目前计算机病毒只有网络型病毒

随着计算机技术和网络技术的飞速发展和广泛应用， 计算机病毒也随之出现。 如今， 计算机病毒已在全球泛滥， 严重威胁着计算机信息系统的安全。 因此， 如何适时有效地检测与防治计算机病毒已成为人们普遍关注的重要课题。

7.2.1 计算机病毒的定义

计算机病毒 (Computer Virus) 在 《中华人民共和国计算机信息系统安全保护条例》 中被明确定义为: “编制或者在计算机程序中插入的破坏计算机功能或者破坏数据， 影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。” 而在一般教科书及通用资料中被定义为: 利用计算机软件与硬件的缺陷，由被感染机内部发出的破坏计算机数据并影响计算机正常工作的一组指令集或程序代码。 计算机病毒最早出现在20世纪70年代David Gerrold的科幻小说When H.A.R.L.I.E.was One。 其最早科学的定义出现在1983年Fred Cohen (南加大)的博士论文 《计算机病毒实验》 中， 即 “一种能把自己 (或经演变) 注入其他程序的计算机程序”。 启动区病毒、 宏 (Macro) 病毒、 脚本 (Script) 病毒的概念、 传播机制与生物病毒类似， 生物病毒是把自己注入细胞之中。 例如， 前些年的“熊猫烧香病毒” 便是一个典型的示例，如图7-1所示。

图7-1 熊猫烧香病毒

7.2.2 计算机病毒的特征

计算机病毒具有以下几个特点。

1. 寄生性

计算机病毒寄生在其他程序之中， 当执行这个程序时， 病毒就起破坏作用，而在未启动这个程序之前， 它不易被人发觉。

2. 传染性

计算机病毒不但本身具有破坏性， 且具有传染性， 一旦病毒被复制或产生变种， 其传播速度之快令人难以预防。 传染性是病毒的基本特征。 在生物界， 病毒通过传染， 从一个生物体扩散到另一个生物体， 在适当的条件下， 它可得到大量繁殖， 并使被感染的生物体表现出病症甚至死亡。 同样， 计算机病毒也会通过各种渠道从已被感染的计算机扩散到未被感染的计算机， 在某些情况下造成被感染的计算机工作失常甚至瘫痪。 与生物病毒不同的是， 计算机病毒是一段人为编制的计算机程序代码， 这段程序代码一旦进入计算机并得以执行， 就会搜寻其他符合其传染条件的程序或存储介质， 确定目标后再将自身代码插入其中， 达到自我繁殖的目的。 只要一台计算机染毒， 如不及时处理， 那么病毒会在这台机子上迅速扩散， 其中的大量文件 (一般是可执行文件) 会被感染， 而被感染的文件又成了新的传染源， 再与其他机器进行数据交换或通过网络接触， 继续传播病毒。正常的计算机程序一般不会将自身的代码强行连接到其他程序之上， 而病毒却能使自身的代码强行传染到一切符合其传染条件的未受到传染的程序之上。 计算机病毒可通过各种可能的渠道， 如软盘、 计算机网络去传染其他的计算机。 当您在一台机器上发现了病毒时， 往往曾在这台计算机上用过的软盘、 U盘等已感染上了病毒， 而与这台机器相联网的其他计算机很可能也被传染上该病毒。 是否具有传染性是判别一个程序是否为计算机病毒的最重要条件。 病毒程序通过修改磁盘扇区信息或文件内容并把自身嵌入到其中的方式达到病毒的目的。 被嵌入的程序叫作宿主程序。

3. 潜伏性

有些病毒像定时炸弹一样， 什么时间发作是预先设计好的。 比如黑色星期五病毒， 不到预定时间一点都觉察不出来， 等到条件具备的时候一下子就爆炸开来， 对系统进行破坏。 一个编制精巧的计算机病毒程序， 进入系统之后一般不会马上发作， 可以在几周， 或者几个月内， 甚至几年内隐藏在合法文件中， 对其他系统进行传染， 而不被人发现， 潜伏性越好， 其在系统中的存在时间就会越长，病毒的传染范围就会越大。 潜伏性的第一种表现是指， 病毒程序不用专用检测程序检查不出来， 因此病毒可以静静地躲在磁盘或磁带里待上几天， 甚至几年， 一旦时机成熟， 得到运行机会， 就会四处繁殖、 扩散， 继续为害。 潜伏性的第二种表现是指， 计算机病毒的内部往往有一种触发机制， 不满足触发条件时， 计算机病毒除了传染外不做什么破坏。 触发条件一旦得到满足， 有的在屏幕上显示信息、 图形或特殊标识， 有的则执行破坏系统的操作， 如格式化磁盘、 删除磁盘文件、 对数据文件做加密、 封锁键盘以及使系统锁死等。

4. 隐蔽性

计算机病毒具有很强的隐蔽性， 有的可以通过病毒软件检查出来， 有的根本就查不出来， 有的时隐时现、 变化无常， 这类病毒处理起来通常很困难。

5. 破坏性

计算机中毒后， 可能会导致正常的程序无法运行， 甚至把计算机内的文件删除或受到不同程度的损坏， 通常表现为增、 删、 改、 移。

6. 可触发性

病毒因某个事件或数值的出现， 诱使病毒实施感染或进行攻击的特性称为可触发性。 为了隐蔽自己， 病毒必须潜伏， 少做动作。 如果完全不动， 一直潜伏的话， 病毒既不能感染也不能进行破坏， 便失去了杀伤力。 病毒既要隐蔽又要维持杀伤力， 它必须具有可触发性。 病毒的触发机制就是用来控制感染和破坏动作的频率的。 病毒具有预定的触发条件， 这些条件可能是时间、 日期、 文件类型或某些特定数据等。 宿主运行时， 触发机制检查预定条件是否满足， 如果满足， 启动感染或破坏动作， 使病毒进行感染或攻击； 如果不满足， 使病毒继续潜伏。

7.2.3 计算机病毒的分类

根据多年对计算机病毒的研究， 按照科学、 系统、 严密的方法， 计算机病毒可按照病毒属性的方法进行分类， 其分类如下。

1. 按病毒存在的媒体分类

根据病毒存在的媒体， 病毒可以划分为网络病毒、 文件病毒和引导型病毒。网络病毒通过计算机网络传播感染网络中的可执行文件； 文件病毒感染计算机中的文件 (如: COM， EXE， DOC等)； 引导型病毒感染启动扇区 (Boot) 和硬盘的系统引导扇区 (MBR)； 还有这三种情况的混合型。 例如， 多型病毒 (文件和引导型) 感染文件和引导扇区两种目标， 这样的病毒通常都具有复杂的算法， 它们使用非常规的办法侵入系统， 同时使用了加密和变形算法。

2. 按病毒传染的方法分类

根据病毒传染的方法可分为驻留型病毒和非驻留型病毒， 驻留型病毒感染计算机后， 把自身的内存驻留部分放在内存 (RAM) 中， 这一部分程序挂接系统调用并合并到操作系统中去， 它处于激活状态， 一直到关机或重新启动。 非驻留型病毒在得到机会激活时并不感染计算机内存， 一些病毒在内存中留有小部分，但是并不通过这一部分进行传染， 这类病毒也被划分为非驻留型病毒。

3. 按病毒破坏的能力分类

(1) 无害型: 除了传染时减少磁盘的可用空间外， 对系统没有其他影响。

(2) 无危险型: 这类病毒仅仅是减少内存、 显示图像、 发出声音及同类音响。

(3) 危险型: 这类病毒会在计算机系统操作中造成严重的错误。

(4) 非常危险型: 这类病毒会删除程序、 破坏数据、 清除系统内存区和操作系统中的重要信息。

4. 按病毒的算法分类

(1) 伴随型病毒。 这一类病毒并不改变文件本身， 它们根据算法产生EXE文件的伴随体， 具有同样的名字和不同的扩展名 (COM)。

(2) “蠕虫” 型病毒。 通过计算机网络传播， 不改变文件和资料信息， 利用网络从一台机器的内存传播到其他机器的内存， 将自身的病毒通过网络发送。 有时它们存在于系统中， 除了内存一般不占用其他资源。

(3) 寄生型病毒。 除了伴随型和 “蠕虫” 型， 其他病毒均可称为寄生型病毒， 它们依附在系统的引导扇区或文件中， 通过系统的功能进行传播， 按其算法不同可分为以下两种。

①练习型病毒。 病毒自身包含错误， 不能进行很好地传播， 例如一些在调试阶段的病毒。

②诡秘型病毒。 它们一般不直接修改DOS中断和扇区数据， 而是通过设备技术和文件缓冲区等进行DOS的内部修改， 占用资源不易被发现， 使用比较高级的技术， 利用DOS空闲的数据区进行工作。

③变型病毒 (又称幽灵病毒)。 这一类病毒使用一个复杂的算法， 使自己每传播一份都具有不同的内容和长度。 它们一般是由一段混有无关指令的解码算法和被变化过的病毒体组成。

7.2.4 计算机病毒的发展

在病毒的发展史上， 病毒的出现是有规律的， 一般情况下， 一种新的病毒技术出现后， 会迅速发展， 接着， 反病毒技术的发展会抑制其流传。 操作系统升级后， 病毒也会调整为新的方式， 产生新的病毒技术。 它可划分为以下几个阶段。

1.DOS引导阶段

1987年， 计算机病毒主要是引导型病毒， 具有代表性的是 “小球” 和 “石头” 病毒。 当时的计算机硬件较少， 功能简单， 一般需要通过软盘启动后使用。引导型病毒利用软盘的启动原理工作， 修改系统启动扇区， 在计算机启动时首先取得控制权， 减少系统内存， 修改磁盘读写中断， 进而影响系统工作效率， 在系统存取磁盘时进行传播。

1989年， 引导型病毒发展到可以感染硬盘， 典型的代表有 “石头2”。

2.DOS可执行阶段

1989年， 可执行文件型病毒出现， 它们利用DOS系统加载执行文件的机制工作， 代表为 “耶路撒冷” “星期天” 病毒。 病毒代码在系统执行文件时取得控制权。 修改DOS中断， 在系统调用时进行传染， 并将自己附加在可执行文件中，使文件长度增加。

1990年， 发展为复合型病毒， 可感染COM和EXE文件。

3. 伴随、 批次型阶段

1992年， 伴随型病毒出现， 它们利用DOS加载文件的优先顺序进行工作，具有代表性的是 “金蝉” 病毒， 它感染EXE文件时生成一个和EXE同名但扩展名为COM的伴随体； 它感染文件时， 改原来的COM文件为同名的EXE文件，再产生一个原名的伴随体， 文件扩展名为COM， 这样在DOS加载文件时， 病毒就取得控制权。 这类病毒的特点是不改变原来的文件内容、 日期及属性， 解除病毒时只要将其伴随体删除即可。 在非DOS操作系统中， 一些伴随型病毒利用操作系统的描述语言进行工作， 具有典型代表的是 “海盗旗” 病毒， 它在得到执行时， 询问用户名称和口令， 然后返回一个出错信息， 将自身删除。 批次型病毒是工作在DOS下的和 “海盗旗” 病毒类似的一类病毒。

4. 幽灵、 多形阶段

1994年， 随着汇编语言的发展， 实现了同一功能可以用不同的方式完成，这些方式的组合使一段看似随机的代码产生相同的运算结果。 幽灵病毒就是利用这个特点， 每感染一次就产生不同的代码。 例如， “一半” 病毒就是产生一段有上亿种可能的解码运算程序， 病毒体被隐藏在解码前的数据中， 查解这类病毒就必须能对这段数据进行解码， 加大了查毒的难度。 多形型病毒是一种综合性病毒， 它既能感染引导区， 又能感染程序区， 多数具有解码算法， 一种病毒往往要两段以上的子程序方能解除。

5. 生成器、 变体机阶段

1995年， 在汇编语言中， 一些数据的运算放在不同的通用寄存器中， 可运算出同样的结果， 随机地插入一些空操作和无关指令， 也不影响运算的结果， 这样， 一段解码算法就可以由生成器生成， 当生成器的生成结果为病毒时， 就产生了这种复杂的 “病毒生成器”， 而变体机就是增加解码复杂程度的指令生成机制。 这一阶段的典型代表是 “病毒制造机” (VCL)， 它可以在瞬间制造出成千上万种不同的病毒， 查解时不能使用传统的特征识别法， 需要在宏观上分析指令， 解码后查解病毒。

6. 网络、 蠕虫阶段

1995年， 随着网络的普及， 病毒开始利用网络进行传播， 它们只是以上几代病毒的改进。 在非DOS操作系统中， “蠕虫” 是典型的代表， 它不占用除内存以外的任何资源， 不修改磁盘文件， 利用网络功能搜索网络地址， 将自身向下一地址进行传播， 有时也在网络服务器和启动文件中存在。

7. 视窗阶段

1996年， 随着Windows和Windows95的日益普及， 利用Windows进行工作的病毒开始发展， 它们修改NE、 PE文件， 典型的代表是DS.3873。 这类病毒的机制更为复杂， 它们利用保护模式和API调用接口工作， 解除方法也比较复杂。

8. 宏病毒阶段

1996年， 随着Windows Word功能的增强， 使用Word宏语言也可以编制病毒， 这种病毒使用类Basic语言、 编写容易、 感染Word文档等文件， 在Excel和Ami Pro中出现的相同工作机制的病毒也归为此类， 由于Word文档格式没有公开， 这类病毒查解比较困难。

9. 互联网阶段

1997年， 随着互联网的发展， 各种病毒也开始利用互联网进行传播， 一些携带病毒的数据包和邮件越来越多， 如果不小心打开了这些邮件， 机器就有可能中毒。

10. 邮件炸弹阶段

1997年， 随着WWW上Java的普及， 利用Java语言进行传播和资料获取的病毒开始出现， 典型的代表是Java Snake病毒， 还有一些利用邮件服务器进行传播和破坏的病毒， 例如Mail-Bomb病毒， 它会严重影响互联网的效率。

7.2.5 计算机病毒的传播途径

计算机病毒之所以称为病毒， 是因为其具有传染性的本质。 传统途径通常有以下几种。

1. 通过移动存储器

通过使用被外界感染的移动存储器， 例如， 不同渠道的系统盘、 来历不明的软件、 游戏盘等都是最普遍的传染途径。 由于使用带有病毒的移动存储器， 使机器感染病毒发病， 并传染给未被感染的 “干净” 的移动存储器。 大量的移动存储器交换， 合法或非法的程序拷贝， 不加控制地随便在机器上使用各种软件形成了病毒感染、 泛滥蔓延的温床。

2. 通过硬盘

通过硬盘传染也是重要的渠道， 由于带有病毒的机器移到其他地方使用、 维修等， 使干净的硬盘被传染并再扩散。

3. 通过光盘

因为光盘容量大， 存储了海量的可执行文件， 大量的病毒就有可能藏身于光盘， 对只读式光盘， 不能进行写操作， 因此光盘上的病毒不能清除。 以谋利为目的非法盗版软件在制作过程中， 不可能为病毒防护担负责任， 也决不会有真正可靠可行的技术保障避免病毒的传入、 传染、 流行和扩散。 当前， 盗版光盘的泛滥给病毒的传播带来了很大的便利。

4. 通过网络

这种传染扩散极快， 能在很短时间内传遍网络上的机器。

Internet的应用越来越广， 这给病毒的传播又增加了新的途径， 它的发展使病毒可能成为灾难。 病毒的传播更为迅速， 反病毒的任务更加艰巨。 Internet带来两种不同的安全威胁， 一种威胁来自文件下载， 这些被浏览或是被下载的文件可能存在病毒。 另一种威胁来自电子邮件。 大多数Internet邮件系统提供了在网络间传送附带格式化文档邮件的功能， 因此， 感染病毒的文档或文件就可能通过网关和邮件服务器涌入企业网络。 网络使用的简易性和开放性使得这种威胁越来越严重。

7.2.6 计算机病毒的危害

1. 病毒激发对计算机数据信息的直接破坏作用

大部分病毒在激发的时候直接破坏计算机的重要信息数据， 所利用的手段有格式化磁盘、 改写文件分配表和目录区、 删除重要文件或者用无意义的 “垃圾”数据改写文件、 破坏CMO5设置等。 磁盘杀手病毒 (D1SK KILLER)， 内含计数器， 在硬盘染毒后累计开机时间 48 h 内激发， 激发的时候屏幕上显示“Warning!!Don’t turn off power or remove diskette while Disk Killer is Prosessing!”(警告! D1SK KILLERⅢ在工作， 不要关闭电源或取出磁盘!)， 同时改写硬盘数据。 被D1SK KILLER破坏的硬盘可以用杀毒软件修复， 不要轻易放弃。

2. 占用磁盘空间和对信息的破坏

寄生在磁盘上的病毒总要非法占用一部分磁盘空间。 引导型病毒的一般侵占方式是由病毒本身占据磁盘引导扇区， 而把原来的引导区转移到其他扇区， 也就是引导型病毒要覆盖一个磁盘扇区。 被覆盖的扇区数据永久性丢失， 无法恢复。文件型病毒利用一些DOS功能进行传染， 这些DOS功能能够检测出磁盘的未用空间， 把病毒的传染部分写到磁盘的未用部位上。 所以， 在传染过程中一般不破坏磁盘上的原有数据， 但非法侵占了磁盘空间。 一些文件型病毒传染速度很快，在短时间内会感染大量文件， 使每个文件都不同程度地增大， 造成了磁盘空间的严重浪费。

3. 抢占系统资源

除VIENNA、 CASPER等少数病毒外， 其他大多数病毒在动态下都是常驻内存的， 这就必然抢占一部分系统资源。 病毒所占用的基本内存长度大致与病毒本身长度相当。 病毒抢占内存， 导致内存减少， 一部分软件不能运行。 除占用内存外， 病毒还抢占中断， 干扰系统运行。 计算机操作系统的很多功能是通过中断调用技术来实现的， 病毒为了传染激发， 总是修改一些有关的中断地址， 在正常中断过程中加入病毒的 “私货”， 从而干扰了系统的正常运行。

4. 影响计算机运行速度

病毒进驻内存后不但干扰系统运行， 还影响计算机速度， 主要表现在以下3方面。

(1) 病毒为了判断传染激发条件， 总要对计算机的工作状态进行监视，这相对于计算机的正常运行状态既多余又有害。

(2) 有些病毒为了保护自己， 不但对磁盘上的静态病毒加密， 而且进驻内存后的动态病毒也处在加密状态， CPU每次寻址到病毒处时要运行一段解密程序， 把加密的病毒解密成合法的CPU指令再执行； 而病毒运行结束时再用一段程序对病毒重新加密， 这样便使CPU额外执行数千条乃至上万条指令。

(3) 病毒在进行传染时同样要插入非法的额外操作， 特别是传染软盘时，不但计算机速度明显变慢，而且软盘正常的读写顺序被打乱， 发出刺耳的噪声。

5. 计算机病毒错误与不可预见的危害

计算机病毒与其他计算机软件的一大差别是病毒的无责任性。 编制一个完善的计算机软件需要耗费大量的人力、 物力， 经过长时间调试完善， 软件才能推出。 但在病毒编制者看来既没有必要这样做， 也不可能这样做。 很多计算机病毒都是个别人在一台计算机上匆匆编制调试后就向外抛出。 反病毒专家在分析大量病毒后发现绝大部分病毒都存在不同程度的错误。 大量含有未知错误的病毒扩散传播， 其后果是难以预料的。

6. 计算机病毒的兼容性对系统运行的影响

兼容性是计算机软件的一项重要指标， 兼容性好的软件可以在各种计算机环境下运行， 反之， 兼容性差的软件则对运行条件 “挑肥拣瘦”， 对机型和操作系统版本等都有要求。 病毒的编制者一般不会在各种计算机环境下对病毒进行测试， 因此病毒的兼容性较差， 常常导致死机。

7. 计算机病毒给用户造成严重的心理压力

据有关计算机销售部门统计， 计算机售后用户怀疑 “计算机有病毒” 而提出咨询的约占售后服务工作量的60％以上。 经检测确实存在病毒的约占70％， 另有30％情况只是用户怀疑， 而实际上计算机并没有病毒。 那么用户怀疑病毒的理由是什么呢? 多半是出现诸如计算机死机、 软件运行异常等现象。 这些现象确实很有可能是计算机病毒造成的， 但又不全是。 实际上在计算机工作 “异常” 的时候很难要求一位普通用户去准确判断是否是病毒所为。 大多数用户对病毒采取宁可信其有的态度， 这对于保护计算机安全无疑是十分必要的， 然而往往要付出时间、 金钱等方面的代价。 仅仅怀疑病毒而贸然格式化磁盘所带来的损失更是难以弥补的。 不仅是个人单机用户， 在一些大型网络系统中也难免为甄别病毒而停机。 总之， 计算机病毒像 “幽灵” 一样笼罩在广大计算机用户心头， 给人们造成巨大的心理压力， 极大地影响了现代计算机的使用效率， 由此带来的无形损失是难以估量的。

7.2.7 计算机病毒的防治

1. 建立良好的安全习惯

对一些来历不明的邮件及附件不要打开， 不要上一些不太了解的网站， 不要执行从Internet下载后未经杀毒处理的软件等， 这些必要的习惯会使您的计算机更安全。

2. 关闭或删除系统中不需要的服务

在默认情况下， 许多操作系统会安装一些辅助服务， 如FTP客户端、 Telnet和Web服务器。 这些服务为攻击者提供了方便， 而又对用户没有太大用处， 如果删除它们， 就能大大减少被攻击的可能性。

3. 经常升级安全补丁

据统计， 有80％的网络病毒是通过系统安全漏洞进行传播的， 像 “蠕虫王”“冲击波” “震荡波” 等， 所以应该定期到微软网站去下载最新的安全补丁， 以防患于未然。

4. 使用复杂的密码

有许多网络病毒就是通过猜测简单密码的方式攻击系统的， 因此使用复杂的密码， 将会大大提高计算机的安全系数。

5. 迅速隔离受感染的计算机

当您的计算机发现病毒或异常时应立刻断网， 以防止计算机受到更多的感染， 或者成为传播源， 再次感染其他计算机。

6. 了解一些病毒知识

这样就可以及时发现新病毒并采取相应措施， 在关键时刻使自己的计算机免受病毒破坏。 如果能了解一些注册表知识， 就可以定期看一看注册表的自启动项是否有可疑键值； 如果了解一些内存知识， 就可以经常看看内存中是否有可疑程序。

7. 最好安装专业的杀毒软件进行全面监控

在病毒日益增多的今天， 使用杀毒软件进行防毒， 是越来越经济的选择， 不过用户在安装了反病毒软件之后， 应该经常进行升级， 将一些主要监控经常打开(如邮件监控、 内存监控等)， 遇到问题要上报，这样才能真正保障计算机的安全。

8. 用户还应该安装个人防火墙软件进行防黑

由于网络的发展， 用户电脑面临的黑客攻击问题也越来越严重， 许多网络病毒都以黑客的方法来攻击用户电脑， 因此， 用户还应该安装个人防火墙软件， 将安全级别设为中、 高， 这样才能有效地防止网络上的黑客攻击。