名的目的。这样一来，用户无论如何也查看不到文件的扩展名。该病毒还能自动加载到U盘的自动运行文件里，一旦用户将感染了病毒的U盘插入计算机，病毒就会自动运行，导致所有Word文档神秘失踪。

2. 利用系统漏洞进行破坏的蠕虫

此类蠕虫主要有“红色代码”、“尼姆达”和“求职信”等，它们利用Windows操作系统中IE浏览器的漏洞，当通过Web方式接收邮件时，使得感染了“尼姆达”病毒的邮件，即使用户不打开它的附件，该类病毒也能够被激活，进而对系统进行破坏。“红色代码”则是利用了Windows操作系统中IIS的漏洞来传播。而“SQL蠕虫王”是利用了Microsoft公司的SQL Server数据库系统的漏洞进行大肆攻击。

“冲击波”病毒以及“震荡波”病毒也是利用系统漏洞进行破坏的蠕虫病毒，其中毒现象如图3.24和图3.25所示。

图3.24　Windows系统感染冲击波病毒后显示的关机界面

图3.25　Windows系统感染震荡波 病毒后显示的关机界面

3. 通过网页进行触发的蠕虫

蠕虫的编写技术与传统的病毒有所不同，许多蠕虫是利用当前最新的编程语言与编程技术来编写的，而且同一蠕虫程序易于修改，从而产生新的变种，以逃避反病毒软件的搜索。现在大量的蠕虫用Java、ActiveX和VBScript等技术，多潜伏在HTML页面文件里，当打开相应的网页时则自动触发。

六、木马的清除和防治方法

（一）木马的特征

特洛伊木马（简称木马）由于不感染其他的文件，也不破坏计算机系统，同时也不进行自我复制，所以不具有传统计算机病毒的特征。木马是主要用来作为远程控制、窃取密码的工具，是一个具有内外连接功能的后门程序。

一般木马程序包括客户端和服务器端两个程序，其中客户端用于攻击者远程控制植入木马的计算机（即服务器端）。当木马程序或带有木马的其他程序执行后，木马首先会在系统中潜伏下来，并修改系统的配置参数，每次启动系统时都能够实现木马程序的自动加载。图3.26为木马系统的组成，其工作方式属于客户机/服务器模式，其中，客户端在本机主机执行，用来控制服务器端。而服务器则在远程主机上执行，一旦执行成功该主机就中了木马，就会被控制者远程管理。

图3.26　木马系统的组成

木马按以下流程进行攻击：配置木马→传播木马（利用文件下载或E-mail等方式）→运行木马（自动安装并运行）→信息泄露→建立连接→远程控制。如图3.27所示。

图3.27　木马运行过程

（二）系统中植入木马后的症状

Windows系统中植入木马后表现为：

1. 随意弹出窗口

虽然用户的计算机已经连接在互联网上，但并没有打开任何浏览器，此时如果系统突然弹出一个不明窗口，并打开了某一个网站，这时有可能运行了木马。若用户上网使用的是拨号方式，当系统突然自动拨号时，也有可能是有木马运行。

2. 系统配置参数发生改变

Windows操作系统的配置参数比如系统的日期和时间显示、声音控制、鼠标的形状及灵敏度、CD-ROM自动运行等莫名其妙地被自动更改。

3. 频繁地读写硬盘

在计算机上并未进行任何操作时，如果系统频繁地读写硬盘（如硬盘指示灯会不停地闪烁）也是木马入侵后的表现。

七、脚本病毒的特点

脚本病毒一般通过电子邮件的附件，局域网共享和HTML、ASP、JSP、PHP网页等方式传播。在传播过程中，脚本病毒存在着以下特点：

（1）运行时需要FileSystemObject（文件系统对象）的支持。

（2）运行时需要通过Windows脚本宿主来解释执行。

（3）运行时需要其关联程序文件Wscript.exe的支持。

（4）当通过网页传播时需要ActiveX控件的支持。

（5）当通过电子邮件传播时需要Outlook的支持。

（一）网页脚本病毒

根据微软公司权威软件开发指南MSDN（Microsoft Developer Network）的定义，ActiveX控件，是一些软件组件或对象，可以将其插入到Web网页或其他应用程序中。

一般软件需要用户单独在操作系统上进行安装，而ActiveX控件是当用户浏览到特定的网页时，Internet Explore浏览器即可自动下载并提示用户安装。ActiveX控件安装的一个前提是必须经过用户的同意或确认。

网页脚本病毒与ActiveX控件之间存在着一种依赖关系，如果在技术上保证了ActiveX控件的安全，也就保证了网页的安全。

（二）局域网中脚本病毒

大多数企业组建局域网的主要目的是实现资源共享，而局域网中的资源共享正是大多数脚本病毒传播的首选途径。而且，局域网中的脚本病毒很难彻底清除，只要有一台计算机未彻底地清除病毒，就会使局域网中的清除病毒工作前功尽弃。当这台未清除病毒的计算机接入局域网后，病毒就会利用网络很快再次传播开来。

局域网脚本病毒入侵的方法很简单，脚本病毒主要是利用共享资源的“可写”属性，以将病毒文件放入共享文件夹，或添加到共享文件夹中的文件中。

任务总结

随着网络技术的日新月异，网络的安全漏洞也层出不穷，且攻击的手法千变万化，越来越高明。从技术上讲，攻击者入侵的动机是企图成为目标主机主人，他们一旦获得一台网络主机的超级用户权限，就会在该主机上任意修改资源配置、安置特洛伊木马程序、植入病毒、执行任意进程等。因此，每个人的计算机都面临被攻击的威胁，只要使用计算机网络，就难免遭受攻击。本任务的主旨是指导和培训学生掌握漏洞的扫描与病毒防治技能，有效维护和保证计算机操作系统的安全性。

任务评价

一、评价方法

本任务采用学生自我评价和教师评价的方法，对学习目标进行检验。学生本人首先对自己的任务完成情况进行自查，找出成绩分析不足；最后教师针对每一位同学的系统设置给出评价结论，指出改进和努力的方向。

二、评价指标