计算机病毒对网络系统的危害

任务二　计算机病毒

1．概述

计算机病毒(Computer Virus)在《中华人民共和国计算机信息系统安全保护条例》中被明确定义，病毒指“编制者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。而在一般教科书及通用资料中被定义为:利用计算机软件与硬件的缺陷，由被感染机内部发出的破坏计算机数据并影响计算机正常工作的一组指令集或程序代码。计算机病毒最早出现在20世纪70年代David Gerrold的科幻小说When H．A．R．L．I．E．was One中。最早科学定义出现在1983年:Fred Cohen(南加大)的博士论文“计算机病毒实验”，“一种能把自己(或经演变)注入其他程序的计算机程序”。启动区病毒、宏(Macro)病毒、脚本(Script)病毒也是相同概念传播机制，同生物病毒类似，生物病毒是把自己注入细胞之中。

病毒往往会利用计算机操作系统的弱点进行传播，提高系统的安全性是防病毒的一个重要方面，但完美的系统是不存在的。过于强调提高系统的安全性将使系统多数时间用于病毒检查，系统失去了可用性、实用性和易用性。另一方面，信息保密的要求让人们在泄密和抓住病毒之间无法选择。病毒与反病毒将作为一种技术对抗长期存在，两种技术都将随计算机技术的发展而得到长期的发展。

病毒不是来源于突发或偶然的原因。一次突发的停电和偶然的错误，会在计算机的磁盘和内存中产生一些乱码和随机指令，但这些代码是无序和混乱的。病毒则是一种比较完美的、精巧严谨的代码，按照严格的秩序组织起来，与所在的系统网络环境相适应和配合起来。病毒不会通过偶然形成，并且需要有一定的长度，这个基本的长度从概率上来讲是不可能通过随机代码产生的。现在流行的病毒是人为故意编写的，多数病毒可以找到作者和产地信息。从大量的统计分析来看，病毒作者主要情况和目的是:一些天才的程序员为了表现自己和证明自己的能力，出于对上司的不满，为了好奇，为了报复，为了祝贺和求爱，为了得到控制口令，为了软件拿不到报酬预留的陷阱等。当然也有因政治、军事、宗教、民族、专利等方面的需求而专门编写的，其中也包括一些病毒研究机构和黑客的测试病毒。图12-1是某病毒发作后的主机画面。

图12-1　熊猫烧香病毒中毒后主机的画面

根据多年对计算机病毒的研究，按照科学的、系统的、严密的方法，计算机病毒可分类如下。

根据病毒存在的媒体，病毒可以划分为网络病毒，文件病毒，引导型病毒。网络病毒通过计算机网络传播感染网络中的可执行文件，文件病毒感染计算机中的文件(如COM，EXE，DOC等)，引导型病毒感染启动扇区(Boot)和硬盘的系统引导扇区(MBR)。还有这三种情况的混合型，例如:多型病毒(文件和引导型)感染文件和引导扇区两种目标。这样的病毒通常都具有复杂的算法，它们使用非常规的办法侵入系统，同时使用了加密和变形算法。

根据病毒传染的方法可分为驻留型病毒和非驻留型病毒，驻留型病毒感染计算机后，把自身的内存驻留部分放在内存(RAM)中，这一部分程序挂接系统调用并合并到操作系统中去，处于激活状态，一直到关机或重新启动。非驻留型病毒在得到机会激活时并不感染计算机内存，一些病毒在内存中留有小部分，但是并不通过这一部分进行传染，这类病毒也被划分为非驻留型病毒。

按病毒破坏的能力可以分为无害型、无危险型、危险型、非常危险型。无害型除了传染时减少磁盘的可用空间外，对系统没有其他影响。无危险型病毒仅仅是减少内存、显示图像、发出声音及同类音响。危险型病毒在计算机系统操作中造成严重的错误。非常危险型病毒删除程序、破坏数据、清除系统内存区和操作系统中重要的信息。

这些病毒对系统造成的危害，并不是本身的算法中存在危险的调用，而是当它们传染时会引起无法预料的甚至灾难性的破坏。由病毒引起其他程序产生的错误也会破坏文件和扇区，这些病毒也按照它们引起的破坏能力划分。一些现在的无害型病毒也可能会对新版的Windows和其他操作系统造成破坏。例如在早期的病毒中，有一个“Denzuk”病毒在360 KB磁盘上很好地工作，不会造成任何破坏，但是在后来的高密度U盘上却能引起大量的数据丢失。

2．常见类型

病毒的类型非常多，目前常见于计算机系统的病毒可以分为以下几类。

(1)系统病毒。系统病毒的前缀为Win32、PE、Win95、W32、W95等。这些病毒一般共有的特性是可以感染Windows操作系统的*．exe和*．dll文件，并通过这些文件进行传播，如CIH病毒。

(2)蠕虫病毒。蠕虫病毒的前缀是Worm。这种病毒的共有特性是通过网络或者系统漏洞进行传播，很大部分的蠕虫病毒都有向外发送带毒邮件、阻塞网络的特性，比如冲击波(阻塞网络)，小邮差(发带毒邮件)等。

(3)木马病毒、黑客病毒。木马病毒其前缀是Trojan，黑客病毒前缀名一般为Hack。木马病毒的共有特性是通过网络或者系统漏洞进入用户的系统并隐藏，然后向外界泄露用户的信息;而黑客病毒则有一个可视的界面，能对用户的电脑进行远程控制。木马、黑客病毒往往是成对出现的，即木马病毒负责侵入用户的电脑，而黑客病毒则会通过该木马病毒来进行控制。现在这两种类型的病毒越来越趋向于整合了。一般的木马，如QQ消息尾巴木马Trojan．QQ3344，还有大家可能遇见比较多的针对网络游戏的木马病毒，如Trojan．LMir．PSW．60。这里补充一点，病毒名中有PSW或PWD之类的一般都表示这个病毒有盗取密码的功能(这些字母一般都为“密码”的英文“password”的缩写);一些黑客程序，如网络枭雄(Hack．Nether．Client)等。

(4)脚本病毒。脚本病毒的前缀是Script。脚本病毒的共有特性是使用脚本语言编写，通过网页进行传播的病毒，如红色代码(Script．Redlof)。脚本病毒还会有前缀VBS、JS(表明是何种脚本编写的)，如欢乐时光(VBS．Happytime)、十四日(Js．Fortnight．c．s)等。

(5)宏病毒。其实宏病毒也是脚本病毒的一种，由于它的特殊性，在这里单独算成一类。宏病毒的前缀是Macro，第二前缀是Word、Word97、Excel、Excel97(也许还有别的)其中之一。凡是只感染Word 97及以前版本Word文档的病毒采用Word97作为第二前缀，格式是Macro．Word97;凡是只感染Word 97以后版本Word文档的病毒采用Word作为第二前缀，格式是Macro．Word;凡是只感染Excel 97及以前版本Excel文档的病毒采用Excel97作为第二前缀，格式是Macro．Excel97;凡是只感染Excel 97以后版本Excel文档的病毒采用Excel作为第二前缀，格式是Macro．Excel，以此类推。该类病毒的共有特性是能感染Office系列文档，然后通过Office通用模板进行传播，如著名的美丽莎(Macro．Melissa)。

(6)后门病毒。后门病毒的前缀是Backdoor。该类病毒的共有特性是通过网络传播，给系统开后门，给用户电脑带来安全隐患。

(7)病毒种植程序病毒。这类病毒的共有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下，由释放出来的新病毒产生破坏，如冰河播种者(Dropper．BingHe2．2C)、MSN射手(Dropper．Worm．Smibag)等。

(8)破坏性程序病毒。破坏性程序病毒的前缀是Harm。这类病毒的共有特性是本身具有好看的图标，以诱惑用户点击。当用户点击这类病毒时，病毒便会直接对用户计算机产生破坏，如格式化C盘(Harm．formatC．f)、杀手命令(Harm．Command．Killer)等。

(9)玩笑病毒。玩笑病毒的前缀是Joke，也称恶作剧病毒。这类病毒的共有特性是本身具有好看的图标，以诱惑用户点击。当用户点击这类病毒时，病毒会做出各种破坏操作来吓唬用户，其实病毒并没有对用户电脑进行任何破坏，如女鬼(Joke．Girl ghost)病毒。

(10)捆绑机病毒。捆绑机病毒的前缀是Binder。这类病毒的共有特性是病毒作者会使用特定的捆绑程序将病毒与一些应用程序，如QQ、IE捆绑起来，表面上看是一个正常的文件。当用户运行这些捆绑病毒时，会表面上运行这些应用程序，然后隐藏运行捆绑在一起的病毒，从而给用户造成危害，如捆绑QQ(Binder．QQPass．QQBin)、系统杀手(Binder．killsys)等。

以上为比较常见的病毒前缀，有时候还会看到一些其他的，但比较少见，这里简单提一下。

DoS:会针对某台主机或者服务器进行DoS攻击。Exploit:会自动通过溢出对方或者自己的系统漏洞来传播自身，或者其本身就是一个用于Hacking的溢出工具。HackTool:黑客工具，也许本身并不破坏你的计算机，但是会被别人加以利用，用你做替身去破坏别人。

读者可以在查出某个病毒以后通过以上所说的方法来初步判断所中病毒的基本情况，达到知己知彼的效果。在杀毒软件无法自动查杀、打算采用手工方式的时候，这些信息会给予很大的帮助。